Plataformas De Orquestación, Automatización Y Respuesta De Seguridad (SOAR) en comparación

¿Cómo funciona una plataforma de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR están diseñadas para automatizar las operaciones de seguridad. Pueden utilizarse para diversos fines, como la respuesta a incidentes y la caza de amenazas. La plataforma suele estar formada por tres componentes principales: orquestación, automatización y análisis/informes. La orquestación permite al usuario definir qué acciones deben producirse cuando se produce un evento o a intervalos regulares (por ejemplo, cada cinco minutos). A continuación, la automatización ejecuta esas tareas definidas en orden, basándose en los sucesos ocurridos en el entorno supervisado por el sistema (es decir, si ocurre esto, haz estas cosas; si no, haz otra cosa). La analítica proporciona capacidades de elaboración de informes para que los usuarios puedan ver el rendimiento de sus sistemas a lo largo del tiempo, así como identificar tendencias que puedan indicar posibles problemas en su infraestructura o en las aplicaciones que están supervisando a través de ella.

¿Qué tipos de plataformas de orquestación, automatización y respuesta de seguridad (SOAR) existen?

Hay dos tipos de plataformas SOAR. La primera es una plataforma que proporciona capacidades de orquestación, automatización y respuesta para toda la pila de seguridad de la empresa (por ejemplo, SIEM, NAC). Este tipo de solución puede utilizarse para automatizar tareas en múltiples tecnologías, como cortafuegos, sistemas IDS/IPS y plataformas de protección de puntos finales. Estas soluciones suelen tener una arquitectura basada en agentes, en la que éstos deben instalarse en cada dispositivo gestionado para proporcionar visibilidad de los eventos que se producen en los dispositivos o redes que gestionan. Además, estos productos suelen requerir una importante personalización por parte del personal de TI antes de poder empezar a automatizar los procesos en torno a casos de uso específicos, como la gestión de parches o el escaneo de vulnerabilidades, porque la mayoría de los proveedores no ofrecen una integración inmediata con herramientas de terceros, como Nessus® Vulnerability Scanner de Tenable Network Security®, Inc.El segundo tipo de plataforma SOAR es el que se centra únicamente en proporcionar funciones de orquestación y automatización para los dispositivos de seguridad de la red, como los cortafuegos, los dispositivos IPS/IDS y las pasarelas VPN, sin requerir la instalación de ningún software adicional en los puntos finales gestionados más allá de lo que ya existe en ellos (es decir, el software antivirus), software antivirus). Como esta clase de producto no depende de la instalación de agentes en cada uno de los puntos finales que se

¿Cuáles son las ventajas de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR están diseñadas para automatizar las operaciones de seguridad y orquestar las respuestas. Pueden utilizarse para la respuesta a incidentes, la gestión de vulnerabilidades, la supervisión del cumplimiento de la configuración (CCM), el análisis de registros y mucho más. La plataforma suele desplegarse como un dispositivo virtual o un software local que se integra con los componentes de infraestructura existentes, como SIEM, cortafuegos/dispositivos IPS y otros dispositivos de red. Proporciona una manera fácil de integrar sistemas dispares en una solución cohesiva sin tener que comprar hardware adicional o contratar a nuevos miembros del personal que tengan los conocimientos necesarios para implementar estas soluciones individualmente.

¿Cuáles son las desventajas de las plataformas de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR no son una bala de plata. Requieren una importante inversión de tiempo y recursos para su implantación, configuración, prueba y mantenimiento. La plataforma debe ser capaz de manejar el volumen de alertas generadas por tus herramientas de seguridad, así como proporcionar una interfaz intuitiva para los analistas que sea fácil de usar, pero que también les proporcione toda la información que necesitan a la hora de responder rápidamente durante un escenario de respuesta a un incidente.

¿Qué empresas deberían comprar una plataforma de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR son para empresas que tienen un gran número de productos de seguridad y quieren automatizar el proceso de gestión, supervisión, alerta y respuesta. También necesitan poder integrarse con otros sistemas, como el SIEM o el sistema de tickets.

¿En base a qué criterios deberías comprar una plataforma de orquestación, automatización y respuesta de seguridad (SOAR)?

Los criterios para comprar una plataforma SOAR son similares a los de cualquier otra compra tecnológica. Debes tener en cuenta los siguientes factores al evaluar una solución SOAR:

¿Cómo se implementa una plataforma de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR se implementan de varias maneras. La implementación más habitual es desplegar la plataforma como un dispositivo, que puede desplegarse en las instalaciones o en la nube. Otra opción es utilizar una solución sólo de software que se ejecuta en la infraestructura existente y no requiere la compra de hardware adicional. Una tercera opción es que las organizaciones con un gran número de puntos finales (como las empresas) implementen su propia Plataforma SOAR utilizando componentes de código abierto como Ansible Tower, Jenkins X y Kubernetes Engine. Este enfoque les permite construir sus propias plataformas personalizadas de respuesta de automatización de la orquestación de la seguridad sin tener ningún problema de bloqueo de proveedores asociado a las soluciones propietarias de proveedores como IBM Security o Cisco Umbrella Enterprise Threat Defense (ETD).

¿Cuándo debes implantar una plataforma de orquestación, automatización y respuesta de seguridad (SOAR)?

Las plataformas SOAR se implementan mejor cuando tienes un programa de seguridad maduro. Esto significa que tu organización ya ha invertido tiempo y dinero en la creación de los siguientes componentes de una estrategia de ciberseguridad eficaz: Centro de Operaciones de Seguridad (SOC): un SOC es responsable de supervisar, analizar y responder a las amenazas contra tu infraestructura de red. El SOC debe estar dotado de personal 24 horas al día, 7 días a la semana, con profesionales formados que puedan responder rápidamente a cualquier amenaza o incidente detectado en la red. Un SOC eficaz también proporcionará visibilidad de todos los dispositivos conectados a la red corporativa para poder identificar posibles vulnerabilidades antes de que se conviertan en problemas.- Un SOC es responsable de supervisar, analizar y responder a las amenazas contra tu infraestructura de red. El SOC debe estar dotado de personal 24 horas al día, 7 días a la semana, con profesionales formados que puedan responder rápidamente a cualquier amenaza o incidente detectado en la red. Un SOC eficaz también proporcionará visibilidad de todos los dispositivos conectados a la red corporativa para que puedan identificar posibles vulnerabilidades antes de que se conviertan en problemas. Plan de Respuesta a Incidentes de Seguridad (SIRP) - Tu SIRP define cómo se gestionan los incidentes una vez descubiertos en tu entorno; incluye procedimientos como los pasos que hay que dar durante un evento de ataque, como una infección de ransomware o una campaña de phishing dirigida a los empleados con enlaces maliciosos enviados a través de archivos adjuntos de correo electrónico que contienen malware