Estudio de SANS sobre automatización e integración de 2019

Escrito por Barbara Filkins

marzo de 2019

Patrocinado por:McAfee

©2019 SANS™ Institute

Estudio de SANS

2

1 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

Resumen ejecutivoLa automatización combina el análisis asistido por máquinas con el conocimiento de los dominios obtenido por humanos, con el fin de ayudar a las empresas a optimizar los flujos de trabajo, paliar la escasez de personal y reducir la sobrecarga de alertas que redundan en una falta de atención, dos problemas que son consecuencia del creciente número de amenazas destructivas. Sin embargo, el 59 % de los participantes en nuestro estudio indicaron que hay poca, o ninguna, automatización de las principales tareas de seguridad y respuesta a incidentes en su empresa. En este nuevo estudio de SANS queremos analizar los mitos y realidades de la automatización, y explorar los caminos a seguir.

Aunque el concepto automatización y sus problemas es relativamente reciente en el campo de la seguridad, existe desde hace muchas generaciones, ya que vio la luz en los años 1940 en el sector del automóvil. Desafortunadamente, se ha generalizado la idea equivocada de sus desventajas, que suponen que su implementación práctica invalida y, en último término, hace fracasar la transición de la empresa a procesos realmente rentables.

Lograr una automatización eficaz exige comprender estas percepciones erróneas, aprender a rectificarlas, tener en cuenta los riesgos potenciales y resolver sus dificultades. Este estudio presenta varios mitos que se han extendido a lo largo de los años, y los analiza a la vista de los resultados de nuestra encuesta, con el objetivo de que la comunidad de la ciberseguridad pueda evitarlos.

Mito n.º 1: todo puede automatizarse.

Los requisitos de integración en toda la pila de TI actual son numerosos, amplios y complejos, por lo que es prácticamente imposible para los equipos operativos desarrollar los complementos específicos que se necesitan para orquestar las tareas en todos los endpoints y herramientas de seguridad implementadas en su infraestructura.

Concretamente, la revolución del IoT limita la capacidad de proporcionar automatización en la empresa, dada la variedad de endpoints, que obstaculiza la interoperabilidad. Ante la rápida explosión de estos endpoints, surge la necesidad de orquestar la seguridad, con plataformas SOAR (Security Orchestration, Automation and Response) de automatización y respuesta capaces de gestionar la integración y la cantidad de dispositivos. ¡No subestime las vulnerabilidades que introducen estos dispositivos y sensores!

Mito n.º 2: la automatización sustituirá a los seres humanos con máquinas y robots.

La automatización permite a los expertos en seguridad dar prioridad a los aspectos más importantes del ciclo de vida de la seguridad. Según este estudio, la automatización no parece tener una incidencia negativa en el personal. La mayoría de los participantes consideraban que les permite explorar nuevas áreas y centrarse en actividades más estratégicas.

Estudio de SANS sobre automatización e integración de 2019

Actividades que dependen de la automatizaciónLas actividades que dependen de fuentes de datos estructurados bien conocidos (como el tráfico por flujo y paquetes de red) deben considerarse más maduras que las que admiten el análisis basado en decisiones, como la corrección o la investigación forense. Esta diferencia se refleja directamente en el nivel de automatización alcanzado. Véase la Tabla 1.

Tabla 1. Niveles de automatización

Fase del marco CSF del NIST1

Detectar

Proteger

Identificar

Actividad clave

Supervisión de la seguridad y detección

Supervisión y protección de los datos

Administración de activos y de inventario

Medio

35 %

32,1 %

31,4 %

Alto

27,1 %

17,1 %

10,7 %

Nivel de automatización

3

Mito n.º 3: las herramientas actuales pueden integrarse fácilmente para automatizar cualquier cosa.

Los encuestados parecían bastante más preocupados por la integración de herramientas y tecnologías dispares para garantizar la interoperabilidad, considerada crucial, que por cuestiones relacionadas con el personal. Ahora bien, en la medida en que las exigencias específicas de interoperabilidad no se comprenden bien, la empresa se expone a riesgos y a incertidumbres en cuanto al cálculo de presupuestos de la automatización.

En general, en las technologías de seguridad se aplican taxonomías a los datos, lo que supone un problema mucho mayor que la propia la automatización y para el que no hay prevista ninguna regulación. Los clientes finales interesados en la automatización deben saber que las herramientas que utilizan, por lo general, seguirán funcionando a pesar de la taxonomía y otras complejidades asociadas a la integración. Sin embargo, es posible que las ventajas no compensen el esfuerzo, y hay soluciones que pueden aliviar la carga de la integración.

Mito n.º 4: la automatización es fácil de evaluar.

Aunque la automatización de la respuesta a incidentes se encuentra aún en la fase de planificación en la mayor parte de las empresas, los encuestados se muestran optimistas en cuanto a su capacidad para mejorar el rendimiento de los equipos de operaciones de seguridad (SecOps) y de respuesta a incidentes (IR), como por ejemplo, en la supervisión/priorización de las alertas y la eliminación de la sobrecarga de alertas. Sin embargo, las empresas deben elaborar mejores indicadores para visualizar y evaluar sus iniciativas de automatización.

Mito n.º 5: la automatización se implementa rápidamente.

En realidad, la automatización requiere enorme esfuerzo para llegar al punto en el que todo parece funcionar con facilidad.

No subestime los recursos necesarios para definir los procesos —con el pretexto de herramientas más eficaces— y resuelva los problemas de coherencia semántica de los datos recopilados. Para ser eficaz, la automatización depende de la integración de personas, procesos y tecnologías. La automatización de los procesos de seguridad encontrará obstáculos en el camino. Para superar esos obstáculos, las empresas pueden inspirarse en otros sectores (la administración de documentos, por ejemplo) que ya han adoptado la automatización en diversas plataformas y con tecnologías dispares, a fin de comprender y aplicar correctamente las "lecciones aprendidas" en estas implementaciones.

Automatización en la empresaLa automatización no es un concepto nuevo. El término se utilizó por primera vez hacia 1946 en el sector del automóvil. A finales de los años 1980, el término flujo de trabajo (workflow) se convirtió en sinónimo de los procesos de administración, y replicación y digitalización de documentos. Los primeros sistemas de automatización de flujos de trabajo, aparecidos en los años 1990, sustituyeron los procesos básicos basados en papel por procesos electrónicos. Al igual que ha ocurrido en otros sectores, la comunidad de la seguridad ha empezado a adoptar la automatización como solución a las tareas tediosas y repetitivas, y para permitir así al personal cualificado centrarse en actividades más estratégicas y avanzadas.

Estudio de SANS sobre automatización e integración de 2019

Población de la encuesta:• 218 profesionales, que acreditaron ejercer funciones en

el ámbito de la ciberseguridad, en particular en áreas que requieren que las operaciones de seguridad interactúen con la respuesta a incidentes

• 70 % de profesionales de la seguridad

- 47 % de analistas de seguridad, administradores de seguridad y arquitectos de la seguridad

- 27 % de responsables de la seguridad, incluidos cuadros directivos (director de la seguridad, CISO o vicepresidente de seguridad)

Los cinco sectores catalizadores de la automatización:

Finanzas y banca

Ciberseguridad

Sector público

Tecnología

Telecomunicaciones/proveedores de servicios de Internet (ISP)

0 % 10 % 20 % 30 % 40 %

16,1 %

15,6 %

13,3 %

11,5 %

7,3 %

Pequeña <1000

Pequeña a mediana 1001 - 5000

Mediana: 5001 - 15 000

Mediana a grande 15 001 - 50 000

Grande 50 000 o más0 %  10 % 20 % 30 % 40 %

36,2 %

20,2 %

16,1 %

10,1 %

17,4 %

Tamaño de la empresa en términos de personal, incluidos empleados y consultores:

El conjunto de datos utilizado para nuestro estudio procede de fuentes mundiales. Representa una muestra de entidades principalmente establecidas en América del Norte, pero con una fuerte presencia de operaciones en Europa y Asia.

Sede OperacionesEstados Unidos/Canadá 64,2 % 98,7 %Europa 16,5 % 44,5 %Asia 7,8 % 35,3 %

4

El acrónimo SOAR, utilizado por primera vez en 2015 por Gartner para designar "Security Operations, Analytics and Reporting" (operaciones, análisis e informes de seguridad), ha entrado a formar parte de la jerga habitual entre la comunidad de la ciberseguridad cuando hablan de las soluciones de automatización e integración (la palabra "informes" ha sido sustituida por "respuesta"2). La orquestación depende en realidad de la sinergia de estos dos conceptos, unidos para obtener mejoras en la respuesta, concretamente en la eficacia (aumento del número de incidentes resueltos por un analista) y en el rendimiento (disminución del tiempo medio de corrección desde el momento de la detección). (Véase la barra lateral).

Es difícil calibrar el nivel de madurez de la automatización de la seguridad en una empresa; su uso tiende a evolucionar de forma natural, como una prolongación de las personas y equipos que intentan llevar a cabo sus tareas cotidianas de forma más eficaz. El modelo CMMI (Capability Maturity Model Integration) de la universidad Carnegie-Mellon es un enfoque reconocido en materia de evaluación de la madurez en el plano de los recursos humanos, los procesos y las tecnologías, y ofrece un marco perfecto para ver cómo se compaginan la automatización y la integración. La Figura 1 muestra una hoja de ruta para la automatización de la seguridad.

Términos claveOrquestación

La orquestación coordina las funcionalidades de diversas tecnologías y herramientas independientes para crear un flujo de trabajo global. Depende de la automatización y de la integración.

AutomatizaciónLa automatización consiste en la ejecución de una secuencia de tareas sin intervención humana.

Integración La integración permite a una plataforma de automatización acceder a funciones de otras herramientas independientes por medio de una interfaz bien definida. Preferiblemente, esta interfaz debe estar basada en normas (como una API REST o una estructura de comunicaciones) y admite una taxonomía común para garantizar el intercambio transparente de datos y procesos en el conjunto de una infraestructura conectada.

Estudio de SANS sobre automatización e integración de 2019

2 https://www.gartner.com/doc/reprints?id=1-4O4VC17&ct=180109&st=sb

Figura 1. Modelo CMMI aplicado a la automatización de la seguridad, a la integración y a la respuesta a incidentes

5

La mayoría de los encuestados (46 %) afirmaron que sus principales procesos de seguridad y de respuesta a incidentes disfrutan de una automatización mínima. Este estudio aborda algunas razones que pueden explicar esta realidad. Véase la Figura 2.

Plataformas ¿dónde se utiliza la automatización?No sorprende constatar que la mayoría de los sistemas sometidos a una cierta automatización se encuentran bajo el control directo de la empresa, a diferencia de los sistemas y recursos que no son de su propiedad. Otros sistemas que carecen de automatización incluyen los sistemas de control industrial, los dispositivos o sensores del Internet de las cosas (IoT), así como otros ejemplos de tecnologías operativas (OT), como los sensores inteligentes y dispositivos wearable. Véase la Figura 3.

Estudio de SANS sobre automatización e integración de 2019

Figura 2. Nivel de automatización de la seguridad

¿Cuál es el nivel actual de automatización de la seguridad en su empresa?

50 %

40 %

30 %

20 %

10 %

0 %Medio

(automatización parcial de los

principales procesos de seguridad y de

respuesta a incidentes)

Alto (automatización

generalizada de los principales procesos

de seguridad y de respuesta a incidentes)

Bajo (automatización mínima de los

principales procesos de seguridad y de

respuesta a incidentes)

Ninguno (ninguna

automatización de los principales

procesos de seguridad y de respuesta a incidentes)

Desconocido

5,1 %

46,3 %

33,9 %

12,4 %

2,3 %

Figura 3. Nivel de automatización por tipo de sistema

Nivel de automatización por tipo de sistema (N-150)

0 % 20 % 40 % 80 %60 %

Servidores (desarrollo, bases de datos, correo electrónico, web, DNS)

Impresoras

Dispositivos móviles (propiedad de empleados; tablets, notebooks/iPads, smartphones)

Terminales punto de venta

Portátiles (propiedad del empleador)

Sistemas basados en la nube (emulados o virtualizados)

Portátiles (propiedad de los empleados)

Sensores inteligentes

48,7 %31,3 %3,3 %

50 %28,7 %2,7 %

47,3 %30 %2,7 %

46,7 %28 %2 %

41,3 %21,3 %1,3 %

38,7 %22 %1,3 %

34 %24 %2,7 %

25,3 %15,3 %1,3 %

17,3 %15,3 %1,3 %

19,3 %8,7 %0,7 %

10 %12 %1,3 %

14,7 %5,3 %

13,3 %5,3 %0,7 %

8 %8 %0,7 %

7,3 %4,7 %

4 %3,3 %

4,7 %2,7 %

Dispositivos de red (enrutadores, firewalls, conmutadores)

Dispositivos móviles (propiedad del empleador; tablets, notebooks/iPads, smartphones)

Sensores o dispositivos IoT

Sistemas de control industrial (SCADA, fabricación en planta)

Sistemas de escritorio (propiedad del empleador)

Sistemas de seguridad del perímetro físico (controles de acceso electrónico, sistemas de vigilancia)

Controles ambientales (HVAC, tratamiento de aguas)

Wearables

Sistemas inteligentes (vehículos, controladores de edificios)

Alta Media Baja

6

En su estudio de 2018 sobre los sistemas de control industrial, el SANS Institute señaló que los datos de diagnóstico y pronóstico de los sistemas OT eran excelentes indicadores del funcionamiento normal o anómalo de los procesos; señalaban los problemas operativos previstos (reducción del rendimiento, interrupciones intermitentes, desgaste prematuro), así como las alteraciones accidentales o maliciosas, o bien la presencia de una amenaza en el sistema3. La mayoría de las herramientas de seguridad automatizadas no utilizan datos orientados a procesos para evaluar el nivel de seguridad de un sistema y determinar si sus condiciones han variado. La diversidad de terminales IoT —cada uno con su conectividad, sus API y sus formatos de datos específicos— impide la interoperabilidad necesaria para que se generalice la automatización. Aunque hay en marcha iniciativas del mundo universitario, del sector de la seguridad y de organismos de estandarización, no se ha establecido claramente ningún plan definitivo para responder a las necesidades de orquestación4.

Procesos: ¿cómo se utiliza la automatización?La automatización admite varias actividades clave que forman parte del ciclo de vida de la seguridad, tal y como lo definen las fases del marco Cybersecurity Framework (CSF) del NIST. Algunas actividades utilizadas en este estudio no corresponden directamente a las fases del marco CSF. Las correspondencias establecidas por el SANS Institute entre los controles de seguridad CIS y el marco CSF5 se usaron para:

• Respuestas a incidentes: pertenece tanto a la fase de Detección como a la de Retención.

• Pruebas de intrusión y de simulación de ataques: cubiertas por CIS Control 20; correspondiente a las fases Respuesta y Recuperación.

En la Tabla 2 que se muestra a continuación, las actividades que se cubren en este estudio aparecen en negrita.

Estudio de SANS sobre automatización e integración de 2019

3 https://www.sans.org/reading-room/whitepapers/ICS/2018-industrial-iot-security-survey-shaping-iiot-security-concerns-38505, pág. 10.4 https://link.springer.com/article/10.1007/s11036-018-1089-9 5 www.sans.org/media/critical-security-controls/critical-controls-poster-2016.pdf6 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

Tabla 2. Marco CSF versión 1.1 de NIST — Fases y categorías

Fase

1. Identificar

2. Proteger

3. Detectar

4. Responder

5. Recuperar

Definición

Desarrollar en las empresas los conocimientos necesarios para abordar los riesgos de ciberseguridad para sistemas, recursos, datos y capacidades

Elaborar e implementar los mecanismos adecuados para proteger los servicios de infraestructuras críticas (con la posibilidad de limitar el impacto de un incidente de ciberseguridad)

Desarrollar e implementar las actividades apropiadas para identificar la presencia de un incidente de seguridad

Elaborar e implementar las actividades apropiadas a la hora de enfrentarse a un incidente de seguridad detectado

Elaborar e implementar las actividades apropiadas con fines de resiliencia y recuperación de capacidades o servicios afectados por un incidente de seguridad

Categorías asociadas al marco CSF6

Administración de activos (incluida la administración de inventario) Entorno empresarialGobernanza (incluido el cumplimiento normativo)Administración de riesgos (incluida la inteligencia sobre amenazas)Estrategia de administración de riesgos

Control de accesoSensibilización y formaciónSeguridad de los datos (incluida la protección y supervisión de los datos)Procesos y procedimientos de protección de la informaciónMantenimiento

Anomalías y eventosSeguridad y supervisión continua (24/7)Procesos de detecciónRespuesta a incidentes

Planificación de la respuesta ComunicacionesAnálisis (incluye la investigación forense digital)MitigaciónMejorasRespuesta a incidentesPruebas de intrusión/simulación de ataques

Planificación de la recuperaciónMejorasComunicaciónPruebas de intrusión/simulación de ataques

7

De todas las actividades clave que admite la automatización, la supervisión de la seguridad y la detección ocupan el primer lugar (nivel de automatización medio para el 35 % de los encuestados y nivel elevado para el 27 %). Las tecnologías de supervisión y detección, en particular en el dominio de las redes, se han apoyado durante mucho tiempo en herramientas consolidadas de alertas automatizadas. La actividad de supervisión y de protección de datos ocupa la segunda posición en la clasificación, lo que se explica igualmente por la automatización de la supervisión de datos estructurados. Evidentemente, las empresas invierten también de forma masiva en la automatización para la administración de activos y de inventario, un dominio especialmente crítico para las grandes empresas. Las actividades de pruebas de intrusión y simulaciones de ataques figuran en una posición relativamente baja en la clasificación, lo que resulta sorprendente si pensamos que podrían beneficiarse de kits de herramientas muy automatizados. Véase la Tabla 3.

Las actividades de análisis forense digital y corrección siguen dependiendo de procesos manuales, áreas en las que la perspectiva del ser humano sigue siendo en gran medida indispensable. El análisis forense digital y la corrección (DFIR) —una profesión multidisciplinar centrada en la identificación, investigación y corrección de la explotación de redes informáticas— sigue dependiendo de procesos tediosos, como el análisis de registros y de inteligencia de seguridad, en los que la automatización podría potenciar las competencias de los analistas. La automatización de procesos DFIR es una necesidad.

El impacto del SOC en la automatizaciónEl nivel de colaboración alcanzado entre el centro de operaciones de seguridad (SOC) y los equipos de respuesta a incidentes parece influir en la adopción de automatización en las empresas. Esta adopción es mayor, con un nivel de automatización de medio a alto, cuando este equipo está completamente integrado con el SOC. Véase la Figura 4.

Estudio de SANS sobre automatización e integración de 2019

Las tareas de corrección automatizadas presentan riesgos que no son razonablemente asumibles para todas las empresas. Plantéese, sin embargo, el empleo de la automatización para acelerar las investigaciones y la respuesta a incidentes, gracias al enriquecimiento y a las búsquedas de datos, y para comenzar las asignaciones de corrección manual mediante el envío de notificaciones a las personas implicadas y la obtención de las aprobaciones necesarias.

Figura 4. Nivel de automatización en función de la coordinación entre el SOC y el equipo de respuesta a incidentes

Nivel de automatización en función de la relación entre el SOC y el equipo de respuesta a incidentes (IR)

20 %

15 %

10 %

5 %

0 %El equipo de IR es

independiente del SOC y trabaja de forma

autónoma durante las investigaciones

2,1 %3,4 %

17,2 %

6,2 %

El equipo de IR trabaja bajo la supervisión

del SOC, pero con su propio equipo

1,4 %

10,3 %

6,2 %

0,7 %

El equipo de IR está totalmente

externalizado; pero colabora con nuestro

SOC durante las investigaciones

*1,4 %

4,8 %

1,4 %

El equipo de IR está totalmente integrado

en el SOC, con equipos multidisciplinares

0,7 %

17,2 %15,2 %

1,4 %

El equipo de IR representa una

unidad en nuestro SOC, con personal

con formación independiente y

competencias distintas

1,4 % 2,1 %

5,5 %

0,7 %

*Ningún encuestado señaló un alto nivel de coordinación cuando la respuesta a incidentes estaba totalmente externalizada.

Alto Medio Bajo Ninguno

Detección Supervisión de la seguridad y detección 97,9 % 7,9 % 27,9 % 35 % 27,1 %

Detección y respuestas Respuestas a incidentes 93,6 % 27,9 % 35 % 20 % 10,7 %

Recuperación Corrección 92,1 % 35 % 25 % 25 % 7,1 %

Identificación Inteligencia sobre amenazas 90 % 18,6 % 37,1 % 22,9 % 11,4 %

Protección Supervisión y protección de datos 90 % 10,7 % 30 % 32,1 % 17,1 %

Protección Administración de la seguridad 90 % 16,4 % 35 % 27,1 % 11,4 %

Respuestas Investigación forense digital 89,3 % 42,1 % 26,4 % 12,9 % 7,9 %

Identificación Soporte de cumplimiento 88,6 % 27,1 % 24,3 % 28,6 % 8,6 %

Respuesta y recuperación Pruebas de intrusión 83,6 % 27,1 % 25,7 % 23,6 % 7,1 %

Identificación Administración de activos y de inventario 82,1 % 16,4 % 23,6 % 31,4 % 10,7 %

Respuesta y recuperación Simulación de ataques 67,9 % 30,7 % 22,1 % 10,7 % 4,3 %

Tabla 3. Nivel de automatización por actividad

Fase Actividad clave admitidaUso de la actividad Manuales Bajo Medio Alto

Nivel de automatización

8

La incidencia que esta dependencia puede tener sobre los planes de automatización y de integración futuros sigue siendo incierta. Mientras que el 52 % de los encuestados no preveía ningún cambio de la situación en los próximos 12 meses, el 25 % permanecían indecisos a este respecto. Entre el 23 % que prevén el cambio, algunos encuestados precisaron que estaban en fase de definición del problema.

Una parte importante de las acciones del SOC tienen por objeto detectar y validar los incidentes de seguridad, actividades igualmente primordiales para el equipo de respuesta a incidentes. Una integración total entre esos dos equipos puede contribuir al éxito de la automatización del SOC. Cuando empiece a considerar la mejora de la instrumentación, deberá resolver los eventuales problemas de tipo cultural, concretamente para mejorar la relación entre el equipo del SOC y el de respuesta a incidentes, y eliminar parcelas aisladas entre estos grupos.

Plataformas: ¿cuáles son las principales herramientas?Como se muestra en la Tabla 4, las utilidades de análisis de registro y de alertas muestran los niveles más altos de automatización. Esto puede deberse en parte al hecho de que, comparadas con otras como las de supervisión de la actividad de los usuarios, las fuentes de datos que emplean estas utilidades están, por lo general, mejor definidas (normalizadas según un esquema dado) y muestran menos variaciones en comprensión de las limitaciones sintácticas (formato) y semánticas (significado, definición).

Estudio de SANS sobre automatización e integración de 2019

Navegador y utilidades de captura de pantalla 48,9 % 31,4 % 14,6 % 2,9 %

Herramientas de terceros específicamente destinadas a la investigación forense digital y legal 50,4 % 29,2 % 13,9 % 7,3 %

Sistemas de administración de casos de seguridad 51,8 % 23,4 % 19 % 9,5 %

Quejas o notificaciones de usuarios 56,2 % 23,4 % 18,2 % 14,6 %

Supervisión de la integridad de archivos 59,1 % 30,7 % 19 % 9,5 %

Herramientas de análisis y archivado del tráfico de red 59,1 % 27 % 19 % 13,1 %

Supervisión de comportamientos (generación de perfiles) 60,6 % 34,3 % 19,7 % 6,6 %

Sandboxing 61,3 % 29,2 % 19,7 % 12,4 %

Visibilidad SSL (cifrado/descifrado) en el perímetro de la red 62,8 % 19 % 21,9 % 21,9 %

Herramientas de supervisión de la actividad de los usuarios 62,8 % 33,6 % 15,3 % 13,9 %

Servicios y herramientas de análisis e inteligencia 65 % 31,4 % 27,7 % 5,8 %

Supervisión de la disponibilidad de servicios 65 % 24,8 % 22,6 % 17,5 %

Herramientas desarrolladas internamente para el entorno específico de la empresa (p. ej., guías tácticas) 67,9 % 34,3 % 21,2 % 12,4 %

Administración de identidades 70,1 % 23,4 % 32,8 % 13,9 %

Herramientas de análisis de protocolos (sniffer) o de captura de paquetes de red 70,1 % 34,3 % 19 % 16,8 %

Alertas de agente de detección de intrusiones en host 71,5 % 28,5 % 26,3 % 16,8 %

Agentes de análisis basado en la red con firmas y detección de comportamientos 75,2 % 22,6 % 32,8 % 19,7 %

Herramientas de detección del flujo de red y de anomalías 75,2 % 31,4 % 23,4 % 20,4 %

Gateway web seguro (solución in situ y/o proxy en la nube) 78,1 % 24,8 % 27,7 % 25,5 %

Controles de endpoints (p. ej., control de acceso a la red o administración de la movilidad en la empresa) 80,3 % 19 % 40,1 % 21,2 %

Análisis y correlación SIEM 83,2 % 24,8 % 28,5 % 29,9 %

Detección y respuesta a incidentes en endpoints (EDR) 86,1 % 27,7 % 38 % 20,4 %

Herramientas de administración de vulnerabilidades 86,1 % 25,5 % 36,5 % 24,1 %

Análisis de registros 91,2 % 29,9 % 33,6 % 27,7 %

Alertas UTM (administración unificada de amenazas)/IPS/IDS/de firewall 92 % 21,9 % 40,1 % 29,9 %

Tabla 4. Nivel de automatización para las herramientas principales

AltoMedioBajoUso total

Nivel de automatización

Determinación de los esfuerzos de automatización"[Es necesario] compartir más información en las actividades cotidianas, no solamente durante un incidente. El acceso abierto a herramientas especializadas y una documentación más eficaz y estandarizada sobre directivas, procesos y procedimientos [son también necesarios] para facilitar la formación mutua de equipos".

– Un participante en nuestra encuesta

9

Los encuestados abordan la integración de las herramientas de formas distintas; desde los que no utilizan herramientas (el 21 % de los encuestados) hasta los que adquieren plataformas dedicadas y además integran las herramientas existentes (26 %), lo que pone de manifiesto la necesidad de adaptar su estrategia en cuanto a adquisición de tecnología a las competencias del personal. Véase la Figura 5.

Los encuestados intentan aprovechar las herramientas existentes; el 34 % intentan iniciativas internas de integración y orquestación, y el 26 % adquieren utilidades de automatización para conseguir su objetivo. En este caso, deben utilizarse métodos estándar de integración, como formatos de datos estándar (JSON, XML, etc.), funcionalidades de API y plataformas de mensajería.

Es posible que se necesite algo más, ya que las empresas pretenden institucionalizar la automatización de la seguridad en el conjunto de su entorno, y las plataformas SIEM y SOAR dependen de taxonomías de datos comunes y de interfaces bien definidas. Plantéese reforzar el uso de su esquema SIEM al desplegar su solución SOAR, en la medida en que ya ha normalizado los datos que recopila en un formato coherente.

Las normas abiertas se desarrollan y mantienen a través de procesos colaborativos y consensuados para facilitar la interoperabilidad y el intercambio de datos entre productos y servicios distintos. Dichas normas pueden ayudar a las empresas a conocer mejor los riesgos y el trabajo que implica la implementación, así como proporcionar un marco común que permita a los proveedores estandarizar sus ofertas de interfaces. Las normas de integración relevantes que han visto la luz —como el protocolo SCAP (Security Content Automation Protocol) versión 2.0 del NIST y el Open Command and Control (OpenC2) de la organización OASIS— han tenido un bajo nivel de adopción, probablemente porque la automatización que preveían no es verdaderamente definible por máquinas, con la excepción de las acciones de amenaza/respuesta. Además, los proveedores de soluciones comerciales ofrecen compatibilidad con las estructuras de comunicaciones y, en general, las aprovechan plenamente como marcos de código abierto, proporcionándoselo a la comunidad de seguridad a fin de mejorar la interoperabilidad entre las herramientas y los productos de seguridad.

Crecimiento, cambio y presupuestoMás del 57 % de los encuestados prevén cambios en sus prioridades en cuanto al uso de la automatización en el curso de los próximos 12 meses, mientras que el 28 % no lo saben. Los cinco principales sectores de actividad, todos ellos con una influencia considerable en el mercado de la seguridad, muestran claramente que prevén un cambio en cuanto a su adopción de la automatización. Véase la Figura 6.

Si la mayoría de sus analistas dominan la escritura de scripts, no dude en crear un entorno de desarrollo (IDE) con Python, Ruby u otras utilidades disponibles. Sin embargo, si la mayoría no tiene competencias en codificación, aproveche los puntos fuertes de una plataforma SOAR que cuente con una funcionalidad de arrastrar y soltar sencilla o incluso considere confiar completamente el desarrollo a un proveedor de servicios de seguridad gestionados (MSSP).

Estudio de SANS sobre automatización e integración de 2019

Figura 5. Estrategia de automatización e integración

de herramientas

Ninguna herramienta de automatización ni de orquestación actualmente en uso

Uso de servicios de proveedores MSSP

Orquestación e integración interna de utilidades existentes

Adquisición de herramientas de automatización dedicadas, de un proveedor de software independiente

Adquisición de herramientas dedicadas e integración de herramientas existentes

Otro

¿Cuál es su estrategia actual respecto a las herramientas de automatización?

21,3 %

10,6 %

34 %

6,4 %

26,2 %

1,4 %

Figura 6. Cambio en la adopción de automatización: los cinco sectores principales

Cambio en la automatización en los cinco principales sectores

10 %

8 %

6 %

4 %

2 %

0 %Sí

8,8 % 8,8 %

7,6 %

5,3 %

4,7 %

No

2,9 % 2,9 %1,8 % 1,8 %

0,6 %

No lo sé/No estoy seguro

5,3 %

2,3 % 2,3 %3,5 %

1,8 %

Finanzas y banca

Ciberseguridad

Sector público

Tecnología

Telecomunicaciones/proveedores de servicios de Internet (ISP)

Este cambio es sin duda alguna atribuible a un crecimiento de la automatización. Las partidas para automatización incluidas en los presupuestos de seguridad previstos para los próximos 12 meses están aumentando respecto a los niveles actuales, aunque también lo hace la incertidumbre. Véase la Tabla 5.

Hay factores directos e indirectos que influyen en las decisiones de inversión en automatización. Los factores directos son los que habitualmente más pesan: el presupuesto y el apoyo de la dirección, junto con las preocupaciones por el personal, es decir, las cifras totales de la plantilla y cómo adquirir las competencias necesarias y/o mantenerlas a través de formación y certificación. Véase la Figura 7.

En cuanto a los factores indirectos, se trata principalmente de las dificultades para garantizar la interoperabilidad de las herramientas en un entorno automatizado, la correlación de datos para obtener información útil y procesable para mejorar la toma de decisiones, y el establecimiento de la colaboración entre el equipo de TI y de las operaciones de seguridad. Conocer estos factores permite a la empresa desarrollar un enfoque sólido  —respecto al ámbito, el calendario y los recursos— sobre el que basarse para evaluar de forma realista los factores directos.

Percepción: ¿qué riesgos entraña la automatización?La mayoría de los encuestados (59 %) confían en que la automatización mejore las investigaciones sobre amenazas, en primer lugar, seguido por que pueda automatizar los flujos de trabajo y la ejecución (53 %), y en tercer lugar, correlacionar incidentes de manera más eficaz para un análisis proactivo (42 %). Véase la Figura 8.

10

Tabla 5. Presupuesto para automatización

Actual

Próximos 12 meses

Respuesta

Más del 10 %

11,5 %

14,8 %

3,3 %

Desconocido

37,7 %

44,3 %

6,6 %

1-2 %

18,0 %

10,7 %

-7,4 %

5-6 %

6,6 %

9 %

2,5 %

Ninguno

18 %

6,6 %

-11,5 %

3-4 %

6,6 %

9,8 %

3,3 %

7-10 %

1,6 %

4,9 %

3,3 %

Estudio de SANS sobre automatización e integración de 2019

¿Qué factores intervienen en la decisión de su empresa de aprobar (o rechazar) ese nivel de inversión? Seleccione los tres más relevantes.

0 % 10 % 20 % 40 %30 % 50 % 60 %

Cantidad de personal competente

31,3 %

10,2 %

7,8 %

Elaboración de una directiva que permita la automatización de su administración y ejecución

Facilidad de adquisición de los datos necesarios

Correlación de datos para obtener información de utilidad

Integración y coordinación de los equipos de TI y de seguridad

Competencias necesarias para integrar y utilizar las herramientas

Rendimiento

21,1 %

30,5 %

53,1 %

61,7 %

49,2 %

30,5 %

Automatización e interoperabilidad de las herramientas actuales

Presupuesto y apoyo de la dirección

Figura 7. Factores que influyen en la inversión en automatización

InteroperabilidadLa interoperabilidad es la capacidad de los sistemas informáticos o del software para intercambiar información y utilizarla.

¿Cuáles son los tres requisitos que considera prioritarios para la automatización? Seleccione los tres más relevantes.

0 % 10 % 20 % 40 %30 % 50 % 60 %

Correlación más eficaz de incidentes para un análisis más proactivo

34,8 %

15,6 %

14,1 %

11,1 %

Uso de la inteligencia sobre amenazas de diversas fuentes

Bibliotecas de prácticas comunes y mejores prácticas que faciliten la automatización

Empleo de investigación forense para analizar las actividades que ocurrieron antes y después de un ataque

Generación de informes y paneles que permitan resolver los problemas propios de la empresa

Registro en diario de la información relativa a la evolución de un incidente

Automatización de flujos de trabajo y de ejecución de directivas relacionadas con las operaciones de seguridad

Contribución a un mejor intercambio de información entre los equipos operativos y las partes interesadas externas

17,8 %

31,1 %

52,6 %

58,5 %

42,2 %

21,5 %

Reducción de falsos positivos

Aumento de la rapidez y la calidad de las investigaciones sobre amenazas mediante la automatización de la recopilación

de datos y los análisis

Figura 8. Requisitos prioritarios de la automatización

11

Los encuestados son conscientes de que la eficacia tiene un precio. Para recoger los beneficios de la automatización es necesario invertir dinero y recursos. Los riesgos asociados a los procesos de integración constituyen igualmente una preocupación importante, tanto a nivel de normas generales de las interfaces como en límites de las herramientas actuales, como se muestra en la Figura 9.

Conseguir una automatización eficaz,

que parezca que funciona sola, requiere

mucho esfuerzo. El desarrollo y el

despliegue eficaz de la automatización

puede ser un trabajo arduo, en particular para que los procesos "sean adecuados" y las interfaces

semánticamente "correctas". Además, a menudo requieren más tiempo del previsto, sea cual sea

la tecnología utilizada para la automatización. Accenture Plc, empresa internacional especializada

en consultoría, dedicó cinco años a desarrollar el software y los servicios que utiliza para

optimizar y automatizar los procesos de departamentos como el financiero, de contabilidad,

marketing y compras. El software y los servicios se apoyan en bases de datos y sistemas de

registro existentes. Curiosamente, esta automatización no generó una pérdida de empleos en

Accenture; los 40 000 trabajadores que ocupaban los puestos afectados fueron reasignados7.

Percepción: ¿cuál es el impacto en la plantilla?En general, la automatización genera miedo: pensamos que vamos a perder nuestro empleo y que seremos sustituidos por robots. Sin embargo, los resultados demuestran que las empresas en las que el nivel de automatización es medio o más alto tienen más personal que aquellas en las que el nivel es bajo. Véase la Tabla 6.

La automatización no es necesariamente sinónimo de una reducción de personal. De hecho, puede mejorar la eficacia del personal existente, ya que, gracias a la tecnología, permite a los empleados concentrarse en aspectos más importantes de su vida profesional y privada. Los encuestados no parecen preocupados por el hecho de que la automatización pueda suponer una reducción de puestos de trabajo. La mayoría piensan que no incidirá de forma alguna en la plantilla y en realidad tienen ganas de que se cambien las prioridades, o esperan que suponga una nueva aventura.

Estudio de SANS sobre automatización e integración de 2019

¿Cuáles son, según su opinión, los riesgos potenciales de la automatización de la seguridad? Seleccione todas las opciones posibles.

0 % 10 % 20 % 40 %30 % 50 % 60 %

Dependencia de otros procesos de operaciones de TI y herramientas que puedan procesos estratégicos

53,5 %

4,7 %

Los procesos actuales no necesitan ser automatizados

Otros

Capacidad limitada de integración de las herramientas actuales

Orientación general del mercado y los impactos asociados que pueden influir en la inversión en tecnologías y herramientas

de automatización

Limitaciones de recursos

10,2 %

45,7 %

59,1 %

59,8 %

57,5 %

15,8 %

Falta de estándares de integración entre distintas herramientas (p. ej., posibilidad de que los sistemas interactúen o de

correlacionar los datos)

Limitaciones presupuestarias

Figura 9. Riesgos de la automatización

7 www.bloombergquint.com/business/accenture-to-sell-software-that-allowed-it-to-cut-40-000-jobs

Medio >

Bajo

Total

Tabla 6. Nivel de automatización según el número de personas empleadas (N=142)

1 o menos

2,8 %

5,6 %

8,5 %

6-10

4,9 %

9,9 %

14,8 %

Más de 25

9,9 %

7 %

16,9 %

11-25

9,2 %

6,3 %

15,5 %

2–5

7,7 %

23,2 %

31 %

Efectos de la automatización en el personal: la opinión de los encuestados• Ningún cambio:

"Más eficacia con el mismo personal".

• Cambio de prioridades: "El personal existente puede dedicar más tiempo a actividades de seguridad más útiles, como la caza de amenazas".

• Nueva aventura: "Más tiempo para centrarse en las actividades interesantes, en lo esencial, en lugar de ocuparse principalmente de la supervisión y la selección de alertas, tareas que, en cualquier caso, pueden automatizarse".

12

Para una implementación eficaz, la automatización a menudo requiere un aumento inicial de la plantilla para solucionar posibles complicaciones. Sin embargo, casi siempre viene también acompañada por una reorientación, que no reducción, del personal actual. Los cinco primeros sectores prevén contrataciones en los 12 próximos meses, como se muestra en la Tabla 7.

Cómo conseguir que la automatización funcione ¿Cuál es el camino a seguir para avanzar en la automatización?

Planificación y preparaciónEl éxito de la automatización empieza por la planificación. La prevención y la detección muestran los niveles más altos de automatización operativa debido a la gran variedad de registros estructurados disponibles y a la madurez de los procesos automáticos de recopilación de datos. Por otro lado, los esfuerzos de automatización siguen centrados en la planificación en las áreas de respuesta a incidentes y la prevención. Véase la Figura 10.

Como hemos visto anteriormente, (véase la Tabla 3), la respuesta a incidentes no emplea de forma generalizada la automatización para los recursos operativos, pero esta área es un candidato excelente para dicho empleo. El proceso de respuesta en siete pasos (preparación, identificación, contención, investigación, erradicación, recuperación y seguimiento/aplicación de lecciones aprendidas) contiene numerosos flujos de trabajo repetitivos y tediosos, que mejorarían claramente si fueran automatizados.

Para empezar, las empresas deberían centrarse en un objetivo empresarial específico en esa área, a través del que la automatización demuestre valor añadido, ya sea por una mejora de la productividad, del rendimiento o de la rentabilidad. Este objetivo podría ser, por ejemplo, la integración de los equipos de operaciones de seguridad y de respuesta a incidentes.

A continuación, deben reducir el ámbito todavía más, identificando los casos de uso fácilmente aplicables. No sobrecargue a su equipo intentando automatizar simultáneamente todos los procesos relacionados con el objetivo empresarial elegido. Debe concentrarse sobre todo en los que pueden aprovechar la automatización, dedicando el tiempo a desentrañar y comprender los fallos actuales en los procedimientos, así como las ventajas que puede aportar la automatización.

Estudio de SANS sobre automatización e integración de 2019

Finanzas y banca

Ciberseguridad

Sector público

Tecnología

Telecomunicaciones/proveedores de servicios de Internet (ISP)

Total (todos los sectores)

Tabla 7. Cambio en el personal de seguridad: los cinco sectores principales

Media

27,6 %

36,1 %

46,9 %

21,4 %

29,2 %

27,3 %

Mediana

25 %

50 %

50 %

25 %

25 %

25 %

Cambio (%)

Figura 10. Prioridades en materia de automatización

¿Cuáles son las prioridades de la empresa en cuanto a la automatización?

50 %

40 %

30 %

20 %

10 %

0 %Prevención

6,9 %

33 %

20,8 %

39,3 %

Detección

2,9 %

26,7 % 24,4 %

45,9 %

Respuesta

4,7 %

45,9 %

23,8 %25,6 %

Predicciones

40 %43,5 %

7,1 %9,4 %

N/D

Planificación

Implementación

Funcionamiento

Caso de uso Un caso de uso es un conjunto de acciones o pasos que definen las interacciones ejecutadas por un actor (una persona, un sistema o un servicio) para conseguir un objetivo particular8.

8 Don Murdoch, Blue Team Handbook: SOC, SIEM, and Threat Hunting Use Cases, Notes from the Field, (Guía práctica de equipos de seguridad defensiva: caso de uso para el SOC, el SIEM y la caza de amenazas), 2018, p. 129.

Los encuestados consideran que la automatización puede mejorar el rendimiento de los equipos de SecOps e IR de distintas maneras, como se muestra en la Figura 11. Esta lista de mejoras, clasificadas por orden de prioridad, puede servir de punto de partida para determinar los tipos de automatización más adecuados para un caso específico de respuesta a incidentes, como la supervisión del acceso de los usuarios con privilegios o la respuesta a un ataque contra la web de la empresa o una carga útil para el usuario final.

Recuerde que los incidentes más duros y maliciosos exigirán siempre la intervención y el espíritu crítico de un analista de seguridad. Para conseguir el éxito de su implementación, debe encontrar el equilibrio entre las actividades dirigidas por máquinas y actividades dirigidas por el analista.

Empecemos por una guía tácticaUna guía táctica es un conjunto de estrategias y tácticas que puede utilizar un equipo. En el dominio de la automatización de la seguridad, casi es sinónimo de flujo de trabajo y designa a un conjunto de procesos y procedimientos operativos que se ajustan a las directivas y la cultura de la empresa, a fin de garantizar una respuesta coherente a un estímulo o factor desencadenante.

En las respuestas abiertas para la pregunta sobre qué procesos clave habían sido automatizados en sus empresas, los encuestados confundían en cierta medida los siguientes conceptos: procesos y flujo de trabajo (supresión automatizada de mensajes de correo electrónico maliciosos tras su entrega), detonante práctico de un proceso (alerta SIEM) y tecnología propiamente dicha (SIEM).

Los métodos de documentación de flujos de trabajo e identificación de mejoras forman parte de la administración de procesos empresariales (BPM), una disciplina que emplea varios métodos para descubrir, modelar, analizar, medir, mejorar, optimizar y automatizar los procesos empresariales (como los flujos de trabajo)9. Cuando la automatización se instaure en la ciberseguridad, la BPM jugará un papel cada vez más importante para ayudar a identificar las necesidades de la automatización y a cuantificar los recursos necesarios para conseguir los objetivos y los resultados deseados.

13Estudio de SANS sobre automatización e integración de 2019

Figura 11. Cómo la automatización mejora en el

rendimiento de los equipos

¿En qué ha mejorado la automatización el rendimiento de los equipos de operaciones de seguridad y de respuesta a incidentes? Seleccione todas las opciones posibles.

0 % 20 % 40 % 60 % 80 %

Reducción del tiempo de respuesta para la detección/neutralización/corrección

Eliminación de la sobrecarga de alertas

69,5 %

55,7 %

55 %

50,4 %

40,5 %

35,9 %

35,9 %

32,8 %

Mejora de la detección precoz de las amenazas, gracias a flujos integrados de inteligencia sobre amenazas

Definición adecuada de procesos y propietarios

Mayor eficacia de los procesos de seguridad rutinarios

Mayor colaboración entre los miembros del equipo encargado de la reparación de incidentes

Posibilidad de actualizar sistemáticamente los flujos de trabajo de seguridad automatizados, según las nuevas mejores prácticas

Utilización de herramientas de seguridad para empresas, ya instaladas

Posibilidad de ejecutar de manera coherente y precisa los procedimientos de respuesta a incidentes

Mejora de la administración de incidentes de origen interno

Supervisión constante eficaz

56,5 %

67,9 %

74,1 %

77,1 %

71 %

57,3 %

Mejora de la visibilidad y la infraestructura de supervisión

Mejor priorización de las actividades de operaciones de seguridad

Supervisión y jerarquización de alertas

9 www.aiim.org/What-is-BPM#

14

La implementación de una solución automatizada eficaz exige analizar las cuestiones siguientes y encontrar respuesta a las mismas:

• ¿Cuál es el flujo de trabajo actual, incluida su forma manual?

• ¿Cuáles son sus defectos (falta de eficiencia, obstáculos, etc.)? y ¿cuáles son las mejoras deseables o indispensables?

• ¿Cuál es el flujo de trabajo (mejorado) previsto una vez que se ejecuta la automatización y la integración (p. ej., SOAR)?

A continuación incluimos algunos consejos para la elaboración de guías tácticas:

• Identifique las herramientas de modelado a su disposición. Una plataforma SOAR debe incluir herramientas de modelado fáciles de utilizar (por ejemplo, arrastrar y soltar) para la creación de guías tácticas, a ser posible compatible con una de las metodologías de modelado más conocidas, como la creación de diagramas UML (Unified Modeling Language).

• Una vez seleccionada la metodología de modelización, aprenda a utilizarla correctamente, no solamente con fines de documentación, sino también para analizar la calidad de los procesos automatizados.

• Tómese su tiempo para analizar los procesos antes de crear las guías tácticas. (Nota: siempre está bien recordarlo). La automatización de un proceso deficiente lo hará más eficaz, pero seguirá siendo un proceso deficiente.

• Reutilice: aproveche lo que ya ha dado resultado a otros. Las plantillas o guías tácticas estándar pueden constituir un excelente punto de partida. Personalícelas a medida que determine lo que más conviene para su caso de uso específico.

Visibilidad: importancia de las métricas de rendimientoAutomatizar un proceso sin evaluarlo no tiene sentido. Las métricas de rendimiento ofrecen visibilidad del estado de la automatización a muchos niveles. Los paneles y los informes son necesarios, y deben adaptarse al papel y las necesidades del usuario (analista, director del centro SOC, CISO). De esta manera, el analista puede examinar el número y los tipos de incidentes tratados, cerrados y abiertos para evaluar su rendimiento individual. El director del SOC puede consultar el número de incidentes por analista de seguridad, para rendir cuentas de la eficacia y el comportamiento de su equipo.

La dirección, por su parte, necesita indicadores que reflejen las prioridades de la empresa, como la reducción del riesgo y los costos, así como el aumento de la productividad y la mejora del nivel de seguridad. Aquí, las métricas individuales pueden integrase en los indicadores clave de rendimiento (KPI), para indicar en qué medida se están consiguiendo los objetivos empresariales. Para demostrar las reducciones de costos asociados a la mejora de la respuesta a incidentes, es posible que un panel necesite un KPI que muestre el tiempo medio hasta la detección y corrección, junto con el tiempo necesario para terminar el procedimiento estándar y/o las tareas implicadas.

Estudio de SANS sobre automatización e integración de 2019

Flujo de trabajo y conceptos relacionadosFlujo de trabajo: conjunto de elementos estructurados y predefinidos de actividades que generan un resultado deseado.

Elementos del flujo de trabajo: la documentación de un flujo de trabajo requiere como mínimo los elementos siguientes:

• Entradas: materiales y recursos necesarios para iniciar un proceso.

• Actores: personas o tecnologías responsables de al menos parte del trabajo (es necesario entender bien los papeles y responsabilidades que tienen tanto los seres humanos como las máquinas en un flujo de trabajo).

• Proceso: acción llevada a cabo (tenga en cuenta cada etapa del proceso —recopilación de elementos de entrada, aplicación de un conjunto específico de reglas o acciones para esa entrada, y generación de una salida [resultados]— que puede utilizarse como entrada en la siguiente etapa del proceso del flujo de trabajo).

• Salida y resultados: objetivo o resultados deseados de cada etapa del proceso.

Estrategia de documentación: para las partes interesadas, una representación gráfica constituye una herramienta valiosa que les ayuda a visualizar el proceso global, sus problemas y las áreas susceptibles de mejora. Además del método informal de diagrama dibujado a mano, existen otros formales, como las metodologías de modelización, por ejemplo, IDEF (Integration DEFinition) o UML (Unified Modeling Language), que captura los flujos de trabajo en función de reglas terminológicas y de estructuras estándar. Microsoft Visio es una herramienta de uso extendido, que admite tanto los métodos informales como los formales de captura gráfica de un flujo de trabajo.

15

Existe siempre un desfase entre las medidas que se utilizan realmente y las que siguen siendo necesarias, sobre todo a nivel de la dirección. Véase la Figura 12.

La recopilación de métricas sobre automatización es fundamental para determinar el impacto de su inversión, es decir, para conocer la eficacia real de la automatización, y saber si la tecnología funciona como estaba previsto y en qué medida la dirección está satisfecha con los resultados. Desarrollar una nueva estrategia que tenga en cuenta las métricas lleva tiempo. Elabore un plan y cíñase a él.

Empiece por establecer una referencia que defina la información que necesita para responder a las preguntas más importantes para su equipo y su dirección. Las preguntas más básicas siguen siendo las mismas, si bien siempre habrá imprevistos y otras dificultades que resolver:

• ¿Cuál es la media/mediana de tiempos de detección, respuesta y detección?

• ¿Cuánto tiempo está ahorrando gracias a la implementación del nuevo proceso? La automatización puede ser útil a este respecto gracias a una instrumentalización que captura de manera silenciosa las estadísticas mientras se realizan los procesos, ofreciendo una visibilidad en tiempo real de los obstáculos, así como de los cambios en la eficacia del flujo de trabajo general.

• ¿Qué tipos de incidentes necesitan más tiempo? ¿Necesita formación adicional, mejores herramientas o procesos mejorados?

• ¿Cuál es el impacto de la automatización en su equipo de seguridad? ¿Cuánto tiempo dedica su personal a las operaciones de seguridad especializadas por las que fueron contratados y cuánto a tareas rutinarias que deberían estar automatizadas?

Estudio de SANS sobre automatización e integración de 2019

Figura 12. Métricas para la automatización

¿Qué métricas se necesitan para conocer el estado de automatización? ¿Cuáles de las siguientes utiliza? Seleccione todas las opciones posibles.

0 % 20 % 40 % 80 %60 %

Número de incidentes por analista de seguridad

Tiempo necesario para ejecutar tareas estándar y personalizadas (media y mediana de tiempo para cada una de las fases de la respuesta a incidentes)

Número de endpoints afectados

Número de dispositivos conectados y configuración

Mediana de tiempo entre la detección y la contención

35 %22 %17,1 %

58,5 %11,4 %11,4 %

42,3 %19,5 %20,3 %

43,9 %17,1 %21,1 %

52,8 %16,3 %14,6 %

32,5 %26,8 %24,4 %

54,5 %19,5 %10,6 %

61,8 %17,1 %8,1 %

40,7 %23,6 %23,6 %

29,3 %31,7 %30,1 %

Media de tiempo entre la detección y la corrección

Número y tipos de incidentes tratados, cerrados y abiertos

Número de incidentes detectados

Número de usuarios afectados

Media de tiempo entre el ataque y la contención

Utilizadas Necesarias y utilizadas Necesarias

16

Recopile y analice los datos de sus mediciones durante un período lo suficientemente largo para poder determinar la rentabilidad asociada a cada una de ellas. No subestime el tiempo que exige el desarrollo de una métrica de rendimiento elocuente. Las métricas correctas son catalizadores que ayudan a mejorar la respuesta a incidentes, aumentar la eficacia de las operaciones o justificar la inversión en la automatización. Elimine las que no sean informativas, ajuste las que lo sean y añada otras que ayuden a obtener una visión completa de la situación.

Una vez codificados los procesos mediante la solución SOAR, asegúrese de que sus analistas los siguen supervisando, evaluando y mejorando, de manera que cada guía táctica conserve su máximo nivel de eficacia y rentabilidad. Las soluciones SOAR para someter sus guías tácticas a pruebas y simulaciones de alertas pueden contribuir a esta mejora continua.

ConclusiónAunque la automatización ha sido acogida como una iniciativa muy prometedora para el futuro, persiste la incertidumbre en cuanto a lo que será capaz de conseguir. Este estudio ha identificado algunos obstáculos que pueden contribuir a esta indefinición:

• Las empresas tienen que ser conscientes de la necesidad de realizar una inversión inicial en diseño —que incluya recursos humanos, procesos y tecnologías— para que a la larga, las operaciones respondan a las expectativas de los equipos operativos y de la dirección.

• La comunidad de la ciberseguridad debe conocer mejor los métodos y herramientas disponibles para el desarrollo de guías tácticas. Se trata de un dominio relativamente nuevo para la mayoría de los profesionales de seguridad. Tenga presente la necesidad de la mejora de los procesos, tanto al principio como de manera continua. Y recuerde invertir en los buenos: automatizar un proceso malo no corregirá nunca sus defectos, conseguirá un proceso más eficiente, pero seguirá siendo malo.

• Las normas de integración para la conexión de tecnologías diferentes y de herramientas independientes son fundamentales para conseguir un flujo de trabajo íntegramente. Las herramientas deben poder comunicarse entre sí más allá de las fronteras de sus interfaces. El sector de la seguridad debe establecer normas, formales o ad hoc, para ayudar a usuarios y proveedores a obtener el nivel de interoperabilidad que necesitan las empresas modernas, respetando las limitaciones conocidas.

• Las empresas deben desarrollar indicadores KPI y métricas de rendimiento específicamente orientadas a la evaluación del nivel de automatización.

La automatización es una combinación de los recursos humanos, los procesos y las tecnologías. Uno de los encuestados afirmó al respecto :

"Dudo que ni siquiera las grandes empresas comprendan las exigencias: personal, procesos y tecnología. Es una trinidad, y los tres elementos son indisociables. Sigue siendo habitual que se adquiera uno o dos de los elementos, dejando al tercero fuera de la lista del proyecto; [por ejemplo] se añade más tecnología sin reclutar más personal".

Estudio de SANS sobre automatización e integración de 2019

17

Acerca del autorBarbara Filkins es analista jefa del SANS Technology Institute. Acreditada con numerosas certificaciones de SANS, concretamente GSEC, GCIH, GCPM, GLEG, GICSP y CISSP, posee igualmente un máster en administración de la seguridad de la información del SANS Technology Institute. Ha realizado un importante trabajo en el área de adquisiciones de sistemas, selección de proveedores y negociaciones con los proveedores, como consultora de ingeniería de sistemas y diseño de infraestructuras. Barbara está interesada principalmente en los temas relacionados con la automatización (privacidad, robo de identidad y exposición al fraude), además de los aspectos legales de la implementación de la seguridad de la información en los entornos móviles y en la nube actuales. Se dirige particularmente al sector de la sanidad y servicios sociales, y su clientela va desde agencias federales a municipios y empresas comerciales.

Patrocinador

A SANS le gustaría dar las gracias al patrocinador de este estudio:

Estudio de SANS sobre automatización e integración de 2019