Informe SOAR de Gartner: “Innovación en la orquestación, automatización y respuesta de seguridad”

Si eres un fanático ocasional de la serie original de Star Trek, conocerás la frase característica de Scotty: "¡No puedo hacerlo, Capitán! ¡No tengo el poder!". O mejor aún, cuando pronunció su famosa frase: "¡No puedo cambiar las leyes de la física!". La difícil situación de Scotty probablemente sea reconocible para las operaciones de seguridad (SecOps) actuales. Según el último informe de Gartner Innovation Insight for Security Orchestration, Automation and Response (SOAR), "Los equipos de operaciones de seguridad tienen dificultades para mantenerse al día con la avalancha de alertas de seguridad provenientes de un arsenal cada vez mayor de tecnologías de detección de amenazas".“

Sin embargo, no todo está perdido. Al igual que Scotty, pueden encontrar una solución a esta lucha aparentemente imposible de ganar. El nuevo informe refleja un espíritu de esperanza. Los equipos de SecOps pueden adoptar nuevas prácticas y herramientas para lograr una prevención, detección y respuesta más eficaces ante las ciberamenazas.

¿Qué es SOAR?

SOAR representa Una nueva y poderosa forma de mejorar SecOps. Gartner recomienda que las organizaciones implementen SOAR para mejorar la eficiencia y la consistencia de la respuesta a incidentes mediante la orquestación y automatización de la gestión de inteligencia de amenazas, la gestión de eventos de seguridad y los procesos de SecOps.

Gartner estima que, para 2020, 151 TP3T de las organizaciones de seguridad con cinco o más profesionales de seguridad adoptarán SOAR. Esto representa un aumento con respecto a la tasa de adopción actual de menos de 11 TP3T.

SOAR se centra en la acción. El acrónimo significaba "Operaciones de Seguridad, Análisis e Informes". Sin embargo, Gartner ha sustituido "Informes" por "Respuesta". Resulta que la generación de informes es un hecho. Todas las herramientas SOAR deben hacerlo para ser eficaces, ya que contar con una respuesta eficiente ante un incidente de seguridad es fundamental.

¿Por qué SOAR y por qué ahora?

El informe de Gartner reforzó la idea de que hay demasiadas alarmas de seguridad y no hay suficiente personal para gestionarlas. Sin una orquestación de seguridad centralizada ni capacidades de respuesta a incidentes, los equipos de SecOps se ven obligados a recopilar y combinar manualmente la información sobre amenazas. Esto significa que los profesionales de seguridad trabajan con manuales específicos para cada incidente. Esto puede ser una tarea tediosa y lenta. Se reduce drásticamente el tiempo que podrían dedicar a la detección y defensa proactiva de ciberataques.

Estas circunstancias están impulsando el crecimiento de la adopción e influencia de SOAR. Gartner estima que, para 2020, 151 TP3T de las organizaciones de seguridad con cinco o más profesionales de seguridad adoptarán SOAR. Esto representa un aumento con respecto a la tasa de adopción actual, que es inferior a 11 TP3T. Como señala el informe: “Los desafíos de un panorama de amenazas cada vez más hostil, junto con la falta de personal, experiencia y presupuesto, están impulsando a las organizaciones hacia las tecnologías de orquestación, automatización y respuesta de seguridad (SOAR)”.”

¿Qué contiene el informe SOAR más reciente de Gartner?

Gartner describe SOAR y sus componentes funcionales de forma bastante exhaustiva en su informe. Se centra en los beneficios y casos de uso comunes de SOAR. Además, Gartner ofrece recomendaciones para las empresas que consideran o implementan herramientas SOAR y concluye con una lista de proveedores representativos, incluyendo Swimlane. El estudio distingue entre conceptos clave de SOAR, como la automatización y orquestación de la seguridad, la gestión de incidentes, la colaboración, los paneles de control y la generación de informes.

Las recomendaciones clave del informe incluyen:

• Comience con un enfoque simple donde la automatización se pueda implementar fácilmente y donde las organizaciones obtendrán un retorno de la inversión inmediato, incluido un tiempo medio de detección (MTTD) y un tiempo medio de resolución (MTTR) reducidos.
• Concéntrese en automatizar tareas y orquestar la respuesta a incidentes.
• Aproveche la inteligencia sobre amenazas externas para mejorar la eficacia de las tecnologías de seguridad y los procesos de respuesta a incidentes.

Swimlane y SOAR

Swimlane facilita la implementación de los principios SOAR, tal como se describe en el informe de Gartner. Automatiza las operaciones de seguridad de los equipos empresariales. Swimlane permite a los analistas de seguridad automatizar tareas repetitivas como la recopilación de datos, la generación de informes y la respuesta a falsos positivos. Un panel de gestión de SecOps diseñado específicamente rastrea todas las tareas de seguridad empresarial y proporciona acceso centralizado a casos, informes, paneles y métricas para individuos y equipos.

Esta es la esencia de SOAR. Swimlane implementa la automatización basada en máquinas recomendada en el informe, reduciendo los tiempos de investigación de incidentes.

Quizás Scotty se equivocaba, después de todo. Quizás se puedan cambiar las leyes de la física, o al menos las de la ciberseguridad. Con SOAR, muchas cosas que antes parecían imposibles ahora son alcanzables.