¿Qué es SOAR?

SOAR es un nuevo acrónimo entre los cientos que cada día aparecen en el mercado de la ciberseguridad. Hace referencia a Security Orchestration, Automation, and Response y es una categoría que empezó a coger fuerza entre el 2015 y el 2016 impulsado por Gartner especialmente.

Cuando hablamos de SOAR necesariamente debemos hablar de otros términos como son SIEM, UEBA, Threat Intelligence y esto se debe a que los equipos de seguridad han aumentado sus capacidades de visibilidad incorporando este tipo de tecnologías o servicios dentro de las organizaciones, pero los retos (en términos de alcanzar madurez) por los que trabajan están reflejados en dos aspectos fundamentalmente: poder mejorar el flujo de trabajo en relación con la atención de incidencias y  acelerar la respuesta a esos mismos incidentes, es por ello que aparece SOAR. 

SOAR fue diseñado para ayudar a los equipos de seguridad a manejar y responder de manera más eficiente las amenazas a través de datos más enriquecidos unido a la automatización de las tareas rutinarias de seguridad. Para entender mejor qué significa SOAR vamos a hablar de manera más detallada sobre sus tres componentes:

El primer componente es Security Orchestation el cual hace referencia a la posibilidad de coordinar herramientas de seguridad y otro tipo de tecnologías, que no tienen por qué ser necesariamente de seguridad, que normalmente se usan de forma independiente, incluso de diferentes fabricantes, para que se integren y comuniquen para establecer un flujo de trabajo de respuesta a incidentes efectivos, eficientes pero sobre todo iterables. Incluso con SOAR se pueden extraer datos de fuentes externas para enriquecer las alertas que recibimos.

Security Automation está muy relacionada con la orquestación y es el método de automatizar tareas y procesos manuales, es decir, sin la intervención humana. En este punto es muy común el uso del termino playbooks que no son más que tareas lineales o pasos que contienen acciones básicas basadas en condicionales.

Como tercera medida hablamos de Security Response. Este punto que la guida del pastel aportada por SOAR, ya que los equipos de seguridad se enfrentan a una de las mayores problemáticas en gestión de incidentes para cerrar efectivamente las brechas.Con la consolidación de la orquestación y automatización, la toma de acciones específicas como por ejemplo colocar en cuarentena una estación de trabajo, bloquear una dirección IP, deshabilitar una cuenta de usuario... se reduce drásticamente el tiempo medio de respuesta.

Después de haber hablado sobre cada uno de los tres componentes es importante resaltar las características claves que ayudaran a entender mejor el SOAR y, en caso que fuese necesario, seleccionar una plataforma SOAR:

1. Recopilación de datos. Se hace referencia a la obtención de datos o alarmas de diferentes plataformas para habilitar en los equipos o incluso entregar contexto adicional relacionado con las alarmas. 
2. Gestión de casos. La herramienta debe permitir que el usuario investigue y realice los análisis relevantes en un mismo punto. Esta dinámica hace mucho más visible el tratamiento de incidentes o amenazas a través de la organización.
3. Playbooks. Flujos de respuesta a incidentes automatizados para acelerar los tiempos de respuesta y facilitar definitivamente una respuesta más efectiva dentro de un modelo de seguridad adaptativa. Algunas tecnologías de SOAR vienen con cientos de flujos predefinidos para amenazas más comunes incluso basándose en modelos o frameworks como mitre attack.

En resumen, usar SOAR dentro de una estrategia de seguridad permite:
- Minimizar el riesgo  como resultado a un incidente de seguridad
- Reducir el tiempo des de que una brecha es descubierta hasta que se resuelve.
- Mejorar la efectividadd o eficiencia de las operraciones de seguridad o de un software.

Rafa y Alba