Skip to Content

¿Qué es SOAR?

En ciberseguridad, SOAR significa orquestación, automatización y respuesta de seguridad. Incluye cualquier software o herramienta que permita que las empresas recojan y analicen los datos relacionados con la ciberseguridad.

¿Qué es SOAR y cómo funciona?

Los sistemas SOAR permiten que las organizaciones utilicen varias herramientas y funcionalidades para aprovechar todos sus datos relacionados con la ciberseguridad con el fin de responder mejor a los incidentes.

Los componentes principales de un sistema SOAR son:

Orquestación

La orquestación de la seguridad acelera y mejora la respuesta a los incidentes, al integrar y analizar los datos procedentes de diversas tecnologías y herramientas de seguridad. La orquestación también incluye la coordinación de las diferentes tecnologías de ciberseguridad, para ayudar a las organizaciones a tratar los incidentes de ciberseguridad complejos. Una herramienta SOAR puede, por ejemplo, recopilar, ordenar y cotejar los datos operativos informáticos de seguridad de la red, usando los datos de las herramientas de supervisión de la red como base de referencia para las reglas del cortafuegos.

Automatización

Una de las funciones clave de cualquier herramienta SOAR es la automatización, que acaba con la necesidad de detectar y responder manualmente a los incidentes de seguridad, que es algo que consume mucho tiempo. Los sistemas SOAR pueden, por ejemplo, seleccionar automáticamente ciertos tipos de eventos y permitir que los equipos de seguridad definan unos procedimientos estandarizados y automatizados, como, por ejemplo, los flujos de trabajo de toma de decisiones, las comprobaciones de estado, el cumplimiento y la contención y la auditoría.

Respuesta

Las plataformas SOAR recopilan datos de otras herramientas de seguridad, como los sistemas de gestión de la información y los eventos de seguridad (SIEM) y las fuentes de inteligencia sobre amenazas. Priorizan los eventos de seguridad y envían la información clave sobre los incidentes de seguridad al personal encargado de esta.

Gestión de casos

La gestión de los casos es un componente fundamental de cualquier plataforma SOAR. La funcionalidad de gestión de casos proporciona a los analistas de seguridad acceso a los registros de casos individuales, para que puedan analizar e interactuar dinámicamente con cualquier dato relacionado con cualquier incidente concreto y usar dicho análisis para mejorar e iterar sus procesos de respuesta de seguridad.

Panel de control

El panel de control de una herramienta SOAR ofrece una vista general de todo lo que está ocurriendo en relación con los números 1, 2, 3, 4 y superiores —es decir, todos los datos y la actividad relacionados con la seguridad, incluidos los eventos destacados y su gravedad, los playbooks (cuadernos de estrategias), las conexiones con otras herramientas de seguridad, las cargas de trabajo e incluso un resumen del rendimiento de la inversión de las actividades automatizadas—. Normalmente, el panel de control SOAR se puede filtrar por periodo de tiempo, fuente de datos o usuario. Los widgets se pueden activar y desactivar o reorganizar según sus especificaciones. En resumen, es el punto central desde el que puede monitorizar todo lo que su sistema SOAR está haciendo y lo bien que lo está haciendo.

¿Cómo identifica las amenazas una solución SOAR?

Los sistemas SOAR examinan y recogen datos de una variedad de fuentes y luego usan una combinación de aprendizaje humano y automático para analizar dichos datos, con el fin de detectar las posibles amenazas y priorizar los planes y las acciones de respuesta a los incidentes. Habitualmente, las empresas automatizan el sistema SOAR para que contribuya a la ciberseguridad de la manera más eficiente posible.

Origen de los datos de una solución SOAR

Los sistemas SOAR extraen y analizan datos procedentes de varias fuentes distintas, incluidos:

  • Los detectores de vulnerabilidades, que son programas informáticos diseñados para evaluar los puntos débiles de la seguridad de los ordenadores, las redes o las aplicaciones.
  • El software de protección del punto de conexión, que protege los puntos de conexión de una organización, como los servidores y los ordenadores personales, de las infecciones de malware, los ciberataques y otras amenazas.
  • Los Firewalls, son sistemas de seguridad de la red que supervisan y controlan el tráfico entrante y saliente de la red a partir de unas reglas de seguridad predeterminadas.
  • Los sistemas de detección y de prevención de las intrusiones, que son herramientas de seguridad de la red que monitorizan continuamente las redes en busca de actividad maliciosa y que toman medidas para prevenir este tipo de actividad.
  • Las plataformas de gestión de la información y los eventos de seguridad (SIEM), que agregan los datos de los registros y las alertas y los eventos de seguridad en una plataforma centralizada, para realizar análisis en tiempo real con los que supervisar la seguridad y generar alertas.
  • Las fuentes externas de inteligencia sobre amenazas, que incluyen cualquier dato procesable sobre amenazas recogido de proveedores externos que permita mejorar la respuesta y la sensibilización en materia de ciberamenazas.

Las principales ventajas de las soluciones SOAR

Los sistemas SOAR permiten responder de un modo más efectivo y eficiente a los incidentes, gracias a dos beneficios principales:

  • Una respuesta más rápida a los incidentes: un sistema SOAR ayuda a las empresas a reducir el tiempo medio de detección (MTTD) y el tiempo medio de restauración (MTTR), al reducir de meses a semanas o minutos el tiempo necesario para calificar las alertas de seguridad y corregirlas. Una solución SOAR también permite automatizar la respuesta a los incidentes a través de unos procedimientos conocidos como playbooks (cuadernos de estrategias). Las acciones de esta automatización incluyen el bloqueo de direcciones IP en un cortafuegos o sistema IDS, la suspensión de direcciones de usuario y la puesta en cuarentena de los puntos de conexión infectados de una red.
  • Una mejor inteligencia sobre ciberseguridad: como los sistemas SOAR pueden agregar y analizar datos procedentes de muchas fuentes distintas, mejoran el contexto de todos los tipos de amenazas de ciberseguridad y reducen las falsas alarmas, con lo que ayudan a los equipos de seguridad para que trabajen más rápidamente en lugar de tener que trabajar más.

SOAR versus SIEM

Tanto los sistemas SOAR como los SIEM manejan datos referidos a las amenazas a la seguridad y permiten responder mucho mejor a los incidentes de seguridad.

Sin embargo, una solución SIEM agrega y correlaciona datos de múltiples sistemas de seguridad para generar alertas, mientras que un sistema SOAR actúa como motor de respuesta y corrección de dichas alertas.

Si usamos una analogía automovilística, el SIEM es el combustible del motor de un coche, mientras que el SOAR es el propio motor, porque usa el combustible para proporcionar el resultado y la acción y para hacer que todo funcione automáticamente.

Qué buscar en una herramienta SOAR

Sea cual sea la herramienta SOAR que elija, esta debería ser capaz de:

  • Introducir y analizar datos y alertas de diferentes sistemas de seguridad.
  • Elaborar y automatizar flujos de trabajo que ayuden a las empresas a identificar, priorizar, investigar y responder a las amenazas y las alertas de seguridad.
  • Integrarse fácilmente con otras herramientas para mejorar el funcionamiento.
  • Realizar análisis posteriores a los incidentes para mejorar los procesos de respuesta y la eficiencia de la respuesta a los incidentes.
  • Automatizar la mayoría de las operaciones de seguridad para eliminar las redundancias y permitir que los equipos de seguridad se concentren en las tareas que requieren una mayor participación humana.

Por supuesto, un sistema SOAR puede incluir muchas más funcionalidades, pero la lista de arriba puede considerarse como la de elementos imprescindibles de una herramienta SOAR.

Un ejemplo SOAR del mundo real: la respuesta al phishing

Los emails de phishing son una grave amenaza, no solo para las personas, sino también para los equipos de seguridad de las empresas, ya que algunos de ellos están tan bien hechos que pueden vulnerar datos de gran importancia. Con un sistema SOAR en funcionamiento, las empresas pueden rechazar los ataques de phishing y prevenir además que se produzcan en el futuro.

Una herramienta SOAR examina los emails que se sospecha que son malintencionados, extrayendo y analizando diversos artefactos, como la información del encabezamiento, las direcciones del email, las URL y los datos adjuntos. Luego clasifica la amenaza, determinando primero si se trata realmente de una amenaza y, en caso de serlo, estableciendo su nivel de gravedad.

Si la herramienta SOAR determina que el email es malintencionado, actúa de la siguiente manera:

  • Bloquea el email en todos los buzones de correo.
  • Impide que se ejecuten los archivos ejecutables relacionados con el email.
  • Bloquea las URL o las direcciones IP de origen.
  • Pone en cuarentena la estación de trabajo del usuario afectado, si es necesario.

Evidentemente, los sistemas SOAR no pueden garantizar que detectarán y bloquearán todos los emails de phishing. Pero si uno de estos emails se escapa, las funcionalidades de gestión de casos permiten que los equipos de seguridad investiguen lo ocurrido y por qué ha ocurrido y usen dichos conocimientos para mejorar la capacidad de su sistema para detectar las amenazas e impedir que avancen.

SOAR: conclusión

Los sistemas SOAR reducen el tiempo de investigación y respuesta, que pasa de horas a minutos. También disminuyen considerablemente el riesgo para la organización, al usar solo los datos de más calidad sobre las amenazas con el fin de optimizar las operaciones de seguridad. En última instancia, permiten una asignación más estratégica de la inteligencia y los analistas humanos, gracias a lo cual las empresas pueden maximizar sus recursos internos y minimizar las amenazas externas.

CONTACTAR CON NOSOTROS
¿Preguntas, comentarios?

¿Tiene alguna pregunta o comentario sobre los productos o las certificaciones de Pure?  Estamos aquí para ayudarle.

Programe una Demostración

Programe una demostración en vivo y vea personalmente cómo Pure puede ayudarle a convertir sus datos en unos resultados potentes. 

Llámenos al: +34 51 889 8963

Medios de comunicaciónpr@purestorage.com

 

Castellana 81

28046 Madrid

Oficinas Pure: 1415 y 1417 (planta 14)

info@purestorage.com

CERRAR
Your Browser Is No Longer Supported!

Older browsers often represent security risks. In order to deliver the best possible experience when using our site, please update to any of these latest browsers.