Orquestación y respuesta ante incidentes de ciberseguridad

Abstract

Las ciberamenazas están aumento cada año y es habitual que organizaciones y particulares suframos sus consecuencias. El impacto puede ser de diversa índole, afectando a servicios básicos de la población o vidas humanas en el peor escenario. Existen muchas tecnologías que tienen como objetivo mejorar la postura de seguridad de las organizaciones mitigando o erradicando el riesgo que estas suponen. La falta de experiencia, procedimientos y equipos técnicos limitados son un cuello de botella para su tratamiento. En los últimos años ha aparecido una nueva tecnología denominada SOAR, que pretende automatizar aquellas acciones, habitualmente realizadas por los equipos SOC, reduciendo los tiempos de respuesta ante incidentes. El objetivo del proyecto es generar una propuesta de valor que nos permita determinar si las herramientas SOAR son una solución. Para ello se ha realizado un trabajo de investigación que determina los diferentes tipos de amenazas registradas y las que suponen un mayor riesgo. Con el objetivo de automatizar su respuesta. Adicionalmente se ha realizado el diseño de unos flujos de prevención y remediación que han sido probados en un entorno de laboratorio. Los resultados obtenidos han sido satisfactorios en lo que refiere al uso de la tecnología mediante la ejecución de los casos de uso. En referencia al estudio realizado, la criticidad de los datos, la falta de un modelo de datos parar registrar incidentes que permita la analítica y solo trabajar con información agregada. No han ayudado a establecer un criterio que ayude a priorizar el tratamiento de las diferentes amenazas.

Cyber threats are increasing every year and it is common for organizations and individuals to experience their consequences. The impact can be of different types, affecting basic population services or human lives in the worst case. There are many technologies that aim to improve the security posture of organizations by mitigating or eradicating the risk from threats. Lack of experience, limited technical team and lack of procedures are a delay their treatment. In the last years, a new technology called SOAR has appeared, which aims to automate those actions, usually performed by SOC teams, reducing incident response times. The objective of the project is to generate a value proposition that will allow us to determine whether SOAR tools are a solution. To this purpose, an investigation work has been performed to determine the different types of threats registered and which ones represent a higher risk. With the objective of automating their response. Additionally, prevention and remediation flows have been designed and tested in a laboratory environment. The results obtained have been satisfactory in terms of the use of technology through the implementation of use cases. In relation to the study performed, the critical nature of the data, the absence of a data model to record incidents that would allow analytics and only work with aggregated information, have not helped to determine a criteria that would help to prioritize the management of the different threats. These did not help to establish a criteria to help to prioritize the management of the different threats.

Les ciberamenaçes estan augment cada any i és habitual que organitzacions i particulars sofrim les seves conseqüències. L'impacte pot ser de diversa índole, afectant serveis bàsics de la població o vides humanes en el pitjor escenari. Existeixen moltes tecnologies que tenen com a objectiu millorar la postura de seguretat de les organitzacions mitigant o erradicant el risc que aquestes suposen. La falta d'experiència, procediments i equips tècnics limitats són un coll d'ampolla per al seu tractament. En els últims anys ha aparegut una nova tecnologia denominada SOAR, que pretén automatitzar aquelles accions, habitualment realitzades pels equips SOC, reduint els temps de resposta davant incidents. L'objectiu del projecte és generar una proposta de valor que ens permeti determinar si les eines SOAR són una solució. Per a això s'ha realitzat un treball de recerca que determina els diferents tipus d'amenaces registrades i les que suposen un major risc. Amb l'objectiu d'automatitzar la seva resposta. Addicionalment s'ha realitzat el disseny d'uns fluxos de prevenció i remediació que han estat provats en un entorn de laboratori. Els resultats obtinguts han estat satisfactoris en el que refereix a l'ús de la tecnologia mitjançant l'execució dels casos d'ús. En referència a l'estudi realitzat, la criticitat de les dades, la falta d'un model de dades parar registrar incidents que permeti l'analítica i només treballar amb informació agregada. No han ajudat a establir un criteri que ajudi a prioritzar el tractament de les diferents amenaces.