SOAR frente a operaciones de seguridad: ¿qué está pasando realmente?

0 83 2 minutos de lectura

Escrito por John Czupak, director ejecutivo de ThreatQuotient

Se está gestando algo importante en el mundo de las operaciones de seguridad, pero ¿qué es exactamente? Regularmente nos vemos inundados con varias descripciones de herramientas y capacidades útiles (piense en Orquestación de seguridad, Automatización y respuesta (SOAR), Plataformas de inteligencia de amenazas (TIP), Respuesta a incidentes de seguridad (SIR), Caza y más).

Desafortunadamente, muchos de nosotros estamos igualmente confundidos acerca de las capacidades fundamentales de estas tecnologías y, más concretamente, los problemas que pretenden resolver. Quizás necesitemos refrescar la forma en que vemos este espacio, darle la vuelta un poco y comenzar desde una perspectiva diferente.

¿Qué problemas estamos tratando de resolver en el Centro de operaciones de seguridad (SOC) actual?

Si va directo al grano, hay muchas ineficiencias en los procesos, que resultan en tiempos de detección y respuesta retrasados. Por supuesto, hay muchos factores que contribuyen, incluidos, entre otros: equipos que trabajan en silos; aplicaciones y datos que no están integrados; alerta sobre la sobrecarga y la fatiga, así como la escasez de personal y talento. La respuesta de la industria ha sido agregar más herramientas como sistemas de emisión de boletos / infrarrojos, orquestación y automatización y TIP. De hecho, si mira hacia atrás en la primera definición de SOAR de Gartner, se alinea fundamentalmente con estas pilas de tecnología.

Entonces, ¿qué es diferente hoy? La conversación ha cambiado claramente a una discusión sobre el problema específico (es decir, casos de uso) junto con la forma en que la tecnología puede ayudar. Este concepto de un enfoque de caso de uso tiene mucho sentido, ya que centra la discusión en el problema en cuestión frente a intentar calzar una tecnología de “bala de plata” para cada situación. Algunos de los casos de uso más comunes que vemos incluyen cosas como:

Respuesta a incidentes: un enfoque organizado del proceso mediante el cual una organización maneja las secuelas de un ciberataque o violación de datos con el objetivo de limitar los daños y reducir el tiempo y el costo de recuperación.

Threat Hunting: la práctica de buscar de forma proactiva e iterativa actividad anormal dentro de las redes y sistemas en busca de signos de compromiso.

Gestión de inteligencia de amenazas: la práctica de agregar, analizar, enriquecer y eliminar la duplicación de datos de amenazas internas y externas para comprender las amenazas a su entorno.

Triage de alertas: el proceso de pasar de manera eficiente y precisa las alertas e investigarlas para determinar la gravedad de la amenaza y si la alerta se debe escalar o no a la respuesta a incidentes.

Gestión de vulnerabilidades: la práctica de descubrir, clasificar, priorizar y responder continuamente a las vulnerabilidades de software, hardware y red.

Spear phishing: la práctica de enviar correos electrónicos fraudulentos dirigidos a personas u organizaciones específicas con el fin de obtener acceso no autorizado a información confidencial.

Investigaciones y colaboración: la primera sala de situaciones de ciberseguridad de la industria diseñada para el análisis colaborativo de amenazas, la comprensión compartida y la respuesta coordinada.

Un cambio en la conversación: la aparición de nuevos requisitos tecnológicos

En la última guía de mercado SOAR de Gartner, publicada el 27 de junio de 2019, la evolución de SOAR avanza hacia lo que hemos creído desde el principio: la necesidad de una solución de operaciones de seguridad con todas las funciones diseñada para admitir múltiples actividades para operaciones de seguridad (p. Ej., Priorización de actividades , formalizando triaje e IR, automatizando la respuesta, permitiendo investigaciones, facilitando la colaboración y más). Esto puede interpretarse simplemente como una plataforma diseñada para múltiples usuarios y casos de uso.

Si bien SOAR solía significar simplemente orquestación para muchos, y los TIP se usaban únicamente para programas de inteligencia de amenazas y los SIR se usaban para respuesta a incidentes, las definiciones y el uso de estas tecnologías claramente están evolucionando rápidamente. El mercado necesita una plataforma de operaciones de seguridad para mejorar la eficiencia y la eficacia del SOC.

SOAR frente a operaciones de seguridad: ¿qué está pasando realmente?

Escrito por John Czupak, director ejecutivo de ThreatQuotient

Deja una respuesta Cancelar la respuesta

Las universidades están sufriendo ataques de secuestro de correo electrónico

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Escrito por John Czupak, director ejecutivo de ThreatQuotient

Publicaciones relacionadas

Servidores web Linux y BSD en riesgo de infección sofisticada de Mumblehard

Advertencia de las aplicaciones de acosador de la FTC

Biden nombra un nuevo equipo de ciberseguridad de ‘clase mundial’

¿El derecho al olvido o al borrado?

Deja una respuesta Cancelar la respuesta

Las universidades están sufriendo ataques de secuestro de correo electrónico