Automatización de SecOps: casos de uso y cómo superar los desafíos clave
Descubra qué es la automatización de SecOps, los distintos casos de uso para la automatización de SecOps y cómo Stellar Cyber puede ayudar a las organizaciones a superar los desafíos clave de la automatización de SecOps.
Las Operaciones de Seguridad (SecOps) han llegado a un punto de inflexión: las herramientas utilizadas para mantener la seguridad de las organizaciones son numerosas, se superponen y son muy granulares. Los analistas se ven obligados a trabajar arduamente para identificar y contrastar los problemas que descubren. Sin embargo, los atacantes siguen eludiendo estas brechas.
La automatización de las operaciones de seguridad promete transformar la forma en que SecOps interactúa con la inagotable cantidad de datos de seguridad actuales, ofreciendo una mejor detección de amenazas y cumplimiento normativo. Esta guía explorará las numerosas formas de automatización disponibles, desde la automatización SIEM de última generación hasta los manuales de respuesta totalmente automatizados. A lo largo del camino, abordaremos los principales desafíos que enfrentan los nuevos proyectos de automatización.
SIEM de próxima generación
Stellar Cyber Next-Generation SIEM, como componente crítico dentro de la plataforma Stellar Cyber Abrir XDR...
¡Experimente la seguridad impulsada por IA en acción!
Descubra la IA de vanguardia de Stellar Cyber para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!
¿Qué es la automatización de SecOps?
La ciberseguridad es un campo en constante cambio: incluso la existencia de SecOps es el resultado de la evolución del campo, que dejó de ser un campo de equipos aislados. A medida que SecOps fusionó TI y ciberseguridad en un equipo más cohesionado, las empresas pudieron beneficiarse de procesos más rápidos y eficientes. La automatización de SecOps se basa en este progreso, al optimizar los flujos de trabajo de los empleados en todo el espectro de SecOps.
Para ilustrar cómo la automatización puede marcar una diferencia tangible, analicemos en profundidad los cinco roles clave que conforman los equipos de SecOps. Estos son:
- Responsable de respuesta al incidente: Esta función es responsable de supervisar las herramientas de seguridad, configurarlas y clasificar los incidentes que las herramientas identifican.
- Investigador de seguridad: Dentro de un incidente, este rol identifica los dispositivos y sistemas afectados, realiza análisis de amenazas e implementa estrategias de mitigación.
- Analista de seguridad avanzado: Al igual que un investigador de seguridad de amenazas desconocidas, este rol a veces puede centrarse en el descubrimiento de amenazas novedosas. Desde una perspectiva gerencial, tienen un aporte significativo en el estado de los programas de proveedores y terceros y pueden ayudar a identificar cualquier deficiencia en las herramientas y procedimientos del SOC.
- Administrador del SOC: El gerente es el encargado de supervisar directamente el SOC: es la interfaz entre el equipo de seguridad y los líderes empresariales en general. Está familiarizado con cada función individual y puede guiar al equipo hacia una mayor eficiencia y colaboración.
- Ingeniero/arquitecto de seguridad: Este rol se centra en la implementación, el despliegue y el mantenimiento de las herramientas de seguridad de una organización. Dado que gestionan la arquitectura de seguridad general, definen qué capacidades y visibilidad puede manejar el equipo.
Una vez definidos los roles, resulta más fácil ver cómo la automatización promete enormes beneficios para el espacio SecOps. Los roles más específicos, como el de respuesta ante incidentes, ya se han beneficiado enormemente a través de herramientas como Security Information and Event Management (SIEM). Las herramientas SIEM recopilan y normalizan automáticamente los archivos de registro que genera cada dispositivo conectado a la red.
La importancia del análisis automatizado
Los motores de análisis están en una posición privilegiada para gestionar esos datos, y mucho más. Pensemos en cómo gran parte de las funciones de los encargados de responder a incidentes se centran en hacer referencias cruzadas de alertas y datos generados a partir de diferentes herramientas. Las herramientas de automatización como Security Orchestration Analysis and Response (SOAR) representan una forma de comparar datos de múltiples fuentes, como SIEM, firewalls y soluciones de protección de endpoints, y recopilar todos estos datos en una única plataforma central. Esto ofrece una visión unificada de las amenazas, que es ligeramente más rápida de analizar para los encargados de responder a incidentes, y mucho más rápida de ingerir para los motores de análisis de IA. De esta manera, la automatización de las operaciones de seguridad es esencialmente apilable: desde la recopilación y normalización de datos hasta el análisis y la respuesta a las alertas, el tiempo medio de respuesta se acerca a los minutos, en lugar de meses.
Por ejemplo, cuando una herramienta SIEM con capacidad de automatización detecta una desviación en la forma en que un usuario interactúa con recursos de alta sensibilidad, un manual puede indicarle a la IA que evalúe otros flujos de información, como datos de inicio de sesión recientes y con qué páginas web ha interactuado el dispositivo recientemente. Todo esto se puede utilizar para verificar una amenaza y, cuando los detalles recopilados llegan a la bandeja de entrada del responsable de respuesta a incidentes, se acelera la respuesta manual del investigador de seguridad.
La automatización de vanguardia de SecOps de hoy en día aún requiere que los encargados de responder a incidentes seleccionen qué acción tomar en respuesta a ciertas amenazas: esto se logra mediante manuales de estrategias. Con el manual de estrategias correcto, se puede evitar que un usuario sospechoso descargue material de alto riesgo o acceda a redes confidenciales. Al reducir la dependencia de la intervención manual, las herramientas de automatización como SOAR no solo aceleran la eficiencia y los tiempos de respuesta de SecOps, sino que también liberan a los equipos para que se concentren en iniciativas estratégicas y amenazas complejas.
Casos de uso para la automatización de SecOps
Detección de amenazas y respuesta
La detección de amenazas siempre ha sido uno de los componentes que más tiempo consumen a los equipos del SOC: dada la necesidad de una visibilidad completa, una década entera de progreso en materia de ciberseguridad vio el surgimiento de plataformas de monitoreo hipergranular, como las herramientas SIEM. Sin embargo, este volumen y complejidad cada vez mayores de datos de seguridad continuaron generando más presión sobre los sistemas ascendentes, como los encargados de responder a incidentes.
Debido a que los métodos manuales tradicionales de monitoreo y análisis de eventos de seguridad tienen dificultades para mantenerse al día con la velocidad y la escala requeridas por las empresas modernas, es uno de los casos de uso con mayor retorno de la inversión para aplicar la automatización. Al integrarse con la herramienta SIEM que tiene instalada, puede ingerir mayores cantidades de datos mucho más rápido que los humanos.
El motor analítico en el que se basa la automatización de la detección de amenazas es fundamental para el éxito. La mayoría de los proveedores de SOAR emplean una combinación de aprendizaje supervisado y no supervisado: el primero funciona entrenando explícitamente el modelo con conjuntos de datos etiquetados de amenazas conocidas. Esto les permite crear una base de datos de patrones de amenazas que luego se pueden aplicar a los datos del mundo real que llegan de una empresa. El aprendizaje no supervisado, por otro lado, utiliza modelos que están esencialmente entrenados para comprender la actividad "normal" de la red y de los puntos finales. Siempre que se detecta una desviación de esto, se puede clasificar; los modelos no supervisados pueden mejorar continuamente con el tiempo, a medida que sus "amenazas" de salida se juzgan como correctas o no.
La IA multinivel de Stellar Cyber combina un modelo de aprendizaje híbrido con GraphML, que correlaciona todos los eventos que ocurren en las redes de su empresa. Esto permite descubrir todos los ataques, incluso los complejos que se propagan en varios sistemas distintos. Al emplear un modelo híbrido, las empresas pueden comenzar a trabajar con el primero, mientras que el segundo se ajusta a los contornos de la red de la empresa con el tiempo.
Respuesta al incidente
En los flujos de trabajo manuales tradicionales, las tareas como la clasificación de alertas, la recopilación de datos y la ejecución de una respuesta suelen requerir una cantidad significativa de tiempo y esfuerzo humano. Debido a que las herramientas SOAR abarcan todo el espectro de herramientas de seguridad de una organización, esta puede implementar la automatización de la respuesta a incidentes, lo que significa que la respuesta a una amenaza puede ocurrir en el mismo punto final desde el que se produce.
Por ejemplo, los correos electrónicos han sido tradicionalmente una fuente importante de amenazas. Normalmente, cuando se enfrenta a un correo electrónico de phishing, el equipo de SecOps no se da cuenta de ninguna irregularidad hasta que el usuario cae en la trampa y el dispositivo intenta cargar la URL sospechosa. Peor aún, una herramienta SIEM central puede ni siquiera registrar un sitio de phishing, especialmente si está robando credenciales ingresadas de manera sigilosa. Las herramientas SOAR pueden responder de inmediato en varios frentes: a nivel de red, puede identificar que el sitio web de phishing es sospechoso a través de la reputación de IP del firewall; y a nivel de punto final, puede emplear el procesamiento del lenguaje natural para marcar las señales de advertencia gramaticales de un mensaje de phishing. Ambos permiten la acción: primero, bloquear al usuario para que no acceda al sitio de inicio de sesión falso y luego marcar el correo electrónico y enviarlo al equipo de SecOps para su análisis.
La automatización SOAR no solo automatiza las capacidades de respuesta a incidentes de SecOps, sino que descentraliza sus capacidades justo a tiempo, lo que permite a SecOps proteger incluso los puntos finales remotos.
Gestión de Cumplimiento
SecOps puede automatizar la gestión del cumplimiento de diferentes maneras: desde tareas básicas de administración de registros hasta aspectos de gestión de amenazas de nivel superior.
Al centralizar y agregar registros, configuraciones de sistemas y detalles de incidentes, las plataformas SOAR permiten un mantenimiento de registros integral. Esto es básico, pero sigue siendo fundamental: el artículo 30 del RGPD y la norma ISO 27001 exigen explícitamente que los registros, informes y documentación estén actualizados. Al centralizar y almacenar automáticamente estos datos, SOAR puede reducir significativamente la carga de trabajo administrativo de los equipos de SecOps.
La presión para lograr la rendición de cuentas en los marcos de cumplimiento modernos no se detiene en el mantenimiento de registros claros y centrales: también deben demostrar que se cumplen los controles de acceso basados en roles. SOAR garantiza que solo el personal autorizado pueda ejecutar tareas específicas, debido a su implementación con controles de gestión de identidad y acceso (IAM). Sin embargo, SOAR va más allá de la simple verificación de credenciales y tiene en cuenta todos los flujos de datos antes de otorgar acceso a un usuario o dispositivo. La ubicación, el período de tiempo, el éxito de la OTP, los recursos que se solicitan; todos pueden desempeñar un papel en la autorización, sin afectar al usuario final legítimo.
Gestión de vulnerabilidad
La gestión automatizada de parches simplifica el proceso, que de otro modo sería tedioso, de supervisar y aplicar parches manualmente. Al automatizar estas tareas, las organizaciones pueden abordar las vulnerabilidades de forma más rápida y eficiente, lo que garantiza que los sistemas críticos permanezcan seguros.
La integración de una plataforma SOAR con el sistema de gestión de configuración de su organización simplifica las demandas constantes de la gestión de parches. La automatización de la gestión de vulnerabilidades puede supervisar de forma continua el estado de las distintas versiones del sistema e identificar cualquier desviación de la línea base de seguridad aprobada. Cuando se detecta que falta un parche, la plataforma SOAR puede iniciar un proceso de reparación automatizado para aplicarlo. A continuación, realiza una verificación independiente para confirmar que el parche se ha implementado correctamente. Si el proceso de aplicación de parches no es exitoso, o si se excluyen determinados sistemas de la gestión automatizada de parches por razones operativas, la plataforma SOAR marca estos problemas para su revisión manual. Esto significa que no se pasa por alto ninguna vulnerabilidad.
Análisis del comportamiento del usuario (UBA)
UBA es el corazón de la funcionalidad de SOAR. Es posible gracias a que las plataformas SOAR agregan datos de grandes cantidades de fuentes de datos, incluidos sistemas de detección de puntos finales, registros de acceso y monitores de tráfico de red. En conjunto, cada punto de datos representa una acción o decisión que toma un usuario final. Las herramientas UBA permiten a SOAR analizar estos datos y establecer líneas de base de comportamiento para cada usuario o entidad. Por ejemplo, las horas de trabajo típicas de un usuario, el uso del dispositivo o los patrones de acceso a los datos se registran a lo largo del tiempo. Cuando se producen desviaciones (como el acceso a archivos confidenciales durante horarios inusuales o un dispositivo que inicia conexiones de red anormales), la plataforma SOAR las señala como amenazas potenciales.
Una vez que se detecta un comportamiento anómalo, la plataforma SOAR automatiza el proceso de respuesta. Por ejemplo, si UEBA identifica una actividad sospechosa, la plataforma puede iniciar flujos de trabajo predefinidos, como restringir temporalmente el acceso, notificar a los equipos de seguridad o iniciar una investigación sobre las actividades recientes de la entidad. Estos flujos de trabajo garantizan una acción rápida y minimizan las interrupciones de las operaciones legítimas.
Cómo Stellar Cyber supera los desafíos clave de automatización de SecOps
Si bien la automatización de SecOps promete un enorme crecimiento, vale la pena establecer los mayores obstáculos que enfrentan los equipos hoy en día y explorar cómo se pueden superar los desafíos de la automatización de SecOps.
Sobrecarga de datos
La primera pregunta que surge en todo nuevo proyecto de automatización es por dónde empezar. Este es un área donde la cantidad de datos involucrados en la sobrecarga de datos SIEM puede complicar las cosas y dificultar la toma de decisiones.
¿Qué proyecto de automatización produciría los mayores rendimientos?
Para combatir esto, El motor de inteligencia artificial de Stellar Cyber Stellar Cyber recopila todos estos datos de seguridad y los convierte en dos tipos de datos principales: alertas y casos de incidentes. Las alertas representan instancias específicas de comportamiento sospechoso o de alto riesgo y sirven como elementos fundamentales de los casos de incidentes. Para garantizar que todos estos datos básicos se evalúen correctamente, Stellar Cyber los asigna a la cadena de eliminación XDR. Cada alerta incluye una descripción clara y legible de la actividad y los pasos de solución recomendados.
Si todo se detuviera aquí, los analistas seguirían atascados en la gran cantidad de datos que luego deben clasificarse. El motor de Stellar combate esto al realizar referencias cruzadas de alertas. GraphML permite clasificarlas en incidentes al comparar y agrupar automáticamente las alertas y los eventos en un conjunto más pequeño de incidentes precisos y procesables. Esta capacidad proporciona a los analistas de seguridad una mayor visibilidad de las vías de ataque, su gravedad y las áreas de mayor preocupación. Es otro ejemplo de cómo la automatización a pequeña escala (analizar y mapear alertas) puede generar mayores ganancias de eficiencia, como la deduplicación.
Una vez que todas las alertas se incorporan a un motor de análisis central, SecOps puede beneficiarse de una serie de automatizaciones administrativas: la deduplicación, por ejemplo, permite la identificación y eliminación de alertas y eventos redundantes; este proceso de filtrado sistemático reduce significativamente el ruido.
Por lo tanto, para combatir el desafío de la sobrecarga de datos, es mejor comenzar desde abajo en la cadena de SecOps: ver qué secciones de los flujos de trabajo de los analistas están tomando más tiempo y actuar en consecuencia. Para la mayoría de las organizaciones que son nuevas en la automatización de SecOps, estos son los procesos de análisis y clasificación de alertas; de ahí el enfoque en la automatización del análisis de datos centralizado.
Complejidad de integración
La integración de diferentes herramientas de seguridad puede ser compleja, pero las API abiertas y la capacidad de SIEM para ingerir múltiples fuentes de registro ofrecen una solución.
Dado que la automatización de SecOps depende de la interconectividad, el desafío de integrarla con todas las demás herramientas de seguridad de su conjunto puede ser una barrera de entrada importante. Para resolverlo se requieren dos pasos: descubrimiento de activos e integración automatizada.
- Descubrimiento de activos: Stellar Cyber automatiza el descubrimiento de activos mediante la recopilación pasiva de datos de varias fuentes, incluidas herramientas de detección y respuesta de puntos finales, servicios de directorio, registros de auditoría en la nube, firewalls y sensores de servidores. Esta agregación en tiempo real identifica activos como direcciones IP y MAC para asociarlos con sus respectivos hosts. El sistema actualiza continuamente esta información a medida que ingresan nuevos datos a la red; al automatizar este proceso, Stellar Cyber garantiza una visibilidad integral de toda la red sin intervención manual.
- Integración automatizada: Stellar Cyber resuelve el problema de la integración a través de API preconfiguradas: estos conectores se desarrollan en función de los métodos de acceso propios de cada aplicación; una vez instalados, obtienen datos de forma activa según el cronograma preestablecido. Además de recopilar datos de sistemas externos, los conectores pueden ejecutar acciones reactivas, como bloquear el tráfico en un firewall o deshabilitar cuentas de usuario. Estos conectores pueden manejar básicamente cualquier forma de datos, ya sean datos de registro sin procesar, como un SIEM, o alertas de seguridad directas de otras herramientas de seguridad. Todos estos se incorporan al Data Lake seguro para un análisis automatizado adicional.
En conjunto, estos dos pasos reducen significativamente las exigencias que una nueva herramienta puede imponer al equipo de SecOps.
Falsos positivos
El aprendizaje no supervisado puede permitir que un algoritmo identifique ataques nuevos, pero también puede marcar cualquier patrón previamente desconocido en un conjunto de datos. Esta es una receta perfecta para los falsos positivos y, en última instancia, la fatiga de alertas. Esto se debe a que un sistema de aprendizaje no supervisado aprende lo que constituye un comportamiento "normal" y marca cualquier desviación de esta línea de base como una anomalía potencial. Un sistema de detección de intrusiones (IDS) puede reconocer patrones normales de tráfico de red y alertar cuando un dispositivo intenta acceder a un puerto diferente al normal, pero también puede ser un miembro del equipo de TI que configura una nueva aplicación.
Por este motivo, los sistemas basados en aprendizaje no supervisado suelen producir una gran cantidad de falsos positivos y, una vez que se genera una alerta, puede carecer del contexto necesario para que los analistas de seguridad evalúen lo que realmente está sucediendo. En Stellar, este desafío se aborda mediante el uso de aprendizaje automático no supervisado como un simple paso fundamental: además de cualquier comportamiento inusual, se monitorea toda la amplitud del lago de datos de una organización para correlacionarlo con otros puntos de datos. Esto le otorga a cada incidente un factor de riesgo, que a su vez informa cómo responde la herramienta.
Por ejemplo, supongamos que un ejecutivo inicia sesión en la red a las 2 de la mañana. De forma aislada, esto podría parecer un falso positivo y no justificar una alerta. Sin embargo, si el inicio de sesión se origina desde una dirección IP en Rusia o China e incluye la ejecución de comandos de PowerShell no autorizados, estos puntos de datos adicionales crean un patrón indicativo de una apropiación de la cuenta. Al conectar estos puntos, el sistema proporciona el contexto necesario para generar una alerta significativa. Y gracias a los conectores flexibles que acabamos de mencionar, esta cuenta se puede poner en cuarentena automáticamente como respuesta.
Brechas de habilidades
La implementación de la automatización de SecOps requiere un enfoque personalizado que se ajuste estrechamente a los objetivos de seguridad y al nivel de madurez de la organización para garantizar una implementación sin inconvenientes. Sin estas competencias, el proceso puede enfrentar demoras o incluso correr el riesgo de fallar.
Por ejemplo, la integración de herramientas de seguridad o el desarrollo de manuales de estrategias suelen exigir conocimientos prácticos en lenguajes de programación como Python, Ruby o Perl, según la solución SOAR. Si el equipo del SOC no domina estas habilidades de codificación, puede verse obstaculizada su capacidad para realizar las integraciones necesarias y crear flujos de trabajo de automatización eficaces, lo que, en última instancia, afecta a la eficacia general de la plataforma.
Las herramientas de automatización de SecOps de última generación ayudan a reducir esta brecha con indicaciones de procesamiento del lenguaje natural, pero algunas de las mejores mejoras en la reducción de la brecha de habilidades se han producido en interfaces accesibles. En lugar de una compleja mezcolanza de diferentes herramientas, las integraciones de SOAR y SIEM como Stellar Cyber han permitido a SecOps ver toda la información crítica en un formato accesible y procesable. Esto incluye opciones de solución recomendadas y visualizaciones de los puntos de datos que componen cada incidente.
Costo y escalabilidad
Si bien la automatización reduce los costos operativos al optimizar las tareas repetitivas, vale la pena señalar el costo significativo que esto puede generar: muchas herramientas de seguridad en el mercado tienen especializaciones individuales, lo que hace que una herramienta que ingiera los datos de cada una de ellas, así como de las redes y los puntos finales circundantes, sea un verdadero dolor de cabeza. Y luego, cuando las aplicaciones, los usuarios y las redes cambian, solo se requiere más tiempo y recursos para su mantenimiento.
Por eso, confiar en una herramienta SaaS puede resultar mucho más rentable que crear algo desde cero. Sin embargo, ni siquiera esto es sencillo: dado que la automatización depende de un consumo de datos tan elevado, los modelos de precios que se adaptan a los volúmenes de datos pueden ser enormemente volátiles. Esto aumenta el riesgo al que se enfrenta un proyecto de automatización en ciernes. Por eso, Stellar Cyber ofrece su herramienta de automatización SecOps en una única licencia predecible.
Logre SecOps impulsado por la automatización con Stellar Cyber
Stellar Cyber redefine la forma en que las organizaciones abordan las operaciones de seguridad impulsadas por la automatización. Combina las capacidades de Next-Gen SIEM, NDR y Abrir XDR en una única solución perfecta y potente que automatiza la correlación de datos, normaliza y analiza la información de todas las fuentes y elimina el ruido para ofrecer información útil. Con manuales de respuesta a incidentes prediseñados, los equipos pueden reaccionar de manera rápida y consistente a las amenazas, mientras que la IA multicapa proporciona una visibilidad incomparable en los puntos finales, las redes y las nubes, sin dejar puntos ciegos.
Al reducir los tiempos de detección y respuesta y optimizar los flujos de trabajo, Stellar Cyber permite a los equipos de seguridad reducidos proteger entornos expansivos de manera eficiente y rentable. Las empresas que buscan operaciones de seguridad más rápidas e inteligentes pueden explorar la Plataforma Stellar Cyber SecOps con demostración.
