Automatización de la respuesta a incidentes y SOC corporativo
6 casos de uso de respuestas a incidentes para su aplicación en los SOC de las empresas

6 principales casos de uso de SOAR en el SOC corporativo

Los ciberataques ocupan el primer lugar entre los riesgos mundiales causados por el ser humano, según el"Informe sobre Riesgos Mundiales 2020" del Foro Económico Mundial. Dado el valor de sus activos y la topología en expansión de la infraestructura digital y de nuevas tecnologías como Big Data e IA, las empresas se enfrentan a una cuestión urgente: ¿cómo deben responder al creciente volumen y variedad de amenazas?

Contar con un equipo del Centro de Operaciones de Seguridad (SOC) plenamente operativo cambia el panorama de riesgos para todas las organizaciones, grandes o pequeñas. Y con la sofisticación de las amenazas evolucionando exponencialmente, garantizar que el SOC utilice todo su potencial es de vital importancia. Tecnologías como Security Orchestration, Automation and Response (SOAR) lo hacen posible, reforzando en gran medida la postura de ciberseguridad de la empresa vigilada.

Primero, entienda qué es SOAR

SOAR (Security Orchestration, Automation and Response) es una pila de programas de software compatibles que permite a una organización recopilar datos sobre amenazas a la seguridad y responder a incidentes de seguridad con poca o ninguna ayuda humana. El objetivo de utilizar una plataforma SOAR es mejorar la eficacia de las operaciones de seguridad física y digital.

SOAR engloba básicamente las siguientes funciones en un contexto SOC:

  • La orquestación de la seguridad conecta y coordina conjuntos de herramientas heterogéneos en el SOC para una ingestión, enriquecimiento, supervisión e identificación de incidentes más eficientes.
  • La automatización ayuda a los SOC a adoptar una postura de seguridad más proactiva activando automáticamente flujos de trabajo, tareas y triajes basados en parámetros predefinidos.
  • Response acelera las reacciones generales y específicas del SOC ante incidentes de bajo riesgo y respalda la respuesta de los analistas al permitir una única vista para acceder, consultar y compartir inteligencia sobre amenazas.

Dentro de estas tres categorías, hay docenas de formas en las que la automatización acelera las tareas manuales. El principal valor de las herramientas SOAR es ayudar a los analistas humanos a escalar y automatizar tareas repetitivas y tediosas para que el equipo SOC pueda centrarse en las amenazas de alto nivel.

Hemos separado 6 ejemplos de cómo esta tecnología reduce el tiempo de contención de las amenazas y, por tanto, eleva el nivel de protección de las empresas.

1. Coordinación de la inteligencia contra las amenazas

Cada día, las plataformas SOAR procesan cientos de miles de indicadores de compromiso (IOC).

Los COI se recopilan a partir de fuentes de información sobre amenazas internas y externas, herramientas de análisis de malware, plataformas de detección y respuesta de puntos finales, sistemas SIEM, herramientas de detección y respuesta de redes, buzones de correo electrónico, fuentes RSS, organismos reguladores y otras bases de datos.

Las plataformas SOAR pueden coordinar, agregar y detectar alertas procedentes de estas herramientas, así como detectar COI sospechosos que surjan entre ellas.

2. 2. Gestión de incidentes

Las amenazas potenciales pueden ser detectadas por múltiples herramientas. Por lo tanto, puede consumir una cantidad considerable de tiempo a los analistas analizar datos dispares asociados a la misma amenaza.

SOAR en SOC reúne todos los datos en una sola historia. Esto permite gestionar los casos con mayor rapidez y acelera los tiempos medios generales de detección y respuesta, ya sea mediante la automatización o la intervención y el análisis humanos.

3. Gestión de la vulnerabilidad

En el pasado, los analistas del SOC dependían de la gestión manual y del inventario de vulnerabilidades de seguridad. Pero al implantar SOAR, se pueden automatizar varias tareas del SOC para gestionar el volumen, la supervisión y las respuestas sencillas.

En concreto, SOAR correlaciona los datos sobre amenazas en múltiples herramientas de seguridad para calcular el riesgo y priorizar la amenaza en función de su impacto.

4. Mejora continua del control de las amenazas

Las plataformas SOAR aumentan la eficacia en el control de amenazas al acelerar el procesamiento de los indicadores de compromiso (IOC), acceder a múltiples bases de datos de referencia y consultar diferentes herramientas de inteligencia para distintos tipos de riesgos y amenazas.

Esto permite a los analistas del SOC analizar, verificar, clasificar y responder con mayor precisión y eficacia. Este caso de uso de SOAR ahorra mucho tiempo a los analistas al enriquecer rápidamente grandes volúmenes de IP, URL y hashes para comprobar el riesgo, sin comprometer la profundidad de la investigación necesaria.

5. 5. Control de amenazas

Además de servir como base de conocimientos utilizando los COI como referencia, las plataformas SOAR sirven efectivamente como una forma de control proactivo de las amenazas.

La "caza de amenazas" es una tarea crucial para los analistas de los SOC, pero requiere mucho tiempo, dado el alcance cada vez mayor de los riesgos. SOAR ayuda con la agilidad y la escala añadiendo conjuntos de datos para el análisis continuo.

Además, SOAR ayuda a determinar el alcance de la búsqueda de amenazas, investigando malware o dominios sospechosos e incorporando decisiones humanas en puntos estratégicos.

6. Respuesta a incidentes

La automatización de los procesos de prevención y respuesta a incidentes tiene como objetivo dirigir las acciones contra las amenazas actuales para evitar costes posteriores y pérdidas de mayor impacto.

El uso de SOAR en SOC se ocupa de la prevención y respuesta a diversas amenazas a la seguridad, como phishing, malware, denegación de servicio, desfiguración web, ransomware y otras.

Las respuestas automatizadas adoptan numerosas formas, dependiendo de la naturaleza de la amenaza, entre las que se incluyen las siguientes:

  • Añadir automáticamente indicadores a las listas COI;
  • Indicadores maliciosos para el bloqueo automático;
  • Indicadores de cuarentena automática o endpoints comprometidos;
  • Tickets generados automáticamente;
  • Bloquee automáticamente un correo electrónico o una dirección IP sospechosos;
  • Eliminación automática de correos sospechosos de otros buzones;
  • Cancelación automática de cuentas de usuario;
  • Activar automáticamente un escáner antivirus o una comprobación del cumplimiento de las normas de seguridad.
  • Alerte automáticamente a analistas, empleados, proveedores, socios o clientes concretos.

Entre las ventajas de SOAR se encuentra la coordinación de la inteligencia sobre amenazas a través de vastas topologías de seguridad, liberando al personal técnico para que se centre en amenazas más relevantes y apoyando todo el ciclo de vida de la inteligencia sobre amenazas. Desde la detección, el triaje, la respuesta y la contención, SOAR en el SOC es clave para lograr una mayor supervisión, contexto y respuesta.

SOAR es útil no sólo para automatizar los procesos de seguridad, sino también para optimizarlos; no sólo mejora la experiencia de los analistas, sino también la capacidad del equipo SOC para comunicarse con la organización.

Con una implementación adecuada, además de las consideraciones culturales e industriales, la aplicación de los casos de uso SOAR puede reforzar los cimientos de la postura de seguridad de una empresa.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.