El futuro de SOAR

El pasado, presente y futuro de SOAR Parte 3

En las partes uno y dos de esta serie de blogs, exploramos el Estado del centro de operaciones de seguridad (SOC) con un enfoque en los sistemas de gestión de eventos e información de seguridad (SIEM) y el Estado de la orquestación, automatización y respuesta de seguridad (SOAR). En la tercera y última parte de esta serie, nos sumergiremos en el futuro de SOAR.

Según la comunidad de analistas, la adopción de SOAR aún se encuentra en sus primeras etapas. A medida que más SOCs consolidan sus soluciones SOAR, se implementan nuevos casos de uso y su aplicación está demostrando ser ilimitada.

Elevándose creativamente

Si bien el SOC con SOAR tiene un potencial prácticamente ilimitado, es importante destacar que ninguna solución, plataforma o herramienta de seguridad es una solución milagrosa. Como industria, necesitamos seguir evolucionando y creciendo con el panorama de amenazas en constante evolución.

¡La mejor manera de lograrlo es ser creativo! Las organizaciones que implementan soluciones SOAR deben ir más allá de orquestar y automatizar estrategias y flujos de trabajo estándar (aunque esto también es importante). Si usted está leyendo esto y se encuentra en esa categoría, considere buscar nuevas maneras de maximizar el potencial de su plataforma SOAR. Una vez automatizados los procesos estándar, vuelva a investigar cómo puede lograr los resultados deseados mientras busca maneras nuevas e innovadoras de mejorar esos procesos, optimizando su solución SOAR. Y recuerde, uno de los aspectos más interesantes de SOAR es que ofrece escalabilidad horizontal en toda la organización. Vea este caso de uso de salida de empleados como ejemplo.

Volando juntos

Hasta la fecha, la comunidad de inteligencia de amenazas ha realizado un buen trabajo derribando barreras entre diferentes organizaciones y aumentando la capacidad de todos para compartir datos de forma fiable. Por ejemplo, los Centros de Intercambio y Análisis de Información (ISAC) han facilitado... organizaciones de toda la industria para compartir indicadores de compromiso (IOC), técnicas, tácticas y más. La evolución natural de este intercambio de información es moverse hacia procesos basados en estándares, como Structured Threat Information Expression™ y Trusted Automated eXchange of Indicator Information™ (STIX-TAXII).

Sabemos que Colaboración e intercambio integral de información Es importante fortalecer la industria de la ciberseguridad en su conjunto, pero también contribuye a que la solución SOAR de cada organización sea más eficaz. Los SOC que participan en el intercambio de información y cuentan con una solución SOAR están mejor preparados para responder a este tipo de preguntas:

• ¿Qué hago cuando veo una actividad particular dentro de mi entorno?
• ¿Cómo compartimos esta información entre organizaciones?
• Si veo este tipo de actividad generando este tipo de alerta, ¿qué acciones debo tomar?
• ¿Qué debería estar buscando?
• ¿Cómo debo buscar otros hosts o activos comprometidos?
• ¿Cómo puedo responder y mitigar esto lo más rápido posible?

Cuando los analistas pueden responder a estas preguntas con datos completos, pueden ajustar y personalizar flujos de trabajo estandarizados para investigaciones de incidentes más eficaces. Como industria, esto nos permitirá aprovechar las capacidades compartidas de una comunidad global más amplia, manteniéndonos al día (o incluso anticipándonos) a las amenazas y a los actores maliciosos.

La otra cosa que continuará desarrollándose y mejorando a medida que SOAR avance es cómo las organizaciones crean contenido. Como proveedor de SOAR, Vemos que clientes, socios y colaboradores individuales aportan mejoras mediante la creación de integraciones con sistemas de terceros. Ya sean visualizaciones únicas de datos o flujos de trabajo y guías de juego personalizados, elementos como estos permiten que una plataforma SOAR mejore continuamente su eficacia.

En Carril de natación, Creemos en seguir fabricando las herramientas que son necesario para construir estas integraciones Lo más fácil posible. Conocer a las personas donde están, capacitarlas en su forma de trabajar y desarrollar contenido, seguirá impulsando la orquestación, la automatización y la respuesta a nuevos niveles. Oportunidades como la ciencia de datos ciudadana y conceptos similares cobran impulso porque distribuir esa capacidad de crear contenido al público más amplio tiene un impacto increíble. De igual manera, esto seguirá sucediendo dentro de SOAR.

Avanzando hacia adelante

La gran mayoría de las organizaciones que implementan SOAR actualmente son grandes, empresariales e incluso medianas. La adopción en empresas más pequeñas es escasa porque carecen de los recursos para implementar la automatización, aprovecharla adecuadamente y obtener valor de ella. Sin embargo, el valor real que SOAR generará para las medianas y pequeñas empresas es mucho mayor, precisamente porque carecen de los recursos necesarios. Las empresas más pequeñas no cuentan con un equipo de monitorización, respuesta a incidentes ni inteligencia de amenazas. Sin embargo, estas capacidades son absolutamente necesarias.

Las organizaciones de todos los tamaños son un objetivo tan importante como el resto. Las organizaciones más pequeñas obtendrán este valor añadido al aprovechar las capacidades de automatización y el aprendizaje colectivo de lo que hacen todos y cómo colaboran, y proporcionar todo esto a un administrador de sistemas que no sea un profesional de seguridad especializado. En el futuro, esto tendrá un gran impacto en cómo las personas y las organizaciones adoptarán y aprovecharán SOAR. El futuro de SOAR es prometedor. ¡Unámonos todos y maximicemos su potencial!