Por qué la automatización de la seguridad es el futuro de SOAR

Un análisis de la Guía de mercado de Gartner 2022 para SOAR

Gartner® Research publicó recientemente su Guía de Mercado 2022 para soluciones de Orquestación, Automatización y Respuesta de Seguridad. Su análisis analiza SOAR: “Como tecnología especializada, SOAR continúa madurando, pero sigue siendo un nicho de mercado relativamente pequeño. Se está expandiendo a otros mercados como SIEM, XDR y MDR”.”

Después de leer sobre SOAR, me llamaron la atención tres ideas:

1. SOAR, tal como se ha definido históricamente, es un nicho y se están adquiriendo proveedores.

2. Algunos proveedores de SOAR han evolucionado para ofrecer automatización de seguridad de bajo código que se extiende más allá de los casos de uso del centro de operaciones de seguridad (SOC).

3. El futuro de SOAR reside en soluciones de automatización de seguridad que ofrezcan flexibilidad y una auténtica neutralidad respecto a los proveedores. Ampliará los casos de uso más allá de lo que SIEM o XDR pueden ofrecer.

Para desentrañar estos conocimientos, es útil comprender el pasado, el presente y el futuro del mercado SOAR.

Cómo empezó SOAR

La industria de la seguridad comenzó con tecnologías SOAR básicas con el propósito explícito de automatizar flujos de trabajo del SOC, como phishing, enriquecimiento de alertas y triaje de alertas. Si bien estos siguen siendo los casos de uso más comunes de automatización de seguridad en la actualidad, los productos SOAR tradicionales tienden a atender nichos específicos del mercado de seguridad. Esto se debe, en gran medida, a que SOAR se ha ganado la reputación de tener manuales de estrategias rígidos y requerir amplios recursos de desarrollo. Estas cualidades son las razones por las que la adopción de SOAR se ha limitado principalmente a los equipos de seguridad más grandes y consolidados.

A lo largo de los años, los proveedores fundadores de la categoría SOAR han optado por dos caminos: innovar para abordar las necesidades del futuro de la automatización de la seguridad o ser adquiridos. Más recientemente, La adquisición de Siemplify por parte de Google señaló el valor futuro de la automatización de la seguridad y amplió el liderazgo de Swimlane como el proveedor de automatización de seguridad independiente más grande del mundo.

¿Qué es la automatización de la seguridad?

Mucha gente asume que la automatización de la seguridad es sinónimo de SOAR, pero en realidad existen diferencias importantes entre ambos enfoques. En la mayoría de los casos, SOAR se limita a un pequeño número de casos de uso enfocados exclusivamente en los analistas de nivel 1 del SOC, como la clasificación de alertas de phishing o la verificación de la reputación del IOC de las alertas SIEM. Si bien estos casos de uso son valiosos y ahorran tiempo considerable a los equipos en sus actividades diarias, su alcance es limitado en cuanto a a quién y cuánto pueden ayudar.

La automatización de la seguridad, en cambio, integra un grupo diverso de personas, procesos y tecnología, generalmente desconectados, para impulsar operaciones de seguridad más eficientes, efectivas y escalables en una parte mucho más amplia del equipo de seguridad y sus objetivos. Esto se logra mediante el uso de tecnología low-code para ampliar la aplicabilidad de la automatización, la orquestación y la función de sistema de registro más allá de los casos de uso del centro de operaciones de seguridad (SOC), lo que permite a una amplia variedad de partes interesadas participar en DevOps, AppSec, detección de amenazas, privacidad, auditoría, cumplimiento normativo y muchos otros. 

Si bien los casos de uso comunes de SOAR, como el phishing y el triaje de alertas, siguen siendo populares, la automatización de la seguridad también aporta valor al resolver problemas relacionados con la sobrecarga de datos y la escasez de talento para equipos centrados en casos de uso relacionados con fraude, gestión de vulnerabilidades, asuntos legales y cumplimiento normativo. Según el informe, “algunos clientes utilizan ahora capacidades de automatización y orquestación en casos de uso no centrados en la seguridad, ya que existe cierta coincidencia con los casos de uso de automatización empresarial que suelen ofrecer las plataformas de aplicaciones low-code”.”

La próxima generación de automatización de la seguridad

La tercera conclusión fue que el futuro de SOAR aportará un valor que va más allá de lo que SIEM y XDR pueden ofrecer, al ofrecer mayor flexibilidad y un enfoque independiente del entorno. En nuestra opinión, los proveedores de automatización de seguridad que logren esto y lideren el mercado de la automatización de seguridad del futuro lo harán abordando tres tendencias emergentes.

• Big Data requiere gran automatización: Históricamente, las tecnologías SOAR no se han evaluado en función de su rendimiento ni de su capacidad de procesamiento. Esto cambiará con las futuras soluciones de automatización de la seguridad, ya que los clientes comienzan a exigir una automatización que ingiera fuentes de telemetría más numerosas y difíciles de alcanzar.

• Integrarse con cualquier cosa: A medida que la superficie de ataque continúa expandiéndose, los equipos de seguridad necesitan integrarse con cosas que tradicionalmente no están integradas desde una perspectiva SecOps, como la nube, la IoT y la computación de borde.

• Automatización democratizada: La automatización de la seguridad tiene el potencial de resolver una gran cantidad de problemas, pero nunca alcanzará su máximo potencial si la automatización sigue siendo una capacidad solo accesible para los profesionales de seguridad más cualificados. La automatización de seguridad low-code cambia esto, haciendo que la automatización de la seguridad sea más accesible para que los expertos en el sector puedan convertirse en automatizadores, sin sacrificar potencia ni rendimiento.

Para obtener más información sobre la próxima generación de soluciones de automatización de seguridad de bajo código, Lea este informe técnico sobre la descripción general del producto para entender cómo funciona Swimlane Turbine.

GARTNER es una marca registrada y marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente, y se utiliza aquí con autorización. Todos los derechos reservados.
Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación ni recomienda a los usuarios de tecnología seleccionar únicamente a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner se basan en las opiniones de su departamento de Investigación y Asesoría y no deben interpretarse como declaraciones de hechos. Gartner renuncia a toda garantía, expresa o implícita, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un fin determinado.

Guía del comprador para la automatización de la seguridad moderna

Los equipos de SOC empresariales reconocen la necesidad de automatización, pero a menudo presentan dificultades con las propias soluciones de automatización. Las soluciones de Orquestación, Automatización y Respuesta de Seguridad (SOAR) suelen requerir scripts extensos. Las soluciones de automatización sin código son simplistas y carecen de las capacidades necesarias de gestión de casos e informes. Esta guía analiza la amplia gama de plataformas de automatización de seguridad disponibles actualmente para que pueda identificar la solución que mejor se adapte a sus necesidades. 

Descargar