Aunque algunas soluciones, como varias herramientas de detección y respuesta, pueden mejorar en gran medida la postura de seguridad de cualquier empresa (basándose en la seguridad de los equipos), hay algo que decir acerca de subir aún más el listón de la respuesta y la corrección.
Para un Centro de Operaciones de Seguridad (SOC), la Gestión de Información y Eventos de Seguridad (SIEM) y la Orquestación, Automatización y Respuesta de Seguridad (SOAR) son dos opciones integrales que existen para hacer precisamente eso: subir el listón de la ciberseguridad. Sin embargo, cada una ofrece un conjunto diferente de herramientas y enfoques, que deben tenerse en cuenta antes de optar por cualquiera de ellas.
¿Qué es la gestión de eventos e información de seguridad (SIEM)?
Una de las tareas que mejoran enormemente el trabajo de cualquier administrador de seguridad informática es la recopilación de registros y el análisis de datos, que es casi exactamente lo que mejor hace SIEM. Recopila datos de todas las partes de la red de una empresa, alertando de posibles incidentes y problemas de seguridad, lo que facilita a los operadores de seguridad la gestión de su infraestructura de seguridad.
Aunque no es estrictamente una herramienta de respuesta y corrección de incidentes, proporciona información adicional sobre incidentes y eventos, cumpliendo el papel de una especie de observador o monitor de datos. Sin embargo, esto también es un punto negativo del SIEM: carece de automatización; por lo tanto, aparte de la recopilación de datos, no puede hacer mucho más, lo que obliga al equipo de TI a utilizar esos datos como considere oportuno. Esto puede ser un problema, ya que las notificaciones pueden acumularse fácilmente y abrumar a los equipos de seguridad, forzando y debilitando la postura de seguridad de una empresa. Aquí es donde SOAR ayuda.
¿Qué es la orquestación, automatización y respuesta de seguridad (SOAR)?
SOAR es una solución más moderna que puede mejorar enormemente las capacidades de los equipos de seguridad a la hora de proteger a sus clientes y socios, ya que es una evolución de las capacidades de SIEM, aunque técnicamente no lo sustituye.
La tecnología SOAR extrae muchos más datos que SIEM, no solo de la red de la empresa, sino también de otras fuentes de seguridad añadidas, como la inteligencia sobre amenazas, y también prioriza mejor las alertas y los registros. Sin embargo, su mayor fortaleza reside en la automatización de la IA, ya que también puede crear respuestas automáticas a incidentes según lo establecido por el equipo de TI. Esto es algo de lo que carece SIEM, lo que facilita enormemente la investigación de amenazas e incidentes.
Sin embargo, no es que SOAR pueda sustituir completamente a SIEM; la realidad es bien distinta.
¿Qué solución es mejor?
Como ya hemos mencionado, aunque SOAR parece técnicamente más impresionante que SIEM, no es un sustituto estricto. SOAR funciona mejor cuando se apoya en muchos datos, y SIEM puede proporcionar eso, ya que es más una herramienta de agregación de datos, a la que luego SOAR puede priorizar dichos datos, destacando la mejor respuesta y remediación, así como automatizar ciertas partes del proceso, descargando algunas tareas de los operadores de seguridad. Piensa en ello como un proceso de dos partes, con SIEM suministrando la mayor parte de los datos y SOAR añadiendo algunos más y ejecutando la respuesta.
Mejorar las herramientas de un SOC
Los centros de operaciones de seguridad pueden disponer de muchas tecnologías y herramientas diferentes para proteger adecuadamente a sus empleadores o clientes, y tanto el SIEM como el SOAR ofrecen algo más que el software habitual de protección de equipos, ya que se basan en él.
Los SOC también pueden optar por utilizar Detección y respuesta ampliada (XDR) para conseguir un tipo de protección similar al que ofrecen SIEM y SOAR, pero no es un sustituto de ninguno de los dos, ya que técnicamente no ofrece las mismas capacidades y casos de uso (SIEM registra mejor, mientras que SOAR prioriza y automatiza mejor). Sin embargo, aún puede proporcionar una detección y respuesta integral ante amenazas.
La clave es estar preparado
Para un SOC, la tarea más importante es estar preparado para cualquier eventualidad, ya que el mundo de las ciberamenazas siempre está cambiando y evolucionando. Gracias a SIEM, puedes tener muchos datos a tu disposición, y con SOAR, un SOC puede responder más fácilmente a las amenazas e incidentes, al tiempo que mantienes tu comprensión de la inteligencia sobre amenazas a un alto nivel gracias a varias integraciones de fuentes de datos externas.
También existen más soluciones, como la ya mencionada XDR, y todas tienen casos de uso diferentes. Esto se debe en gran parte a que no existe ninguna solución que pueda abarcarlo todo. Sin embargo, combinar herramientas separadas en una postura de defensa de ciberseguridad de varias capas dentro de una estrategia de seguridad es la mejor manera de cubrir y parchear las lagunas que tendría cada solución por sí sola, elevando el nivel de seguridad para cualquiera que desee lograr una protección completa.