INCIBE: Tu ayuda en Ciberseguridad
SOAR ayuda a los equipos de seguridad a actuar rápidamente frente a las crecientes amenazas.
Los equipos de seguridad operan frente a amenazas crecientes. La investigación sugiere que el 79% de las organizaciones sufrieron un ciberataque el año pasado, con un aumento de los ataques cibernéticos y de los estados nacionales.
Para contrarrestar esto, los CISO dependen de una gran cantidad de herramientas y técnicas de seguridad. Una gran empresa típica puede utilizar 15 o más herramientas de seguridad independientes y desconectadas. Pero la variedad y diversidad de herramientas en uso crea un desafío por derecho propio.
Cada herramienta necesita gestión y mantenimiento. Aunque los últimos sistemas de seguridad proporcionan inteligencia operativa vital, los equipos de seguridad y los centros de operaciones de seguridad (SOC) corren el riesgo de verse abrumados por demasiados datos y demasiadas tareas. Y todo esto está sucediendo a medida que sigue aumentando el número de amenazas a la seguridad.
Estamos llegando al punto en el que las cargas de trabajo de SOC corren el riesgo de exceder la capacidad de los analistas humanos. Como resultado, la respuesta de seguridad de la organización es más lenta y menos efectiva. Y la naturaleza desconectada y aislada de las aplicaciones de seguridad crea sus propios problemas. En el peor de los casos, se pueden pasar por alto las amenazas.
La opción SOAR
Una solución, y cada vez más favorecida por las empresas, es invertir en una plataforma de seguridad integrada como SOAR.
SOAR, o Security Orchestration, Automation and Response, reúne el monitoreo de inteligencia y la respuesta a incidentes, junto con herramientas de colaboración en tiempo real y libros de jugadas que capturan las mejores prácticas.
SOAR agrega una única interfaz para controlar las herramientas de múltiples proveedores y combina alertas en tiempo real y datos de incidentes con fuentes de inteligencia de amenazas externas.
La generación actual de tecnologías SOAR admite la colaboración en tiempo real incorporada y se integra con las plataformas de gestión de servicios al cliente. Y SOAR puede estandarizar y documentar acciones durante un incidente.
Una característica adicional y cada vez más importante es el soporte para la automatización. Las herramientas SOAR de última generación utilizan el aprendizaje automático para mejorar la respuesta a incidentes. Cada vez que una organización se enfrenta a una amenaza, el SOC se vuelve más efectivo a medida que el aprendizaje automático aumenta el conocimiento de los comandos más efectivos para ejecutar e incluso de los mejores analistas para manejar los casos.
Respuestas más rápidas, amenazas reducidas
En conjunto, las características clave de SOAR (colaboración, inteligencia de amenazas integrada, automatización, gestión de casos y guías de respuesta a incidentes) pueden llevar a tiempos de respuesta a incidentes un 90% más rápidos. También reducen el número de alertas que necesitan intervención humana hasta en un 95%.
Esto mejora en gran medida el MTTR (tiempo medio de respuesta) del SOC, una medida clave de la eficacia del SOC.
La reducción de MTTR reduce el tiempo de permanencia de un ataque, o el tiempo que un adversario o pirata informático permanece en el sistema, antes de que se detecten y se cierren sus actividades.
La consolidación de las herramientas de seguridad en una plataforma SOAR también aporta otros beneficios. Mejora la visibilidad en toda la organización al vincular la inteligencia de amenazas a los informes de incidentes en tiempo real. La vinculación de las fuentes de datos internas y la inteligencia de amenazas externas brinda más contexto en torno a los eventos de seguridad y ayuda a los SOC a priorizar las amenazas más críticas.
Y la automatización permite que los especialistas en SOC sean más proactivos. Los equipos pueden ver, de un vistazo, si los sistemas necesitan parches o si la protección de punto final está actualizada. Libera a los analistas humanos para manejar los incidentes más complejos y dedica tiempo a otras tareas, como trabajar con las partes interesadas de la organización y mejorar la conciencia de seguridad.
Ventajas de XSOAR
Cortex XSOAR de Palo Alto es un ejemplo de cómo las herramientas SOAR se están convirtiendo en plataformas que ayudan a los SOC a responder de manera más rápida y eficaz, y ayudan a los equipos de seguridad de TI a trabajar en entornos locales, híbridos y en la nube.
XSOAR adopta un enfoque abierto, con la integración y agregación de inteligencia de amenazas, incluidos los feeds existentes del cliente, los datos de la propia supervisión e inteligencia estratégica de Palo Alto Networks desde Unit42. Luego, asigna automáticamente la información de amenazas a los incidentes.
Este enfoque abierto continúa por la forma en que los proveedores pueden conectarse a la plataforma. Actualmente, XSOAR es compatible con más de 700 productos, incluye manuales de respuesta a incidentes probados y es compatible con paquetes de contenido de terceros que los usuarios pueden implementar directamente desde el panel de control.
Esto está respaldado por un motor de aprendizaje automático que utiliza incidentes pasados para mejorar su orientación al SOC, así como informes automatizados y pistas de auditoría posteriores a la investigación.
En conjunto, Cortex XSOAR es una de las formas más efectivas de mejorar el rendimiento de SOC, lo que permite a los equipos de seguridad ampliar sus operaciones en un entorno donde los analistas se enfrentan a lidiar con demasiados, quizás miles, de 10,000 o más incidentes cada semana. Y XSOAR trabaja con instalaciones SIEM existentes, por lo que los CISO pueden aprovechar sus inversiones existentes.
Fecha actualización el 2021-09-10. Fecha publicación el 2021-09-10. Categoria: ciberseguridad Autor: Oscar olg Mapa del sitio Fuente: csoonline