Comparte:
¿Qué es SOAR?
SOAR conecta todas las demás herramientas en su pila de seguridad en flujos de trabajo definidos, que se pueden ejecutar automáticamente. Permite aumentar la eficiencia de su equipo mediante la automatización de procesos manuales repetitivos. La automatización es muy importante en el mundo de la seguridad actual porque los equipos de seguridad están desbordados. A medida que se desarrollan nuevas herramientas para hacer frente a un panorama de amenazas en constante evolución, los analistas que utilizan esas herramientas tienen que alternar entre ellas para realizar sus tareas diarias.
Herramientas seguras SOAR
Una tarea común del día a día es responder a las alertas. Con más herramientas de seguridad vienen más alertas, que se abordan en una serie de procesos manuales y cambios de contexto, cambian de una herramienta a otra. Más alertas para responder cada día significa que tiene menos tiempo para gastar en cada alerta, lo que aumenta la probabilidad de cometer errores. Degradación del rendimiento en la cara de una avalancha de alertas se llama fatiga de alerta.
Una forma obvia de mitigar la fatiga de las alertas es simplemente contratar más analistas. Sin embargo, debido a la escasez de habilidades en seguridad cibernética, simplemente no hay suficientes analistas calificados para contratar. Entonces, si contratar más analistas no es una opción.
¿Cómo resolver la fatiga de alertas?
SOAR une las herramientas en su pila de seguridad. Al extraer datos de todas estas fuentes, SOAR reduce el cambio de contexto con el que tienen que lidiar los analistas. Por lo tanto, los analistas pueden realizar todos sus procesos de investigación habituales directamente desde la interfaz de origen.
Además, esos procesos se pueden traducir de forma manual o automática en un libro de jugadas, que es un conjunto de pasos similar a un diagrama de flujo que se puede repetir ha pedido. Al usar un libro de jugadas, puede asegurarse de que se sigan todos los pasos de su procedimiento operativo estándar. También tiene datos sobre exactamente qué se hizo, cuándo y quién lo hizo. Esta capacidad se denomina orquestación y automatización.
La investigación es otra capacidad crucial de SOAR. Cuando aparece una alerta sospechosa, los equipos pueden realizar sus tareas de investigación, como verificar las fuentes de inteligencia de amenazas para obtener una reputación o consultar un sistema de administración de información de seguridad (SIM), para eventos relacionados desde dentro de la plataforma SOAR.
La información obtenida de esta investigación determinará los pasos de mitigación requeridos. Entonces, dado que SOAR es un banco de trabajo unificado de todas sus herramientas de seguridad, también puede tomar esos pasos de mitigación desde dentro de SOAR.
Por ejemplo, desde SOAR puede bloquear el tráfico de una dirección IP maliciosa en su firewall o eliminar un correo electrónico de phishing de su servidor de correo electrónico. Al incorporar sus procesos estándar en libros de jugadas, puede reemplazar los procesos manuales repetitivos y lentos con la automatización a la velocidad de la máquina. La automatización libera a los analistas para dedicar más tiempo a investigar alertas críticas.
La implementación de SOAR en su ecosistema hace más que solo centralizar sus procesos de respuesta a incidentes: optimiza una operación completa. La optimización da como resultado respuestas optimizadas en velocidad de la máquina, lo que permite a los equipos mejorar la colaboración y administrar mejor la interminable ola de alertas.
Esto se debe a que SOAR permite a los usuarios asignar alertas a diferentes analistas o equipos en diferentes etapas del proceso de respuesta, y para que los usuarios asignados agreguen información a la alerta mientras trabajan en ella, de modo que otros que hagan referencia a esa alerta más adelante tendrán información adicional. Contexto sobre la investigación.

Ejemplificación SOAR
Expliquemos los libros de jugadas con más detalle. Los equipos usan libros de jugadas, es una forma de responder a alertas o incidentes de la misma manera cada vez. Estos funcionan al unísono con los equipos de seguridad al seguir los pasos que un analista normalmente implementaría al responder a un incidente.
Realizan las tareas repetitivas, como compilar datos en un informe, y pueden pausar cuando se necesita supervisión humana, como implementar un bloqueo de firewall. Los libros de jugadas son la clave para la capacidad de automatización de SOAR. Esto permite a los equipos mejoraren su velocidad de respuesta y consistencia, mientras mantienen la autoridad humana sobre el proceso. En última instancia.
Las investigaciones de phishing son uno de los casos de uso más comunes para SOAR implementado por los clientes. Realizar estas investigaciones generalmente significa tiempo dedicado a ingresar dominios y URL en una plataforma de inteligencia de amenazas.
Si los analistas determinan que un correo electrónico es dañino, deberán dedicar más tiempo a investigar su servidor de correo electrónico y SIM. Determinar quién recibió el correo electrónico, determinar quién hizo clic en él, eliminarlo, etc.
Después de que el analista confirme que un correo electrónico informado justifica una acción adicional, el libro de jugadas puede continuar realizando consultas SIM adicionales. Eliminando el correo electrónico de todas las bandejas de entrada de los usuarios, enviando un correo electrónico a todos los destinatarios para alertarlos sobre la acción tomada y brindando consejos útiles sobre qué hacer. Sí, reciben mensajes de phishing similares en el futuro.
Comparte: