Mirar los archivos de registro generados por el software de infraestructura de TI es una de las partes menos interesantes del trabajo de un administrador de TI, pero esos archivos de registro determinan el estado del sistema y, de manera significativa, ofrecen información valiosa sobre actividades anómalas. Estos conocimientos pueden ayudar a frustrar una brecha de seguridad y minimizar la exposición de una organización a ciberataques dirigidos.
Las herramientas de gestión de eventos e información de seguridad (SIEM) y de orquestación, automatización y respuesta de seguridad (SOAR) tienen mucho en común, pero existen diferencias clave entre las dos que pueden influir en el mejor ajuste para su organización.
Dependiendo de la madurez y el tamaño del centro de operaciones de seguridad (SOC) de una organización, un enfoque puede ser más adecuado que el otro. Los responsables de la toma de decisiones de seguridad de TI también deben tener en cuenta la complejidad que implica la instalación y configuración de estos sistemas de seguridad y evaluar de manera realista si la amenaza que enfrenta la organización amerita los costos de implementación.
“SIEM surgió de la necesidad de consolidar registros en diferentes formatos de toda la red, incluidas las fuentes de eventos de seguridad de otros equipos, como los sistemas de detección de intrusos. [IDSs], cortafuegos y software de terminales de usuario ”, afirma Paddy Francis, director de tecnología (CTO) de Airbus CyberSecurity.
Junto con la recopilación de archivos de registro, dice Francis, un SIEM también proporciona un medio para buscar y analizar manualmente los datos, generalmente utilizando análisis de datos para generar alertas, presentar diferentes vistas de los datos a un analista de seguridad y proporcionar informes a las partes interesadas.
Además, un SIEM generalmente proporcionará una capacidad que permitirá desarrollar casos de uso de detección, dice. Estos buscan secuencias específicas de eventos que pueden indicar un ataque en curso y pueden proporcionar cierta integración en la emisión de tickets y otros sistemas relacionados.
Sin embargo, como señala Francis, un SIEM puede generar miles de eventos por segundo y los atacantes se están volviendo más sofisticados. “Alguna amenaza persistente avanzada [APT] los grupos ahora pueden tomar el control de una estación de trabajo e ingresar a la red en un tiempo promedio de menos de 20 minutos desde que un usuario hace clic en un enlace en un correo electrónico de phishing, y el promedio para todos los grupos es de menos de dos horas ”, dice. .
Esto ha llevado a la noción del desafío 1/10/60: la necesidad de detectar un ataque en un minuto, comprenderlo en 10 minutos y contenerlo en 60 minutos, dice Francis. Sin embargo, incluso los mejores analistas de SOC tendrán dificultades para cumplir con el desafío del 1/10/60 utilizando solo un conjunto de herramientas SIEM, señala.
Aquí es donde SOAR ayuda. En Gartner’s Guía de mercado para soluciones de orquestación, automatización y respuesta de seguridad, la firma de analistas afirma: “El caso de uso más común mencionado por los clientes de Gartner que planean implementar, o que ya han implementado, soluciones SOAR, es automatizar la clasificación de correos electrónicos sospechosos de phishing reportados por los usuarios. Este es un ejemplo clásico de un proceso que sigue un proceso repetible, de decenas a cientos de veces al día, con el objetivo de determinar si el correo electrónico (o su contenido) es malicioso y requiere una respuesta. Es un proceso maduro para la aplicación de la automatización “.
Un sistema SOAR está diseñado para acelerar la respuesta a un ataque mediante la automatización del proceso de respuesta y detección de incidentes. Puede integrarse con el SIEM, el sistema de emisión de tickets, las tecnologías de detección, los firewalls y los proxies, así como con las plataformas de inteligencia de amenazas, para automatizar la actividad general de detección y respuesta.
Automatización de seguridad
Para Francis, un equipo de operaciones de seguridad generalmente tendrá un libro de jugadas, que detalla las decisiones y acciones a tomar, desde la detección hasta la contención. Esto puede sugerir acciones para la detección de un evento sospechoso a través de la escalada y posibles respuestas. SOAR puede automatizar esto, dice, tomando decisiones autónomas que apoyan la investigación, obteniendo inteligencia sobre amenazas y presentando los resultados al analista con recomendaciones para acciones futuras.
SOAR está diseñado para acelerar la respuesta a un ataque mediante la automatización del proceso de respuesta y detección de incidentes.
“El analista puede entonces seleccionar la acción apropiada, que se llevaría a cabo automáticamente, o se puede automatizar todo el proceso”, dice Francis. “Por ejemplo, la detección de una posible transmisión de comando y control podría seguirse de acuerdo con el libro de jugadas para recopilar inteligencia de amenazas relevante e información sobre qué hosts están involucrados y otras transmisiones relacionadas”.
En este ejemplo, se notificaría al analista y se le daría la opción de bloquear las transmisiones y aislar los hosts involucrados. Una vez seleccionadas, las acciones se llevarían a cabo de forma automática, dice Francis. A lo largo del proceso, las herramientas de emisión de tickets y colaboración mantendrían informados al equipo y a las partes interesadas relevantes y generarían informes según sea necesario.
Cuando desplegar
Entonces, ¿SOAR es la respuesta al desafío del 10/1/60? Tom Venables, director de aplicaciones y seguridad cibernética de Turnkey Consulting, dice cuándo usar SIEM, dice que las organizaciones con una aplicación y un estado de red limitados, o donde la generación de informes es el objetivo principal, probablemente encontrarán que SIEM es suficiente por sí solo.
Pero cuando existe la necesidad de implementar acciones automatizadas basadas en eventos detectados, o cuando se requiere un manual consistente de respuestas que deben ejecutarse de la misma manera cada vez, Venables cree que SOAR se está volviendo cada vez más esencial para la empresa. Por ejemplo, si una máquina comienza a comunicarse repentinamente con un servidor en una ubicación no deseada (fuera de sus patrones habituales), Venables dice que una herramienta SOAR puede aislar esa máquina de los sistemas críticos o deshabilitar puertos específicos de la comunicación, según la naturaleza de la amenaza. .
La automatización también permite que el SOC, que puede no ser muy grande, se centre en la corrección de incidentes reales o realice análisis detallados. Como señala Venables, la incapacidad de tomar un curso de acción para mitigar los incidentes de manera oportuna puede ocurrir si el equipo no tiene tiempo suficiente para monitorear cada alerta y tomar medidas dentro de los niveles de servicio requeridos por la organización.
“Si las herramientas SOAR se implementan correctamente, pueden extraer información de múltiples plataformas de seguridad y herramientas operadas por la organización y pueden integrar plataformas de inteligencia de amenazas, sistemas SIEM y análisis de comportamiento de usuarios y entidades. [UEBA] para identificar automáticamente los indicadores de compromiso [IoC] que, de lo contrario, un analista del centro de operaciones de seguridad podría tardar horas en identificarlo ”, dice.
Al obtener información de seguridad, las organizaciones pueden responder y detener comportamientos sospechosos o maliciosos antes de que un humano detecte que algo está sucediendo, dice Venables. “El nivel de automatización en un sistema totalmente integrado también elimina una gran cantidad de falsos positivos de los análisis y las respuestas, lo que ahorra un valioso tiempo de los analistas”.
Sin embargo, a pesar de todas las ventajas de la automatización que ofrece SOAR, Venables cree que SIEM todavía tiene su lugar en una organización. “Además de capturar los datos de eventos y registros necesarios para la entrada SOAR, la capacidad de las herramientas SIEM para procesar sin esfuerzo grandes cantidades de datos significa que pueden implementarse en otras áreas comerciales, incluidas las métricas de emisión de tickets de la mesa de servicio y la previsión, rendimiento clave en tiempo real indicador [KPI] paneles de control y cumplimiento multiplataforma y generación de informes de riesgos ”, dice.
Por ejemplo, puede ser difícil para las personas identificar las causas fundamentales o los indicadores de problemas más importantes al clasificar todos los tickets registrados por una mesa de servicio ocupada. Pero, dice Venables, “un sistema SIEM sólido puede detectar tendencias rápidamente, correlacionarse con otras fuentes de datos y proporcionar pruebas claras de que algo requiere más atención”.
Decisiones de inversión
Venables también recomienda que las decisiones de inversión se basen en la organización más amplia y los procesos de seguridad ya establecidos dentro de ella. Por ejemplo, el marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST), que se está adoptando rápidamente como el estándar de la industria para la evaluación comparativa, divide la protección de la seguridad cibernética en cinco elementos constitutivos: identificar, proteger, detectar, responder y recuperar.
“Basado en las iteraciones actuales, SIEM es más adecuado para medir la efectividad y eficiencia de los dominios de identificación y protección, mientras que las capacidades de detección y respuesta están cubiertas por SOAR”, dice.
En la experiencia de Venables, las actividades y la carga de trabajo del equipo en el SOC es otro indicador útil a la hora de evaluar qué apoyo adicional se requiere. Si dedica la mayor parte de su tiempo a investigar o responder a las alertas capturadas por la herramienta SIEM, Venables recomienda que los responsables de la toma de decisiones de seguridad de TI consideren implementar una herramienta SOAR.
“Basado en las iteraciones actuales, SIEM es más adecuado para medir la efectividad y eficiencia de los dominios de identificación y protección, mientras que las capacidades de detección y respuesta están cubiertas por SOAR”
Tom Venables, Consultoría llave en mano
Por otro lado, dice: “Si el equipo está luchando por capturar eventos significativos, hay demasiados datos para procesar, las herramientas están produciendo una cantidad abrumadora de falsos positivos o los procesos de gestión de incidentes aún no se han definido y luego se han mejorado el SIEM y sus procesos de gestión de eventos y recopilación de registros podrían ser una inversión más inteligente “.
Los autores de Gartner’s Guía de mercado para soluciones de orquestación, automatización y respuesta de seguridad advierten que el principal obstáculo para la adopción de una herramienta SOAR sigue siendo la falta, o baja madurez, de procesos y procedimientos en el equipo de operaciones de seguridad.
Configuración significativa
Como señala Francis de Airbus, una herramienta SOAR generalmente requiere una configuración significativa. “Las configuraciones predeterminadas pueden proporcionar un comienzo, pero los libros de jugadas y los flujos de trabajo definidos deben ajustarse para automatizarlos en una solución SOAR porque no los generará por usted”, dice.
“Además, para responder, la herramienta SOAR debe saber cómo reconfigurar firewalls, servidores DNS y proxies, por ejemplo, así como aislar hosts en su entorno específico. Sin embargo, a largo plazo, SOAR permitirá hacer más de forma más rápida con menos aportaciones de los analistas “.
Con cualquier compra de seguridad de TI, el éxito estará determinado por el análisis de una organización de su entorno actual y su comprensión del panorama de amenazas y riesgos. Venables insta a los profesionales de seguridad de TI a sopesar las ventajas y desventajas de la automatización frente al procesamiento manual y decidir el valor asignado a cada una de las dos etapas.
“La apreciación de los requisitos específicos evita el gasto en capacidades que no son necesarias”, dice. “También se pueden seleccionar sistemas separados de ‘mejor ajuste’, lo que da como resultado una solución avanzada en cada área, en lugar de un modelo de proveedor único que potencialmente compromete la funcionalidad”.
