Mitos del SOAR que no debes cree
Debido a que la tecnología de SOAR es relativamente nueva y que aún se encuentra en evolución, es posible que haya algunos conceptos erróneos sobre su alcance, uso, consecuencias y esfuerzo requerido para su despliegue; sin embargo, existen mitos en los cuales no se debe creer, para ello los vamos a informar al respecto.
MITOS DEL SOAR
1. El SOAR reemplazará a sus equipos de seguridad: la automatización siempre tiene una connotación negativa con respecto al reemplazo de trabajo y eliminación del talento humano. Pero en este caso, NO es así. El SOAR tiene como objetivo lograr un equilibrio entre la automatización impulsada por máquinas y la toma de decisiones impulsada por humanos para mejorar las operaciones de los equipos de seguridad.
2. SOAR es un término elegante para SIEM: La mayoría de las compañías como parte de su estrategia de seguridad tienen una herramienta de gestión y correlación de Eventos e información de seguridad (SIEM) implementada en las compañías. Las herramientas SIEM y la herramienta SOAR tienen algunas características similares, tales como; generación de casos de uso, integraciones de productos y correlación de datos. Sin embargo, es incorrecto suponer que cualquiera de las herramientas podría hacer el trabajo de la otra. Las herramientas SIEM monitorean varias fuentes de datos, correlacionan eventos, y realizan agregación, pero no tienen las capacidades para coordinar las alertas y automatizar la respuesta de las mismas. Mientras que el SOAR puede coordinar y automatizar la respuesta de diversas tecnologías, a través de las alertas.
3. La organización de la seguridad y la automatización de la seguridad son lo mismo: al educar a los usuarios sobre nuevas tecnologías, las personas de la industria a veces intercambian con entusiasmo y de manera incorrecta los términos SOAR y automatización de la seguridad. La automatización de la seguridad hace que las máquinas realicen trabajos humanos orientados a tareas. SOAR ejecuta tareas utilizando la interconectividad de diferentes productos (tanto de seguridad como no relacionados con la seguridad) y automatiza las tareas en todos los productos a través de flujos de trabajo. SOAR también permite la supervisión y la interacción del usuario final. La automatización de la seguridad es un subconjunto de la orquestación de la seguridad. La orquestación de la seguridad implica la combinación de personas, procesos y tecnología para mejorar la postura de seguridad de una organización. La automatización de la seguridad se centra más en el aspecto tecnológico.
4. Los manuales SOAR son “talla única para todos”: a pesar que los conceptos son generales para todos, cada empresa debe adoptar su concepto de SOAR y adaptarse según sus necesidades para ello es necesario que cuente con la asesoría de talento humano especializado como con el que cuenta ART2SEC. Para dar el contexto que necesita la compañía.
5. SOAR solo está destinada a las grandes empresas: debido a que SOAR implica la coordinación de acciones a través de múltiples productos de seguridad, las personas a menudo asumen que solo las grandes empresas con centros de operaciones de seguridad (SOC) bien definidos y una amplia gama de productos extraerán valor de la orquestación de seguridad. Pero con un informe de Verizon de 2019 que afirma que el 43% de las víctimas de violación de datos son pequeñas empresas, la necesidad de una respuesta de alerta repetible y automatizada es evidente para las empresas de cualquier tamaño.
6. Cada proceso de seguridad puede (y debe) automatizarse: “automatizar o morir” es una forma concisa y amigable con el marketing de transmitir la urgencia y la necesidad de la automatización, pero describe incorrectamente la situación en blanco y negro. No todos los procesos y acciones de seguridad pueden (o deberían) automatizarse. Algunas tareas siguen siendo demasiado sensibles para la automatización sin supervisión y requieren procesos de aprobación manual. Algunas tareas siguen siendo demasiado sofisticadas y matizadas para la ejecución de la máquina y requieren equipos de seguridad.
7.La creación de libros de jugadas requerirá experiencia en codificación: aunque la experiencia en codificación nunca es algo malo, las herramientas de orquestación de seguridad brindan capas de abstracción para ayudar a nivelar el campo de juego y aumentar la productividad de los empleados que tienen experiencia en prácticas de seguridad, pero que pueden estar fuera de contacto con ellos.
Si bien el conocimiento de Python, el manejo de archivos JSON y JavaScript siempre ayudará, las herramientas de orquestación de seguridad deben apuntar hacia el ideal de la automatización sin código y seguir perfeccionando los conjuntos de características hasta que lleguen allí.
8. SOAR es solo para procesos reactivos: debido a que SOAR generalmente se promociona como una solución para lidiar con el aumento de los volúmenes de alerta, es fácil percibir que el valor de la orquestación se limita a los procesos reactivos. Pero algunos beneficios deL SOAR también se transfieren a procesos proactivos y programados que los equipos de seguridad no tendrían tiempo de realizar de otra manera.
Si quieres conocer más acerca de la herramienta SOAR y el proceso adecuado para llevar a cabo la implementación de la tecnología de manera exitosa en tu empresa no dudes en escribirnos y uno de nuestros especialistas de ART2EC aclarara todas tus dudas. Entre más rápido utilices está herramienta que el sistema te ofrece más pronto estarás dispuesto a enfrentar los incidentes de ciberseguridad.
