Automatización y orquestación en ciberseguridad 2v3949

Bienvenidos a TechFlow, el canal de vídeo podcast de Evolutio. Hoy tenemos con nosotros a Juan Carlos Agüero. Hola. Buenas Juan Carlos, ¿qué tal? Responsable del equipo de automatización y orquestación del SOC de Evolutio y vamos a hablar de un tema que está muy de moda, que es la automatización y orquestación dentro del ámbito de la ciberseguridad.

Así que lo primero antes de entrar en materia de preguntarte que nos digas exactamente qué diferencia hay entre automatización, orquestación y por qué es tan importante la orquestación dentro del ámbito de la ciberseguridad. La orquestación en el ámbito de la ciberseguridad hace referencia a la gestión íntegra de lo que sería una alerta de ciberseguridad que puede ser una amenaza o una incidencia.

Esta orquestación se realiza en todos los dominios que tendría esta incidencia. El dominio de gestión, dominio de análisis técnico, dominio de mitigación, dominio de remediación, etcétera, etcétera. Y esta orquestación se hace concatenando distintos elementos, distintas piezas que son esas automatizaciones de tareas que realizan enriquecimiento, contextualización, accediendo a base de datos, gestión de la incidencia mediante la mitigación o respuesta en los distintos elementos. Es decir, no hay una diferencia entre automatización y orquestación. Lo que pasa es que la automatización es un proceso unitario que realiza una tarea y la orquestación es la gestión global en 360 de toda esa gestión de esa alerta.

¿Qué beneficios nos trae la orquestación en toda esta fase que has comentado de la gestión de una amenaza de ciberseguridad? Hablas de detección, de análisis, de respuestas. ¿Qué beneficios nos trae la orquestación? Bueno, beneficios tenemos en la velocidad en la que tenemos respuesta ante estas amenazas. Somos más rápidos a la hora de analizar y categorizar si es un incidente o si esta amenaza está latente.

Además, tenemos beneficios a nivel del trabajo. Es decir, los analistas cometen errores. ¿Por qué? Por la fatiga de alertas. Es decir, están realizando tareas repetitivas que lo que hace es que puedan fallar al realizar esta tarea repetitiva. Los cambios en los procedimientos se asimilan de manera distinta en los distintos analistas. De hecho, algunos no actualizan esos procedimientos o no son capaces de seguir esas actualizaciones.

Mediante un orquestador, esas actualizaciones, una vez implementadas, ya toman, ya tienen, se realiza esa actualización y ya directamente empieza a trabajar de la nueva manera. Y estos son los beneficios que podemos tener en la automatización y orquestación. Muy claro, es decir, eliminamos muchas veces algunos gaps que tenemos por la naturaleza humana y que esto lo pasamos directamente a través de un nuevo analista, que es nuestro analista SOAR, que es capaz de realizar todas esas tareas.

¿Y qué desafíos y qué riesgos tenemos a la hora de implementar esta automatización y orquestación en el ámbito de la ciberseguridad? Bueno, el primer desafío es pasar todo ese trabajo manual que realiza un ser humano a tener que realizarlo a través de un automatismo. Es decir, al final, todas esas tareas que nosotros pensamos que son simples porque un humano tiene una capacidad de absorción y de interpretación, hay que bajarlos a nivel máquina.

Y ese es el primer reto que nosotros tenemos. ¿Riesgos? Pues bueno, los riesgos que tiene es que una persona es capaz de identificar distintos patrones que, si no están bien integrados dentro del procedimiento de orquestación, puede o dejar pasar la amenaza sin poner más atención en ella o incluso realizar tareas que nosotros no queremos que se realicen, ya sea un bug, una mala programación o un mal desarrollo.

¿Todos los procesos de la operación de ciberseguridad son igualmente beneficiados por esta orquestación o automatización o hay algunos procesos que están más beneficiados que otros? Vale, todos esos procesos que son deterministas son muy sencillos de automatizar y orquestar. Aquellos en los que ya hay unas tomas de decisiones más complejas o no son deterministas, son más difíciles. Además, dependiendo de las herramientas, también es más sencillo automatizar y orquestar que no. Ahora mismo, todas aquellas que en los datos están estructurados, son accesibles, ya...