La velocidad nunca ha sido tan importante para los equipos de operaciones de seguridad que hoy. A medida que la tecnología que utilizamos en el trabajo se expande de ordenadores de escritorio y portátiles a Internet, o a medida que los dispositivos corporativos dan paso a una cultura de BYOD, cada vez es más difícil descubrir y contener amenazas a la seguridad. Las tecnologías cambian, las amenazas evolucionan, y por ello, también las operaciones de seguridad.
En la actualidad, las operaciones de seguridad a menudo se ralentizan mediante procesos manuales que sería mejor dejar de hacer. Además, si bien existen muchas herramientas de seguridad en el mercado, no todas se integran con otras herramientas o sistemas de una forma sencilla, ni comparten información en forma de datos o alertas relevantes.
La brecha de talento de seguridad de hoy en día también agrava estos problemas, ya que los equipos son escasos y hay dificultades para optimizar los recursos existentes. La fatiga de alertas es muy común y, en el caos, los incidentes, los compromisos y las infracciones se desvanecen casi de una forma inadvertida.

Soy muy FAN de Splunk que ha adquirido Phantom recientemente

Orquestación y automatización de la seguridad

Aunque no es todo caos y oscuridad. La orquestación de la seguridad y la automatización se están convirtiendo en un aspecto cada vez más vital de las estrategias de seguridad de muchas organizaciones, y están ayudando a poner peso en la balanza del lado de los defensores. Muchas empresas utilizan la orquestación y la automatización para abordar con éxito estos procesos de seguridad y tipos de investigación comunes:

  • Phishing
  • Escalado de Privilegios
  • Contención del Malware
  • Compromiso de Credenciales
  • Gestión de Vulnerabilidades

Beneficios de la automatización de seguridad

La organización y automatización de la seguridad ofrece a los equipos de seguridad:

  • Tiempos de respuesta a incidentes más rápidos
  • Grandes ahorros de tiempo y costos
  • Mayor precisión en todas las operaciones de seguridad

De hecho, los equipos reducen su tiempo promedio a una respuesta ante incidentes de 30 minutos a 5 minutos, lo que equivale a alrededor del 83% del tiempo ahorrado por alerta. Además, los equipos mejoran drásticamente su precisión y hacen más con los recursos que tienen.

Con máquinas que recopilan y almacenan el contexto relevante sobre un evento de seguridad, los equipos pueden cambiar su enfoque al análisis y su respuesta en lugar de gastar cantidades exorbitantes de tiempo recopilando datos de forma manual. La orquestación y automatización de seguridad agrega flexibilidad en el proceso de detección y respuesta, lo que permite a los equipos automatizar lo menos posible.

Cuándo introducir la orquestación y la automatización en ciberseguridad

El momento ideal para que las organizaciones comiencen a implementar la automatización y la orquestación de seguridad es una vez que hayan invertido en las personas, los procesos y la tecnología que impulsan las operaciones.

Algunos ejemplos incluyen tener: un IDS, una herramienta de administración de casos, firewalls, herramientas de inteligencia y analisis forense de amenaza, procesos de respuesta a incidentes y unos pocos empleados a tiempo completo dedicados a la seguridad. La orquestación y la automatización optimiza todas estas inversiones uniéndolas de forma racionalizada y coherente.
Si el planteamiento es empezar con la orquestación y la automatización de seguridad en la organización, la primera pregunta (o la de tu jefe) debería ser: "¿Cuál es el ROI de automatizar y orquestar la seguridad?". Una pregunta inteligente, que intentaremos ver a lo largo del Post, y cuyo fin, espero que sea, abrirnos los ojos a la automatización en casos en los que incluso actualmente se indica que es necesario el "factor humano", demostrando un alto ROI y un gran beneficio para la empresa.

Demostrando el retorno de la inversión en seguridad

La orquestación y la automatización de la seguridad pueden hacer que los equipos sean más rápidos y más eficientes. Pero, ¿cómo podemos medir exactamente cómo de rápidos y eficientes son? ¿Cómo puede el personal de seguridad encargado de realizar las compras de herramientas, crear los procesos y gestionar las personas demostrar un claro ROI en la orquestación y automatización de la seguridad?

Es una pregunta difícil de responder, por lo que intentaremos evaluar el rendimiento de la inversi en seguridad, la orquestación y automatización, tratando:

  • Operaciones manuales de seguridad
  • Desarrollo interno de la orquestación y automatización de seguridad.
  • Orquestación y automatización de seguridad lista para arrancar.

Las métricas que rodean a los tres principales impulsores de la seguridad (personas, procesos y herramientas) pueden verse directamente afectadas por la orquestación y la automatización de ciberseguridad, lo que ayuda a ilustrar el valor que esto puede aportar a todo el equipo. Con esta información, podremos asegurar la aceptación de los mandos o simplemente probar el valor de lo que ya estamos haciendo.

El coste de las operaciones manuales en seguridad

Para visualizar el ROI de la orquestación y automatización de la seguridad, debemos ver cuánto cuesta la manera manual de hacer las cosas. Si nuestras operaciones de seguridad son manuales hoy, dividiremos en 3 factores involucrados:

  • Personas
  • Procesos
  • Tecnología

Personal de ciberseguridad

Una de las partes más costosas y complejas de la inversión en seguridad es el personal. Y eso es, en parte, debido a la escasez de talento en seguridad. De hecho, el 23% de los profesionales de seguridad dicen que la escasez de talentos es el mayor desafío al que se enfrenta toda la industria de la tecnología de la información. Hay una tasa de desempleo cercana al 0% para las personas formadas en seguridad. Es algo bueno para los profesionales de la seguridad, pero no para RRHH. El 21% de trabajos de seguridad de alto nivel (aquellos que requieren más de 10 años de experiencia) llevan más de un año para cubrir el puesto.
Por lo tanto, suponiendo que pudiésemos encontrar suficientes expertos en seguridad para llenar las solicitudes abiertas, tendremos que remunera los mismo de una mejor forma.

Cuando hablamos de capital humano, de lo que realmente estamos hablando es del tiempo invertido. ¿Cuánto tiempo pasan sus valiosos miembros del equipo de seguridad en tareas rutinarias que podrían automatizarse?

Para el propósitos de calcular el ROI, intentando hacer las cosas simples, utilizaremos un salario medio de 50K por empleado de seguridad (España no se caracteriza por su grandes sueldo). Incluso sin incluir otras formas de compensación (como beneficios o sociales o en especies), si la jornada es de 40 horas a la semana durante 48 semanas del año (siendo conservador), eso equivale a alrededor de 26 €/hora.

En muchas organizaciones, los empleados de seguridad pasan gran parte de su tiempo tratando alertas de seguridad, siendo además, muchas de ellas falsos positivos. Una empresa de miles de trabajadores , recibe un volumen de cientos o miles de alertas de seguridad al día, eso incluye todo, desde falsos positivos hasta indicadores reales de compromiso.

Por lo tanto, no es de extrañar que los equipos de seguridad de todo el mundo sufran fatiga de alertas. Mirando los números, la fatiga de alerta probablemente esté costando una "tonelada" de dinero a las empresas. Ademas de que también puede costar la reputación, al no tratar de una forma adecuada las alertas importantes, ya que las amenazas reales pasan inadvertidas debido a la fatiga de alertas diarias.

Ahora, no todas las alertas se investigan, pero para las que se investigan manualmente, en promedio, la demora es de más de 30 minutos. Si multiplicamos eso por la cantidad de alertas que se manejen todos los días. Naturalmente, a medida que ingresan más alertas, es necesario realizar más contrataciones para atenderlas, por lo que los costos de personal aumentan con el tiempo, generando una relación directa "alertas/personal".

La conclusión, es que no se quiere que el talento en ciberseguridad, que tanto costó adquirir, pase su valioso tiempo en tareas manuales repetitivas.

La organización, orquestación y automatización de la seguridad pueden ayudar a optimizar el valor de cada miembro del equipo, permitiendo centrar los esfuerzos estratégicos de valor agregado que pueden hacer que el negocio avance más rápido y de manera más efectiva.

La rutina es el hábito de renunciar a pensar

Los procesos de ciberseguridad

Lleva un tiempo considerable desarrollar buenos procesos de seguridad, que funcionen consistentemente, ahorren tiempo y mejoren la postura general de seguridad. Muchos procesos se manejan de forma manual, lo que puede tomar grandes cantidades de tiempo.

Por ejemplo, para investigar manualmente un intento de suplantación de identidad, tendremos que hacerlo manualmente:

  • Atender la alerta
  • Extrae la URL, direcciones IP, dominios, hashes o archivos adjuntos
  • Escanear los contenidos para ver su reputación o ver si se encuentra contenido malicioso
  • Si realmente es malicioso, realizaremos una escalada creando un ticket y notificando al equipo de CSIRT
  • Averigüar si el usuario hizo clic en el enlaces o descargó el contenido y, de ser así, qué sucedió después
  • Si se descargó algún código malicioso, deberemos:
    • Averiguar dónde está ubicada la máquina de la víctima
    • Identificar los archivos comprometidos
    • Limpiar y restaurar

Puede llevar mucho tiempo desarrollar un proceso de seguridad claro como el anterior y luego capacitar al equipo sobre cómo ejecutar el mismo. Además, una vez que se desarrolla un proceso, necesita ser probado y mantenido y actualizado regularmente. Podemos ver cómo los procesos manuales pueden ocupar bastante tiempo del equipo de seguridad. Esta cantidad de tiempo y esfuerzo a menudo es insostenible dada la escasez de talento de seguridad y la necesidad de aprovechar el mismo.

Tecnologías de ciberseguridad

Las herramientas que necesitamos comprar para llevar a cabo una respuesta efectiva a los incidentes dependerán de nuestra organización. Estas son las principales categorías que podemos necesitar:

  • Monitorización de seguridad de la red/host
  • Recolección y agregación de registros
  • Seguridad de aplicaciones
  • SIEM y consolas de eventos
  • Análisis de malware
  • Inteligencia de amenazas

Si no se cuenta con todas estas herramientas, es posible que usar algunas herramientas de seguridad de código abierto para empezar. Sin embargo, realizar inversiones en estas áreas, facilitará el proceso de respuesta a incidentes. Recuerda: a menudo hay un costo de personal asociado para ejecutar y mantener estas herramientas.

Incluso con las mejores herramientas, no podremos utilizarlas en todo su potencial sin la capacidad de integrarlas y automatizar los procesos entre ellas. Si omitimos por completo la integración, eso agrega costes en forma de esfuerzo humano manual. Si decidimos crear integraciones personalizadas, esto puede llevar bastante tiempo antes de poder usar las herramientas en su máximo resplandor.

El coste de desarrollar la orquestación y automatización en seguridad

Llegado a este punto, es probablemente que haya llegado a la conclusión de que los procesos de seguridad manuales no son la forma más eficiente o efectiva de avanzar en seguridad (O esa he intentado trasmitiros). Puede que pienses, está bien: construiremos algo de automatización en nuestros flujos de trabajo. Pero esto, desafortunadamente, no es tan simple.
Las empresas que intentan construir sus propios sistemas de automatización de seguridad patentados desde cero lo hacen por buenas razones. ¡Quieren aprovechar todos los beneficios que la automatización puede ofrecer! . Pero el desarrollo propio de la automatización, a menudo tiene muchos costes ocultos desagradables que van apareciendo sin darnos cuenta, y que lapidan en dinero nuestras ganas y ROI en la automatización de la seguridad:

  • El tiempo que lleva construir una automatización casi siempre es mucho mayor que lo planificado.
  • Con frecuencia, los equipos se topan con inconvenientes a lo largo del camino, crece el alcance y, finalmente, se recurre a consultores expertos para avanzar en el proceso, lo que puede costar mucho dinero y ampliar el proyecto.
  • El tiempo que los expertos en seguridad o desarrolladores pasan a desarrollar la construcción de automatización, no pueden dedicarlo a otros trabajos, como proyectos generadores de ingresos, u otro trabajo de prioridad alta.
  • El costo de mantenimiento de los sistemas de automatización cuando se introducen nuevos procesos o herramientas

En la mayoría de los casos, desde una perspectiva de coste y tiempo, crear nuestra propia orquestación y automatización de seguridad, simplemente no tiene sentido. Todo esto se suma al coste de sus herramientas y personal.

El coste de la automatización "out-of-the-box" en ciberseguridad

Entonces, ¿cuál es la alternativa? Si deseamos aprovechar todo lo que la automatización puede ofrecer, sin los altos costos del desarrollo, invertir en una plataforma de automatización y orquestación de seguridad lista para usar, es nuestra mejor opción.
Por supuesto, tienen sus propios costes. Pero la buena noticia es que nos ayudarán a obtener más de nuestras inversiones en seguridad actual, incluidas personas, procesos y herramientas. No solo eso, sino que lo hacen de manera más rápida y más eficiente, por lo que el retorno de la inversión es rápidamente alcanzable.

Beneficios en las personas

El tiempo humano, y el coste de su tiempo, es el área donde veremos los mayores ahorros y el ROI al implementar la orquestación y la automatización en seguridad. Debido principalmente a que dedicaremos menos tiempo a los procesos manuales, pudiendo hacer más con el personal que tenemos.
Podremos así poner a nuestro mejor talento para trabajar en iniciativas de defensa más estratégicas, como la administración de vulnerabilidades o la búsqueda de amenazas, lo que las hará más felices, pudiendo retener el talento a largo plazo. Cuanto menos tiempo dedique el equipo de seguridad altamente capacitado a los procesos manuales, mejor será el ROI de nuestros recursos humanos.

Beneficios en los procesos

Las plataformas de automatización y orquestación de seguridad agilizan la creación de procesos automatizados y, a menudo, muchas ofrecen flujos de trabajo incorporados o aportados por la comunidad. Cuando es necesario crear procesos automatizados personalizados, desarrollarlos y ejecutarlos debemos hacerlo más rápido que nunca.

Cuando dedicamos menos tiempo de trabajo en estos procesos, es tiempo que se puede canalizar en la caza y el análisis de amenazas utilizando el contexto detallado que ofrecen las soluciones de orquestación y automatización. ¿El resultado? Procesos optimizados que permiten una respuesta más rápida, efectiva y precisa a las amenazas que afectan a nuestra organización.

Beneficios en la tecnología

Con una solución lista para usar, seguiremos utilizando los mismos productos que normalmente usaríamos para realizar las operaciones de seguridad. Sin embargo, podremos extraer más valor de ellos mediante integraciones y flujos de trabajo automatizados.
Muchas plataformas de automatización y orquestación de seguridad ofrecen integración preconstruida para estas herramientas, lo que significa que es fácil de usarlas, no requieren trabajos manuales ni codificaciones. En pocas palabras, la orquestación de seguridad y la automatización nos permiten obtener más de los recursos en los que ya hemos invertido. El único coste nuevo será "la plataforma" (Os traeré en otro post las soluciones SOAR), que con la cantidad de tiempo humano que ahorramos y, en última instancia, el ahorro de costos, justificará el compra de esta.

El ROI de la automatización en ciberseguridad aplicada

Hemos tratado las ventajas y la teoría de ROI en la orquestación y automatización de ciberseguridad, pero pongamos estos conceptos a trabajar.
Primero, recordamos que estamos usando el salario promedio de 50K para un empleado de seguridad. Eso se reduce a un salario por hora de alrededor de 26€, que desglosado aún más a minutos, es 0,44 céntimos por minuto.

En segundo lugar, una alerta, de media, lleva al menos 30 minutos para ser clasificada, investigada, notificada y tratada. Todo ese trabajo es manual, así que multiplica 30 minutos por 0,44 cnt/mint. Esto significa que cada alerta nos costará 13,20 € por incidente.

En tercer lugar, si pensamos en cuántas alertas manejamos en un día. Para una empresa medina/grande , usemos 50 alertas por día como ejemplo. Eso significa que gastamos 660 € por día en alertas (Tirando muy por lo bajo). Sie esto lo pasamos por los 365 días, suponiendo que tenemos un SOC de 7 días a la semana, hablariamos de 241K € por año solo en tratamiento de alertas.

Ahora, sabemos que el capital debe invertirse para proteger a la organización. Pero con las nuevas tecnologías disponibles, como la orquestación de seguridad y la automatización, nuestro capital puede invertirse en otras formas más valiosas y significativas, no solo para el beneficio de la organización, sino también para los miembros del equipo de seguridad.

Si suponemos que los 30 minutos del tratamiendo de la incidencia la desglosamos en tratamiento de alertas,escalado,análisis y respuesta , podríamos reducir a 0 el tiempo invertido por ejemplo en análisis o escalado mediante la automatización, reduciremos el coste de cada incidencia a 2,2 €.

La comparación del proceso manual con el proceso automatizado muestra una reducción del 83.3% en tiempo y coste. Ese ahorro de coste equivale a aproximadamente 8 nuevas personas que podríamos contratar o innumerables nuevos productos de seguridad que podríamos adquirir.

La belleza de la orquestación y la automatización de seguridad es que se puede personalizar en función de nuestra organización y sus necesidades.

Conclusión

Hemos visto cuánto tiempo y dinero nos puede ahorrar la orquestación y la automatización de seguridad. Podemos agregar estos dos conceptos con desarrollos personalizados, pero ya hemos visto que esta no es la mejor opción, usar una plataforma de orquestación y automatización aportará valor y demostrará un ROI a un ritmo considerablemente más rápido y efectivo.
¡La automatización en ciberseguridad aumenta la productividad, la eficiencia y la precisión!

Proveedores destacados en SOAR ( Security Orchestration, Automation and Response ) :