La automatización inteligente está teniendo un impacto en los mercados tecnológicos. Y debido a una enorme escasez de mano de obra en uno de esos mercados—la ciberseguridad—la automatización se ha vuelto increíblemente importante.

Las empresas están encontrando dificultades para contratar, utilizando personal con habilidades insuficientes y manejando docenas de herramientas a la vez—estas luchas tienen implicaciones reales. El personal con habilidades insuficientes y escaso es más propenso a exponer información y usar herramientas de manera incorrecta; esto se suma al riesgo y las posibles consecuencias de dejar puestos de seguridad abiertos y desatendidos durante meses.

Una solución potencial: software especializado de seguridad de sistemas. Aunque no responde completamente a la cuestión de la brecha de habilidades, las plataformas de orquestación, automatización y respuesta de seguridad (SOAR) están diseñadas para simplificar y automatizar grandes cantidades de tareas de seguridad, haciendo que los equipos sean más ágiles, efectivos y eficientes.

¿Qué es SOAR?

Las empresas integran plataformas SOAR con soluciones de seguridad existentes, donde los equipos definen y establecen lógica operativa específica y políticas de seguridad. La plataforma luego utiliza información contextual de la herramienta de gestión de información y eventos de seguridad (SIEM) de una empresa para identificar anomalías y fallos. Las plataformas SOAR también se integran con software de firewall, herramientas de respuesta a incidentes, software CASB, y prácticamente cualquier otra herramienta de seguridad disponible para las empresas.

SOAR vs. SIEM: Más que un complemento de SIEM

Las empresas utilizan soluciones de gestión de información y eventos de seguridad (SIEM) para recopilar y almacenar información sobre puntos finales, redes y otros activos de TI. Los equipos suelen hacer esto colocando un agente en cada dispositivo para recopilar datos y monitorear la actividad. Esta información se utiliza para identificar actividad anormal, incidentes de seguridad y cualquier otro tipo de ataque.

SOAR da el siguiente paso operativo. Después de integrar la solución SOAR con un SIEM y procesar su información almacenada, la herramienta SOAR puede integrarse con herramientas de seguridad adicionales para automatizar tareas de flujo de trabajo. Por ejemplo, los usuarios de SOAR suelen añadir una herramienta de respuesta a incidentes a la plataforma para automatizar la remediación a medida que surgen incidentes. También pueden integrar herramientas de análisis de seguridad o vulnerabilidad para añadir información contextual a los motores de riesgo. Hay posibilidades infinitas, pero todas giran en torno a la lógica establecida por los equipos de seguridad y las operaciones que desean automatizar. Por ejemplo, se pueden establecer disparadores para aislar automáticamente un dispositivo si se detecta malware. Los sistemas pueden escanear continuamente en busca de anomalías y automatizar la investigación y remediación una vez descubiertas.

SOAR no es un reemplazo para las soluciones SIEM; en realidad, SIEM impulsa SOAR. El SIEM proporciona todos los datos contextuales e información de seguridad necesarios para entrenar la plataforma SOAR para identificar anomalías y automatizar su remediación.

¿Qué impulsa la adopción de SOAR?

Hay numerosos beneficios de esta tecnología emergente, descrita por primera vez en 2017. Aunque los productos SOAR específicos presumen de características variadas, las similitudes entre sus beneficios incluyen una mayor eficiencia y visibilidad para los equipos de operaciones de seguridad—a través de la integración y la automatización.

Eficiencia Operativa

En pocas palabras, la automatización facilita el trabajo de los empleados. Las plataformas SOAR permiten a los equipos establecer prioridades y construir un flujo de trabajo para eventos de seguridad que requieren un esfuerzo humano mínimo. Los equipos establecen normas operativas a través de lógica y políticas, que los productos SOAR comparan y referencian constantemente para detectar anomalías. Si la detección y remediación están automatizadas, los equipos tienen más tiempo para encontrar la causa raíz de un problema y evitar que vuelva a ocurrir. Además, en caso de un incidente de seguridad importante, estos productos pueden alertar instantáneamente a los equipos para una respuesta rápida.

Eficacia de Respuesta

Cuanto antes puedan los equipos de seguridad detectar un problema, más fácil será resolverlo. Los sistemas heredados pueden tener la capacidad de alertar a un individuo de un evento, enviar un correo electrónico a otro para la investigación y avisar a otro para la remediación. Las soluciones SOAR permiten que los problemas simples se detecten y remedien automáticamente. Otros problemas más complejos pueden investigarse utilizando herramientas integradas e información forense agregada recopilada por el software SIEM. Una vez que se analiza la información, los equipos de investigación pueden presentar los datos al personal de respuesta a incidentes antes de que siquiera sean conscientes del incidente, reduciendo drásticamente el tiempo desde el descubrimiento hasta la remediación.

Reducción de Riesgos

La reducción de riesgos se logra con SOAR simplificando el proceso de priorización de incidentes y vulnerabilidades. La gestión de vulnerabilidades es uno de los mayores procesos que SOAR puede impactar. Las empresas pueden tener cientos de configuraciones para examinar, pero la priorización inteligente basada en riesgos ayuda a las empresas a abordar problemas con el mayor impacto al identificar recursos críticos potencialmente afectados por problemas importantes. Los problemas simples pueden remediarse automáticamente (o guardarse para más tarde) mientras los equipos de seguridad abordan los problemas que enfrentan los sistemas críticos para el negocio.

Noticias en el mercado SOAR

Aunque la tecnología SOAR solo ha existido unos pocos años, se espera que el espacio supere los $2 mil millones para 2025, expandiéndose a una tasa de crecimiento anual compuesta (CAGR) del 16% durante el período, según KBV Research.

Imagen Cortesía: MarketsandMarkets

Esa actividad se presentó de muchas formas.

Parte de ella vino en forma de nuevos productos de grandes actores en el mundo de la seguridad. Y aunque un número de proveedores de SIEM han surgido orgánicamente, la participación de gigantes tecnológicos como Rapid7 y FireEye en los últimos años han dado credibilidad al mercado.

Las adquisiciones también añadieron legitimidad al mercado. En los últimos años, las startups relacionadas con SOAR han sido devoradas por proveedores de seguridad:

• Además de lanzar su plataforma SOAR InsightConnect en 2018, Rapid7 ha reforzado su tecnología con la adquisición de tres startups relacionadas con SOAR: NetFort, tCell, y Komand.
• Splunk adquirió VictorOPs y Phantom en 2019 para desarrollar Splunk Enterprise Security y automatizar operaciones de seguridad a través de Splunk Phantom Security Orchestration.
• Palo Alto Networks adquirió Demisto, un Líder en la categoría SOAR de G2, y Fortinet compró Cybersponse en 2019.

La lista continúa. Las adquisiciones pueden robar los titulares, pero los proveedores de SOAR que se asocian con instituciones tecnológicas, de consultoría y financieras impulsaron mucho el crecimiento del mercado. La mayoría de estas han venido en dos formas: estudios de caso de servicios en la nube empresariales y acuerdos con proveedores de servicios gestionados (MSP).

LogRythm comenzó una asociación con Dell EMC en 2016 para integrar soluciones mientras añadía automatización y análisis de seguridad a los productos de Dell EMC. Al año siguiente, ThreatConnect comenzó a colaborar con CenturyLink; Rapid7 se asoció con Microsoft; y Demisto trabajó con AWS; todos añadieron automatización de seguridad a sus productos y servicios.

Splunk inició las asociaciones MSP en 2016 mientras trabajaba con Accenture para automatizar la seguridad para los servicios de aplicaciones de Accenture. LogRythm siguió el ejemplo en 2017 para hacer lo mismo para Deloitte. Desde entonces, una serie de otros proveedores de consultoría, seguros y servicios, se han asociado con proveedores de soluciones SOAR para expandir la funcionalidad de sus productos o subcontratar partes de sus servicios.

El futuro de las operaciones de seguridad

Estas tendencias de seguridad continuarán a través de 2020 y más allá.

Para la empresa, esto significa más trabajo colaborativo entre proveedores de seguridad y proveedores de servicios para mejorar la automatización de seguridad para sus negocios y clientes.

Para los equipos de seguridad, el mayor impacto será un trabajo más fácil: lograr la automatización y visibilidad, ejecutar soluciones de seguridad al unísono y desarrollar flujos de trabajo de respuesta. Esto empodera a los equipos de seguridad para identificar y priorizar problemas basados en sus propios objetivos o necesidades únicas. Además, pueden perder menos tiempo en problemas menores y calificar los riesgos en consecuencia para optimizar el impacto de cada segundo que pasan trabajando.

Esto debería impactar a una cantidad sustancial de equipos de seguridad empresarial. Para 2022, casi un tercio de las organizaciones empresariales estarán compuestas por cinco o más profesionales de seguridad. Ese número se disparará desde el 5% actual, según Gartner.

Los futuros equipos de seguridad impulsados por SOAR estarán mejor equipados que nunca para analizar riesgos, descubrir problemas de seguridad y remediar rápidamente amenazas.