SIEM vs SOAR

La ciberseguridad es actualmente una de las mayores preocupaciones para las empresas, y estar al día de los sistemas de seguridad se hace necesario. Por ello en este post SIEM vs SOAR explicaremos cuáles son las ventajas e inconvenientes de cada uno de estos sistemas para conseguir proteger la seguridad informática de nuestra empresa.

¿Qué es un SIEM?

SIEM es la combinación de dos conceptos: SIM (Security Information Management) y SEM (Security Event Management). Se trata de una tecnología capaz de detectar rápidamente, responder y neutralizar cualquier amenaza informática. Uno de los SIEM más conocidos del mercado es IBM Qradar.

¿Cómo funciona?

En la estación central de SIEM los datos se almacenan creando un patrón y una relación entre la información. Así se van creando normas definidas de análisis. Pero, si el sistema SIEM, detecta un patrón de acceso anormal el usuario recibirá una notificación avisando de la vulnerabilidad o evento anómalo.

Ventajas de los sistemas SIEM

Podemos encontrar las siguientes:

  • Bloquea rápidamente las amenazas: así podemos actuar en tiempo real y evitamos que se filtren o roben los datos.
  • Cumplimiento de las normas de seguridad: toda empresa está obligada a cumplir ciertas normas así que gracias a la documentación y archivo automático de cualquier evento de vulneración, este punto se cumple sin problema.
  • Optimización de recursos humanos: gracias a la automatización de recursos en el campo de la ciberseguridad, el personal informático puede dedicar su tiempo a otras tareas.
  • Nos ayuda a buscar amenazas registradas, uno de los ataques más difíciles de detectar y que puede permanecer inactivo durante mucho tiempo.
  • Gracias al trabajo conjunto con el machine learning puede detectar patrones y amenazas desconocidas hasta el momento.

Puntos débiles

A pesar de todo, este sistema también muestra algunos problemas, como, por ejemplo:

  • El análisis de las causas de la brecha de seguridad puede llevar horas.
  • Si necesitamos supervisar los cambios recientes en soluciones SIEM es difícil saber quién ha cambiado qué, cuándo y dónde.
  • Algunos responsables de estas soluciones indican que cuenta con demasiados datos poco estructurados, por lo que ligarlo a sistemas de analítica avanzada se hace casi imprescindible.
  • Sus informes son difíciles de comprender por personas no cualificadas.

¿Cuándo se utiliza?

Cuando una empresa se quiere preparar con antelación para una posible amenaza informática o securizar sus sistemas, entonces necesita sistemas SIEM. Suelen ser más demandados por aquellas compañías que tratan datos sensibles de clientes (de salud, bancarios, personales, etc..) y que por este motivo pueden ser un objetivo claro para los ciberdelincuentes.

¿Qué es un SOAR?

SOAR o Security Orchestration, Automation and Response consiste en un conjunto de herramientas de automatización de procesos. Es importante saber que para que este sistema funcione correctamente debemos tener una serie de procesos debidamente establecidos, es decir una serie de tareas recurrentes para generar una automatización y de esta forma necesitar cada vez menos intervención humana.

Ventajas de estos sistemas

Seguro que ya puedes intuir algunas de ellas, pero repasémoslas más específicamente:

  • Automatización de tareas.
  • Aumento de la productividad: si en una empresa contamos con personal reducido y conseguimos automatizar, está claro que optimizaremos el tiempo de los empleados.
  • Trabajo del departamento SOC (Centro de Operaciones de Seguridad) más dinámico, centrado en la búsqueda de ciberamenzas.

Inconvenientes de estos sistemas

Pero claro, también nos encontraremos algunos obstáculos:

  • Los sistemas SOAR son demasiado caros.
  • Requieren de programación: muchos equipos SOAR requieren de programación en Python y muchas empresas no cuentan con profesionales con conocimientos de este lenguaje.
  • Los SOAR deben integrarse con herramientas de seguridad para poder emitir alertas y respuestas a las posibles amenazas. El problema es cuando los equipos encargados de este sistema observan que las integraciones que ofrecen los SOAR no son suficientes para las funciones de las que dependen y deben desarrollarlas.
  • Las API de las herramientas de seguridad son muy limitadas: si queremos integrar un sistema SOAR con herramientas de seguridad veremos que tenemos muchas limitaciones, lo que acaba haciendo que la automatización sea escasa finalmente.
  • Anteriormente decíamos que para que los SOAR funcionen correctamente los procesos deben estar bien definidos, pero a veces los especialistas SOC generan procesos muy personalizados, lo que resulta difícil de automatizar.
  • Construir la automatización lleva tiempo y en ocasiones ocurre que los equipos SOCs carecen de tiempo para ello.

SIEM vs SOAR

Como conclusión de SIEM vs SOAR hemos de decir que son dos herramientas totalmente compatibles. Los sistemas SIEM están diseñados para la detección y respuesta rápida ante incidentes y vulnerabilidades, mientras que los sistemas SOAR se focalizan en el filtrado de esos eventos, descartando falsos positivos y automatizando acciones de respuesta a los mismos, descargando así el volumen de trabajo de los especialistas del SOC. Estos sistemas colaborando conjuntamente son un tandem perfecto para la securización de cualquier empresa.

2021-02-24T17:32:12+02:0024 febrero, 2021|

¡Compártelo en tus redes sociales!

Ir a Arriba