Robot Process Automation (RPA) al SOC

Abstract

Els equips de resposta a incidents han de fer front cada cop a més incidents de seguretat i una resposta automatitzada a aquests ha passat a ser una necessitat per a aconseguir que el temps de resposta sigui el més petit possible. L´automatització no és quelcom nou ja que s´ha automatitzat des de sempre via scripts aprofitant les APIs de les aplicacions. Les eines modernes d´automatització de fluxos i de RPA permeten que perfils no programadors puguin automatitzar tasques/processos de forma més o menys senzilla tant a partir d´APIs com aprofitant les interfícies d´usuari de les aplicacions. L´entorn de treball utilitzat ha estat la versió actualitzada de CSIRT-KIT que ofereix un conjunt complet d´eines, de codi obert i gratuïtes, per a monitoritzar la seguretat i gestionar-ne els incidents. Les eines que formen el kit estan pre-integrades entre elles i l´objectiu d´aquest treball ha estat explorar les eines d´automatització de codi obert i gratuïtes disponibles, provar les que millor s´adapten a les eines que composen l´entorn de treball i aconseguir implementar uns casos d´ús d´automatització que aportin valor a la operativa diària que realitzen els equips de resposta a incidents. Els resultats d´aquest treball mostren que és viable automatitzar aquesta operativa amb les eines proposades, tant de forma col·laborada amb els operadors humans com de forma autònoma per part dels robots software, i fer-ho de forma segura podent cobrir un horari 24x7.

Incident response teams must deal with more and more security incidents and an automated response to these incidents has become a necessity to keep response time as small as possible. Automation is nothing new because it has always been done via scripts using application APIs. Modern flow automation and RPA tools allow non-programmers to automate tasks and processes in a more or less simple way both from APIs and using Applications user interfaces. The working environment used has been the updated version of CSIRT-KIT, which offers a complete set of free and open-source tools for security monitoring, incident management and response. The tools that make up the kit are pre-integrated with each other and the objective of this work has been to explore the open source and free automation tools available, test those that best fit the tools that make up the working environment and implement automation use cases adding value to the daily operations performed by the incident response teams. The results of this work show that it is feasible to automate this operation with the proposed tools, both in collaboration with human operators and autonomously by software robots, and to do it in a safe way being able to cover a 24x7 schedule.

Los equipos de respuesta a incidentes tienen que hacer frente cada vez a más incidentes de seguridad y una respuesta automatizada a estos ha pasado a ser una necesidad para conseguir que el tiempo de respuesta sea lo más pequeño posible. Automatización no es algo nuevo ya que se ha automatizado desde siempre vía scripts aprovechando las APIs de las aplicaciones. Las herramientas modernas de automatización de flujos y de RPA permiten que perfiles no programadores puedan automatizar tareas / procesos de forma más o menos sencilla tanto a partir de API como aprovechando las interfaces de usuario de las aplicaciones. El entorno de trabajo utilizado ha sido la versión actualizada de CSIRT-KIT que ofrece un conjunto completo de herramientas, de código abierto y gratuitas, para monitorizar la seguridad y gestionar los incidentes. Las herramientas que forman el kit están pre-integradas entre ellas y el objetivo de este trabajo ha sido explorar las herramientas de automatización de código abierto y gratuitas disponibles, probar las que mejor se adaptan a las herramientas que componen el entorno de trabajo y conseguir implementar unos casos de uso de automatización que aporten valor a la operativa diaria que realizan los equipos de respuesta a incidentes. Los resultados de este trabajo muestran que es viable automatizar esta operativa con las herramientas propuestas, tanto de forma colaboradora con los operadores humanos como de forma autónoma por parte de los robots software, y hacerlo de forma segura pudiendo cubrir un horario 24x7 .