SOAR! TIP! IRP!, ¿os dicen algo estas siglas? Durante este post iremos viendo que son, y que hacen cada duno de ellos.

Como ya sabréis el numero de incidentes de seguridad( conocidos como los no conocidos o reconocidos) se eleva año tras año, esto hace que los equipos de CSIRT cada vez tengan un cumulo mayor de trabajo y sea necesario un mayor esfuerzo para que la gestión de los incidentes de seguridad vaya a buen puerto y la organización pueda seguir trabajando con normalidad.

Entre tantos incidentes también se debe de tener en cuenta de que se estima que de media se tarda 169 días en detectar un incidente de seguridad y una media de 70 días en cerrarlo.

Por ultimo se están viendo ataques «con mayor impacto o más destructivos» no siendo necesariamente ataques con una complejidad técnica elevada

Si por cada incidente necesitamos esa dedicación, y cada vez tenemos más incidentes de seguridad como ya hemos visto, ¿como podemos hacer frente a ese numero tan elevando de incidentes y sobre todo como podemos ser eficientes?

Para hacer frente a esta nueva realidad necesitamos de herramientas que nos hagan la vida más fácil y en ese preciso instante comienzan a aparecer nuestras preciadas siglas, SOAR, TIP, IRP, y algunas más, pero sabemos que significan

SOAR es lo que se llama ahora Security Orquestation and Autmatization and response. Básicamente es el director de orquesta, el que hace que todos los sistemas de seguridad y personal de seguridad se coordinen como en una banda sonora, nos va a ayudar a ejecutar las acciones más repetitivas(la automatización es clave) y a fijar los procedimientos e(aquí los llamaremos playbook) necesarios para la respuesta a incicidentes.

No os negaré que hemos empezado por lo bonito, ahora nos quedan los instrumentos:

TIP: threat intelligence plaform, es la plataforma de información del exterior y es la que va a dar información de reputación de una IP, del tipo de dominio que es, whois, campañas de malware, etc… Aquí podríamos decir que existen diferentes herramientas pero hay una que se esta convirtiendo en un estándar de facto y es MISP, ya hablaremos de ella en futuros post.

IRP: incident response, aquí llega el control, las plataformas de incident response tienen como cometido la gestión de los casos relacionados con incidentes de seguridad: definición de playbooks, gestión de las alertas generadas por los sistemas de seguridad, o por nuestro SIEM, que nos aportará el conjunto de indicadores y acciones sospechosas( o dicho de otra forma las IPs atacantes, los usuarios afectados, nombres de host, ficheros, dominios, básicamente toda la información que se puede analizar).

En esta parte se incluyen otros conceptos no menos importantes como es el concepto de colaboración entre equipos, poder definir tareas y asignarle un grupo o persona responsable para su ejecución, además de guardar un histórico sobre las acciones que se han tomado, esto ayudará a futuro, a saber las acciones o los pasos dados con anterioridad para que sobre todo no tener que recorrer el camino dos veces.

Por ultimo queda, la parte favorita de todo responsable:  los dashboard y los reports, los IRP nos dan el soporte para que se puedan ver dashboards con los casos resueltos, el numero de falsos positivos, motivos de cierre, y cualquier otro tipo de indicador que se nos pase por la cabeza(también llamado métricas)

También nos darán un dato muy importante que es el tiempo que se ha tardado en finalizar el incidente de seguridad.

De estas herramientas hay diversas y variadas, los principales fabricantes han decidido comprar alguno de estos productos, aunque ya puestos incluyen todo es decir podemos no hablar solo de IRP si no de plataformas SOAR.

Alguno de los principales productos son:

  • Phantom, recientemente comprada por splunk
  • resilient de IBM
  • RSA SOAR
  • Demisto

Todas ellas  cuentan con integraciones de multitud de herramientas de diferentes fabricantes, de hecho es uno de los must que debe de cumplir una herramienta de orquestación es que sea multiherramienta y multifabricante.

Todas estas son herramientas de pago aunque es cierto que phantom y demisto tienen una versión community donde se puede participar.

Como solución open source esta The Hive de la cual hablaremos en un futuro en nuestro blog.

Estas herramientas todavía no han tenido una implantación masiva debido a que son herramientas caras económicamente hablando además de que esta dirigidas a empresas con un nivel de madurez elevado, en lo que a seguridad se refiere.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *