Las mejores posturas de seguridad son aquellas que se basan en la eficiencia y el tiempo de respuesta. Si bien los procesos permiten hacer un trabajo más rápido, crear uno que resuelva problemas prácticos y genere ganancias de eficiencia medibles puede ser una tarea que requiere mucho tiempo, y sin la experiencia necesaria para crearlos y construirlos, simplemente no se hacen. Aquí es donde entra la automatización de la seguridad.
¿Qué es la automatización de seguridad?
Basicamente la automatización de seguridad simplifica una serie de tareas manuales repetitivas en flujos de trabajo coherentes y automatizados.
Al conectar un conjunto de tareas en un sistema automatizado, los procesos de seguridad se convierten en más eficientes y menos propenso al error humano.
Con una mayor eficiencia, se pueden tomar decisiones mejores y más rápidas, lo que a su vez puede mejorar toda la postura de seguridad de nuestra organización. Aún mejor, con las tareas repetitivas y manuales que se ocupan de la automatización, el personal de seguridad puede enfocarse en un trabajo más estratégico, lo que aumenta la satisfacción laboral y garantiza conservar el talento.
Por norma general, la automatización de seguridad ha sido difícil de implementar, razón por la cual muchas empresas aún necesitan implementarla. Muchas herramientas de ciberseguridad no están diseñadas para hablarse bien con otras. Sin un profundo conocimiento de programación, hasta hace poco era imposible construir automatizaciones entre herramientas.
Pero el problema no se queda solo aqui ¿sabemos si un proceso esta bien definido? Saber cómo definir un proceso es un desafío, probar su efectividad un gasto de tiempo muy importante y la implementación, en muchos casos, un calvario, no por su dificultad, sino por que los equipos de ciberseguridad a menudo tienen tareas mucho más urgentes que atender, mucho más si es el ámbito de un SOC.
4 Mejores prácticas en automatización de ciberseguridad
Prepara tu organización de ciberseguridad para el éxito
Los dos ingredientes más importantes en la automatización de seguridad son:
- Las herramientas de seguridad
- Los procesos que los unen para hacer el trabajo.
Por ello, necesitamos primero las herramientas adecuadas para aprovechar esta automatización. Para los equipos de seguridad que acaban de comenzar o tienen poco recorrido, las herramientas mínimas básicas para tener incluyen:
- Sistemas de detección
- Firewalls
- Ticketing
- Sistemas de comunicación en equipo
Si ya se cumple esta primera capa básica de herramientas, la siguiente capa de herramientas, puede arrojarnos una información mucho más completa sobre el estado de la seguridad, esto incluye:
- Inteligencia de amenazas
- Análisis de Malware
- Análisis Forense
En cuanto a los procesos, una vez que tengamos las herramientas adecuadas, podemos empezar a definir qué procesos de seguridad necesitamos. Los procesos en los que debemos centrarnos son los que resuelven problemas prácticos, a los que nuestra empresa se enfrente con mayor frecuencia, como el escaneo de vulnerabilidades de aplicaciones, las investigaciones de phishing o la búsqueda de amenazas. Esta parte es muy subjetiva, cada compañía es diferente en cuanto a las amenazas que sufren con mayor frecuencia o los datos y sistemas que requieren una mayor protección, no será lo mismo una compañía de sanidad con importantes datos sensibles que una empresa de construcción, donde también se dispondrán de datos sensibles, pero no de la misma magnitud.
- Ten objetivos claros: Esto debe incluir los activos que estas buscando proteger y las amenazas contra las que te estás protegiendo.
- Gestión de magnitud: La mejor manera de introducir un proceso es cuando puede abordar problemas de magnitud, tales como la selección de más de 1,000 alertas por día.
- Que sea alcanzable (El típico SMART): ¿Disponemos del equipo, las herramientas y el presupuesto necesarios para hacer posible el proceso? Como ejemplo, es posible que necesitemos un analista de seguridad, un ingeniero de seguridad, una herramienta de monitorización de x€ / mes y una herramienta de protección contra malware de otros x€ / mes.
Posteriormente, diseña paso a paso las tareas involucradas en cada uno de los procesos más importantes. ¿Qué necesita pasar primero? ¿Qué tareas deben ocurrir en paralelo? ¿Dónde se requiere la comprensión humana?
Una vez trazado el proceso, pruébalo para asegurarte de que logras los objetivos previstos. Cuando sientas que el proceso funciona y solo, cuando este claro para todos qué hacer y cuándo hacerlo, pasa al siguiente paso: planificar la implementación.
La gran elección: ¿Construir o comprar?
¿Tiene los recursos internos para construir una automatización personalizada, o necesitará buscar una herramienta de automatización de seguridad comercial?
Si eres una de las pocas empresas afortunadas con empleados de ciberseguridad expertos en programación o con fácil acceso a los recursos de desarrollo, puedes hacerlo internamente, pero mi consejo, es que NO uses esta vía.
Muchas personas nos indicaran que es la única forma de no atarnos a sistemas comerciales, de no pagar un OPEX y bla bla bla .... Si quieres ser todo lo ágil que demandan nuestros clientes y la competencia, es imprescindible que sea capaz de desechar toda tu infraestructura y automatización, y crearla de nuevo de una forma "sencilla" y rápida. No importa que te equivoques, lo que importa es que seas de corregir el error de la mejor forma posible.
Pero aún así, si no optas por hacerme caso y decides construir una automatización de forma interna, haz un plan y determine su alcance:
- Alcance: ¿estamos organizando y automatizando un proceso simple o un sistema completo? ¿Cuánto tiempo nos llevará? ¿Cual será el resultado?
- Recursos: ¿cuántos programadores necesitaremos? ¿Necesitaremos contratar consultores o perfiles que no tenemos?
- Entornos: ¿cuántas herramientas tenemos? ¿Estas herramientas tienen un API? ¿Cómo las integramos estre ellas?
- Presupuesto: En función del alcance, los recursos y el entorno, ¿Cual será el coste total del proyecto?
También tenemos que pensar en el mantenimiento, especialmente al agregar nuevas herramientas o procesos a nuestras operaciones de ciberseguridad. No es parte del proyecto inicial, pero el mantenimiento de la automatización debe ser una consideración para la construcción, especialmente a medida que la magnitud y escalabilidad entran en la ecuación.
La realidad es que la mayoría de las empresas no tienen los recursos o el ancho de banda en recursos suficiente para construir internamente estas automatizaciones y están invirtiendo en plataforma comerciales. ¡Gracias a dios!
Ya hemos hablado de las herramientas SOAR que puedan organizar las herramientas de seguridad en una ubicación centralizada y automatizar procesos utilizando flujos de trabajo fáciles de construir.
Una plataforma de automatización de seguridad permite a los equipos de seguridad construir y mantener rápidamente flujos de trabajo automatizados sin la intervención regular del equipo de desarrollo.
A menudo es más efectivo y rentable usar una herramienta de automatización de ciberseguridad, ya que la creación de automatización se simplifica y el mantenimiento generalmente se maneja dentro del producto .
Cosas a tener en cuenta al comprar una plataforma:
- Alcance: ¿Cómo de fácil es conectar mis herramientas? ¿Cómo de rápido es agregar automatizaciones a mis flujos de trabajo? ¿La herramienta se adapta a las necesidades de mis procesos actuales? ¿Hay capacidad para la intervención humana? ¿Se puede escalar?
- Recursos: ¿cuántas personas deben participar en la configuración de la plataforma? ¿Cuántas personas necesitaremos para construir la automatización? ¿Cuántas personas necesitaremos para el mantenimiento?
- Entorno: ¿se ajustará a mi entorno actual? ¿Se conecta con mi conjunto actual de herramientas? ¿Cómo de fácil es actualizarlo?
- Presupuesto: Teniendo en cuenta el alcance, los recursos y el entorno, y en comparación con el desarrollo, ¿es más rentable utilizar una plataforma?
Agrega la automatización cuando sea el momento adecuado
Hay un momento adecuado para llegar a la automatización, pero por el contrario, tambien hay momento incorrecto para llegar a la misma. El momento equivocado es, por supuesto, cuando uno no tiene las herramientas claves en su lugar y no existe un conjunto de procesos bien definidos .
Es el momento adecuado para insertar automatización cuando:
- Se tienen las herramientas adecuadas en el lugar adecaudo
- Hay un conjunto de tareas que están bien definidas.
- Estas tareas son fácilmente replicables y no requieren de intervención humana.
- Ciertas tareas toman demasiado tiempo para que alguien las haga manualmente.
- Debemos resolver la brecha de talento o no podemos permitirse más contrataciones en el área de seguridad.
- El equipo está experimentando "fatiga de alertas".
- El tiempo de resolución es preocupantemente lento.
En resumen, si vuestro equipo dedica mucho tiempo en tareas de bajo valor que son repetitivas y consideramos que es necesario que se centren en tareas de mayor valor, debemos empezar a implentar automatizaciones.
La automatización en ciberseguridad, nos ayudará a retener el talento
Averigua las tareas a automatizar
La automatización no es una panacea y no funciona para todas las tareas de ciberseguridad que existen. Hay muchos momentos en que la comprensión humana es crítica durante todo el proceso, o en un punto concreto del proceso.
Por ejemplo, si tenemos que reunir información de diferentes puntos de datos y hacer un juicio racional. ¿son estas alertas de "login fail" un ataque de fuerza bruta o alguien ha olvidado su contraseña?.En resumen, si una tarea requiere razonar, más allá de lo que una máquina pueda correlacionar, la visión humana debería ser parte del proceso.
Hay muchas formas efectivas de combinar la automatización con la visión humana para garantizar que el equipo se concentre en las tareas más valiosas, mientras que la automatización realice todo lo demás.
Cuando una tarea requiere una visión humana, una persona involucrada en un punto y solo en un punto del proceso, puede aprovechar la inteligencia que la automatización ya ha reunido para poder pasar directamente al modo de análisis y respuesta, y es ese equilibrio al que debemos llegar.
Prueba las capacidades de automatización
Si la automatización de ciberseguridad es practicamente nueva para nuestra organización, o si deseamos antes de implementarla por completo, es inteligente ejecutar una prueba de concepto (POC) a pequeña escala.
En este punto, ya habremos decidido si la automatización puede ser desarrollada internamente o si adquiriremos un producto de automatización y orquestación de ciberseguridad.
Ya sabeis mi opinión al respecto, intentar buscar la herramienta que mejor os encaje y que menos desarrollos -out of the box- necesite (siempre tendréis que tocar algo), y adaptaros a la herramienta, esta será la única forma de que podáis ser competitivos en un futuro.
De cualquier modo, una POC nos garantizará que puedremos crear rápidamente prototipos de automatización y casos de uso, demostrando el valor a la empresa antes de invertir más recursos. En las herramientas de automatización de ciberseguridad, podemos calcular de una forma "sencilla" un ROI asociado. Asumiendo que la POC es un éxito, podemos avanzar con el sistema de automatización de ciberseguridad de nuestra elección al desarrollar todos sus casos de uso de seguridad en procesos automatizados.
Conclusiones a la hora de implementar automatización de ciberseguridad
Cuando sea el momento adecuado para la automatización, y si la automatización se ejecuta con éxito, revertirá notablemente en el ánimo del equipo, pudiendo así poner foco en tareas menos monotonas y retener el talento. Pero no solo eso, si no ganando ademas en tiempos y respuesta, algo imprescindible en ciberseguridad.
Eliminar las tareas repetitivas da tiempo a los miembros del equipo para no solo a responder a más eventos, sino que también a concentrarse en un importante trabajo táctico y estratégico.
Uno de los puntos claves en ciberseguridad, ya no solo en estos años sino en los vienen, es la automatización de la misma. No podemos perder el foco a las herramientas SOAR