La tecnología ha evolucionado enormemente en los últimos años. Conectar las organizaciones a la velocidad que trae la revolución digital, es el ideal para incrementar la productividad y mejora de los procesos corporativos, sin embargo, todavía se necesita conciencia para su implementación.
En la actualidad, las organizaciones están implementando el uso de canales digitales, pero han evidenciado una mayor exposición a brechas de seguridad. Con la premisa de reducir este riesgo, comenzaron a aparecer tecnologías integrables entre sí, capaces de recopilar datos de amenazas y alertas de seguridad de diferentes fuentes, para luego analizar y clasificar esos incidentes combinando criterios (humanos) con grandes capacidades de cómputo.
Opinión: La nueva normalidad y herramientas de Transformación Digital
Ante esta situación, el objetivo es lograr un flujo que permita definir, priorizar y ejecutar actividades –automatizadas y/o estandarizadas- de respuesta a incidentes de Seguridad. De acuerdo con el informe Evolución de Gestión de Ciberseguridad de Gartner, la solución a esta problemática es el concepto SOAR (Security Orchestration, Automation and Response), del cual se pueden identificar 3 fundamentos para describirlo:
Manejo de Amenazas y Vulnerabilidades: integración de tecnologías y reportes para la remediación de vulnerabilidades.
Respuesta a Incidentes de Seguridad: planeamiento, gestión y seguimiento de respuesta a incidentes.
Automatización de Operaciones de Seguridad: coordinación de procesos, automatización de ejecución de políticas y reportes.
Esta visión es necesaria, teniendo en cuenta los avances y la multiplicación de los incidentes cibernéticos. Una de las premisas, es la inteligencia artificial, vista como uno de los principales activos tecnológicos para una organización y su futuro. El informe -El estado de la ciberseguridad-, encontró que el 81% de las empresas cree que la IA podrá mejorar la postura de seguridad de sus organizaciones.
La detección es ahora un problema de volúmenes, su complejidad se encuentra en responder a cada una de esas amenazas detectadas, la protección frente a posibles vulneraciones o robos de propiedad intelectual, esto motiva un cambio hacia la investigación en esta área, que pondrá el foco en una IA explicable y responsable.
Opinión: el enfoque de la inteligencia artificial para la gestión unificada de Endpoints
Del SIEM al SOAR, estamos cambiando todo
En 2005, el SIEM se popularizó por primera vez como una forma de colaboración a las organizaciones a monitorizar sus redes y sistemas TI de manera más efectiva, el panorama digital era marcadamente diferente. La adopción cloud fue mínima, las fuerzas de trabajo estaban menos distribuidas y se usaban muchos menos endpoints.
El panorama digital ha cambiado, y está creando una serie de nuevos desafíos para los desarrolladores de tecnologías SIEM. Si bien SIEM se basó en solo unas pocas fuentes de datos, como firewalls y sistemas de detección de intrusos (IDS / IPS). Las amenazas avanzadas (APTs) ahora son polimórficas en lugar de estáticas, capaces de cambiar constantemente su comportamiento para evadir la detección. Como tal, los sistemas SIEM no solo deben procesar más datos, sino que también deben ser mucho mejores para reconocer nuevos patrones dentro de ellos, además de evolucionar para facilitar la administración de todas estas tecnologías.
A pesar de su capacidad para aumentar la visibilidad de las amenazas, las tecnologías complementarias tienen el potencial de aumentar la fatiga de alertas y el tiempo muerto cuando el contexto cambia entre aplicaciones. La mejora del flujo de trabajo, la reducción de la carga de la monitorización de seguridad y la aceleración de la respuesta ante incidentes (CSIRT) son áreas que se deben mejorar para que los equipos de seguridad se den cuenta de otros beneficios más inteligentes y complementados: el objetivo es trabajar de manera más inteligente.
Frente a ello, se proyecta que el tamaño del mercado de Respuesta y Automatización de la Orquestación de Seguridad crezca de USD 868 millones en 2019 a USD 1.791 millones para 2024, a una tasa compuesta anual del 15.6% de 2019 a 2024. Los principales factores que impulsan el mercado incluyen el aumento número de falsas alertas.
Dicho esto, debemos considerar que una de las claves para poder optimizar el tiempo de respuesta ante incidentes es la automatización. A su vez, integrada con cada SIEM, de manera que las tareas de detección requieran cada vez menos intervención manual para llevarse a cabo y, por ende, menos tiempo.
Herramientas SOAR
La necesidad de disponer herramientas SOAR (Security Orchestration, Automation and Response) es un área de seguridad en crecimiento que los proveedores de SIEM deben aprovechar. Se ofrece como plataforma o como solución por los proveedores de ciberseguridad y permite a las organizaciones recopilar datos de varias fuentes y responder a las operaciones de seguridad desde un solo sistema.
Mientras que las soluciones SIEM tradicionales dependían en gran medida de una pequeña cantidad de fuentes de inteligencia de amenazas, las herramientas SOAR están impulsando a las organizaciones a recopilar mayores volúmenes de datos internos/externos y procesarlos de forma más rápida y precisa. Es una tendencia que está ayudando a las operaciones de seguridad a ser más inteligentes siendo impulsadas por Big Data, lo que permite a los equipos tomar decisiones más rápidas y mejor informadas.
Una inteligencia más amplia también significa una identificación de amenazas más confiable y con menos falsos positivos.
Las herramientas SOAR está influenciando ayuda a estandarizar los procedimientos de respuesta y análisis de incidentes. A través de la automatización de acciones de respuesta, como bloquear una dirección IP en un firewall o un sistema de detección de intrusos, suspender las cuentas de usuario o poner en cuarentena los puntos finales infectados de una red, las herramientas SOAR pueden ayudar a facilitar una respuesta a incidentes más rápida y, por lo tanto, reducir el daño potencial y las interrupciones que las violaciones pueden provocar.
La implementación de estas soluciones se realiza en organizaciones públicas o privadas para gestionar alertas de seguridad y prevenir nuevos ciberataques. A medida que aumenta el nivel de sofisticación en los vectores de ciberataques, las organizaciones están adoptando servicios de seguridad para abordar los riesgos crecientes en un panorama de amenazas en continua evolución.
Estamos avanzando de manera firme hacia una nueva forma de tratar los incidentes de seguridad, que cada vez siguen con el enorme crecimiento y complejidad de los vectores de ataque; pero sólo aquellas organizaciones con un grado de madurez en sus procesos y conciencia a la hora de asignar presupuesto a Seguridad podrán afrontar este reto. El desafío está planteado.