Los riesgos de elegir una solución SOAR “suficientemente buena”

“Suficientemente bueno” puede ser la respuesta, pero probablemente no vaya a resolver el problema.

Los CISO se esfuerzan por mantenerse al día con la creciente superficie de ataque, los recursos limitados y las crecientes exigencias de cumplimiento normativo, lo que convierte la opción "suficientemente buena" en una opción atractiva y obligatoria. Desafortunadamente, si bien la intención de implementar una solución de orquestación, automatización y respuesta de seguridad (SOAR) "suficientemente buena" puede parecer que aumenta la productividad de su equipo y reduce el riesgo, en realidad podría estar causando más daño que beneficio. Las soluciones de seguridad "suficientemente buenas" pueden generar una falsa sensación de seguridad a corto plazo, pero a largo plazo, podrían significar un proyecto de desmantelamiento y reemplazo complejo. Puede evitar este problema seleccionando la solución SOAR adecuada desde el principio.

Seleccionar la solución adecuada

Elegir la herramienta adecuada para cualquier trabajo es fundamental. No se elige un cuchillo de carne cuando en realidad se necesita una sierra. Con tantas soluciones SOAR disponibles, ¿cómo saber cuál se adapta mejor a las necesidades específicas de su centro de operaciones de seguridad (SOC)? Durante el proceso de selección, es posible que se sienta atraído por la primera solución que parezca simple y fácil de usar, pero tenga en cuenta que este tipo de soluciones suelen ir en detrimento de la escalabilidad y la productividad a largo plazo.

¿Cómo diferenciar una solución SOAR "suficientemente buena" de una completa? Hay varias maneras de hacerlo, pero empiece por centrarse en soluciones que le permitan a usted y a su equipo ser más productivos, a la vez que busca asegurar el futuro de su estrategia operativa a largo plazo.

Hay varias señales de alerta que pueden provocar el arrepentimiento del comprador. Analicemos seis de ellas:

1. Aplicabilidad limitada en el mundo real Las operaciones de seguridad son una tarea frenética, y es fácil concentrarse en cerrar alertas, casos y tareas para poder pasar a la siguiente. Sin embargo, los investigadores observan que cada vez más atacantes utilizan infraestructuras menos centralizadas para organizar sus ataques, lo que significa que la inteligencia de amenazas no siempre es tan rápida para identificar infraestructuras maliciosas de comando y control (C2). Su producto SOAR necesita una automatización de larga duración que rehidrate la telemetría a medida que se actualizan la inteligencia de amenazas y otras fuentes de investigación. De lo contrario, ese caso que no encontró información de amenazas y que cerró apresuradamente podría ser un nuevo servidor C2 solo para usted.

2. Inflexibilidad Una de las claves para identificar rápidamente una solución SOAR "suficientemente buena" es examinar la flexibilidad de los principales aspectos de la plataforma: el motor de automatización, la experiencia del usuario y el marco de integración. Las soluciones "suficientemente buenas" requieren seguir pasos rígidos, dictados por el proveedor, que no son aplicables, están duplicados o son irrelevantes para su entorno. Es importante encontrar una solución configurable y ágil. Una plataforma de automatización extensible es flexible, resiliente y rica en funcionalidades, lo que le permite desarrollar sus casos de uso, teniendo en cuenta su entorno único, sus procesos internos y los requisitos de cumplimiento. Sin una plataforma tan completa, su equipo se sentirá rápidamente limitado y frustrado por las pocas oportunidades para aplicar la automatización a sus actividades diarias.

3. Falta de integraciones de proveedores – Integraciones Son fundamentales para la funcionalidad de SOAR. ¿La solución que está evaluando ofrece integraciones con las herramientas que utiliza actualmente? ¿Con qué rapidez y frecuencia añaden nuevas integraciones? Tenga cuidado con los proveedores que priorizan las integraciones con sus propias líneas de productos en lugar de las de terceros. Además, considere qué integraciones necesitará en el futuro. ¿Serán todas para una sola empresa de cartera o provendrán de una plataforma tecnológica diversa que abarque seguridad, DevOps, TI e infraestructura en la nube?

4. El foco no está en SOAR Algunos proveedores de SOAR cuentan con extensas líneas de productos, y SOAR es solo una pequeña contribución a su línea general. Es importante saber cuándo SOAR no es el sustento de una empresa. ¿Dedicarán tiempo a innovar e iterar adecuadamente su solución SOAR, o simplemente se incluye por un costo nominal o se utiliza como incentivo para comprar un producto diferente? Desarrollar tecnología es un oficio como cualquier otro y, además de usar la herramienta adecuada para el trabajo, también es importante elegir al socio ideal: un socio con amplia experiencia y objetivos alineados.

5. No escala A medida que su organización crece, su solución SOAR también debe hacerlo. Ya sea que se trate de una organización empresarial o de un MSSP, la falta de... escalabilidad Puede tener un gran efecto negativo si se intenta superar los límites de capacidad de una solución SOAR "suficientemente buena". La cantidad de datos que los equipos de seguridad deben gestionar aumenta, no disminuye, junto con la superficie que deben proteger.

6. Centrarse en el coste frente a las capacidades Todos tenemos un presupuesto limitado. Resulta atractivo cuando parece que puedes conseguir una solución SOAR completa a un precio económico o incluso obtener la mayor parte de lo que crees necesitar como complemento. Pero lo que estas opciones económicas ocultan es que estás sacrificando las capacidades necesarias por este menor coste. Una solución completa puede parecer más cara al principio, pero... retorno de la inversión (ROI) compensará con creces esa diferencia de costos.

En definitiva, la solución SOAR adecuada ayuda a su equipo de operaciones de seguridad a ser más eficaz y eficiente. Por eso, aunque algunas soluciones puedan resultar atractivas por su interfaz aparentemente sencilla o su bajo precio, vale la pena dedicar tiempo y esfuerzo a evaluarlas para asegurarse de que su solución SOAR se adapte a su equipo.