Estado de SOAR

El pasado, presente y futuro de SOAR Parte 2

Los desafíos analizados en la Parte 1 de esta serie explican por qué los centros de operaciones de seguridad (SOC) requieren una solución de orquestación, automatización y respuesta de seguridad (SOAR) para sobrevivir. En toda la industria, los analistas están abrumados, sobrecargados de trabajo y necesitan urgentemente herramientas diseñadas para ayudarles a mantenerse al día con el creciente panorama de amenazas y la creciente escasez de profesionales en ciberseguridad. Es más, si un SOC pudiera contratar a todo el personal necesario, seguiría necesitando capacidades de automatización y orquestación para investigar las miles de alertas que recibe a diario.

¿Por qué SOAR?

Hubo un tiempo en que los líderes de pensamiento de la industria no estaban seguros Si SOAR era realmente “una cosa” o no. Pero con información de informes recientes, como la Guía de mercado de Gartner para soluciones de orquestación, automatización y respuesta de seguridad o Cómo usar las herramientas SOAR facilita la vida Según Enterprise Management Associates (EMA), es evidente que SOAR se está consolidando en el sector de la seguridad y en los SOC de todos los tamaños. En resumen, SOAR permite a los equipos de los SOC lograr más con menos, una propuesta atractiva tanto para el CISO como para el analista. SOAR elimina las tareas tediosas, repetitivas y manuales que suelen asociarse con los procesos de respuesta a incidentes, que suelen provocar agotamiento del analista y fatiga por alertas.

¿Qué pasa con SIEM?

La mayoría de las organizaciones utilizan algún tipo de sistema de gestión de información y eventos de seguridad (SIEM), y es poco probable que esto cambie. Si bien los datos recopilados por los SIEM son sumamente valiosos para el SOC, los analistas tienen dificultades para gestionar las alertas aparentemente interminables que generan estas herramientas. Los procesos de investigación, predominantemente manuales, asociados a las herramientas SIEM generan una fatiga significativa, lo que conduce a errores y a la vulnerabilidad de la organización. SOAR ofrece un respiro de la gran interacción humana que requieren estas herramientas y, al hacerlo, permite una mejor investigación de alertas, una toma de decisiones más rápida y, en general, procesos de respuesta a incidentes más eficaces.

Elevándose por encima de los problemas

SOAR potencia a los analistas, permitiéndoles visualizar y comprender grandes conjuntos de datos de un vistazo, en lugar de tener que alternar entre diferentes ventanas, herramientas e incluso máquinas para investigar una sola alerta. En lugar de depender de cadenas de texto o información numérica tradicionales, la visualización de datos con una solución SOAR permite a los analistas extraer conclusiones y actuar al instante.

Además, al implementar una solución SOAR, muchas acciones de respuesta a incidentes pueden llevarse a cabo sin intervención humana. El componente de orquestación de SOAR permite al SOC conectar recursos dispares e incorporar los datos al registro del caso para enriquecer la alerta. En lugar de que los analistas dediquen tiempo a comprender las complejidades de innumerables sistemas únicos (que probablemente cambiarán con el tiempo y requerirán soluciones alternativas según el ecosistema del SOC), pueden usar la vista única del registro del caso de la plataforma SOAR para acceder y observar todos los datos. Esto mejora el rendimiento individual de cada analista, lo que a su vez impulsa la eficacia general de todo el SOC.

Vuela sin límites

Al automatizar tareas tediosas y repetitivas y orquestar herramientas y procesos dispares, una plataforma SOAR mejora drásticamente el rendimiento de los analistas, lo que también reduce el tiempo medio de detección (MTTD) y de respuesta (MTTR) de la organización. A medida que el SOC con SOAR explore todas las capacidades de su solución, los analistas probablemente encontrarán beneficios adicionales que mejorarán su funcionalidad y eficacia para toda la organización. Una solución SOAR verdaderamente robusta ofrece a la organización opciones prácticamente ilimitadas para conectar, automatizar y orquestar sus operaciones.

Hoy en día, apenas comenzamos a ver algunas de las nuevas y sorprendentes maneras en que SOAR puede utilizarse para mejorar la eficacia operativa del SOC. En la tercera parte, analizaremos el futuro de SOAR y cómo podría ayudarnos a maximizar los beneficios en toda la organización.