En el cuarto episodio de la serie de videoblogs de Palo Alto Networks "This Is How We Do It", Peter Havens de Cortex Product Marketing y Kyle Kennedy, ingeniero senior de seguridad, profundizan en cómo utilizamos la automatización y discuten el papel fundamental que ésta desempeña en nuestras operaciones de seguridad.
Kyle, quien dirige el programa de automatización dentro del equipo de ingeniería de Palo Alto Networks, recuerda los desafíos de la era previa a la automatización que atascaron a los analistas de SOC, incluida una avalancha de alertas de baja fidelidad que carecían de contexto. Esa ausencia de contexto en las alertas a menudo conducía a tareas manuales arduas y fatiga operacional, a lo que él se refiere como "trabajo aplastante y desmoralizador". Afortunadamente, la automatización se ha convertido en una solución muy bien recibida, que agiliza la resolución de incidentes y ofrece información personalizada: "Elaboraríamos meticulosamente estas alertas, pero carecían de un contexto crucial", afirma.
[Podría interesarle: Detección y respuesta efectiva de amenazas]
El foco de su conversación se centra en el valor transformador de la automatización, incluido el “por qué” y el “cómo” Palo Alto Networks utiliza la automatización. No se trata de reemplazar el intelecto humano, sino de mejorar las capacidades de los analistas y mejorar la calidad de los datos. "Tomamos medidas en función de los hallazgos relevantes. Incluso, si identificamos algo que no es directamente relevante para nuestra postura de seguridad, tomamos acciones", explica Kyle.
Al enriquecer los datos y ampliar los puntos de datos, la automatización permite a los analistas tomar decisiones rápidas e informadas que aceleran la resolución de incidentes y evitan tareas redundantes. Como afirma Peter: "Estamos tratando de reducir la monotonía y realmente hacer que el trabajo sea más atractivo y que apliquen sus habilidades a lo que realmente importa".
La discusión profundiza un poco más en el "trabajo aplastante y desmoralizador", un término familiar para los analistas que se enfrentan a investigaciones manuales y a una clasificación de alertas aparentemente interminable. La automatización, enfatiza Kyle, alivia esto al evitar tareas repetitivas de bajo nivel: "Incluso si no es un incidente de seguridad real, a menudo todavía descubrimos incumplimientos o configuraciones poco óptimas". Esta adaptabilidad resalta la destreza y la promesa de la automatización.
Kyle revela la mecánica de la implementación de la automatización y describe un proceso de automatización y notificación de errores: componentes interconectados que personifican el enfoque holístico de Palo Alto Networks, culminado y realizado en Cortex XSIAM, su plataforma de seguridad autónoma. El uso de los manuales de estrategias de XSIAM y Cortex XSOAR permite a Kyle y su equipo identificar y abordar de manera proactiva las brechas, aprovechando el poder de las capacidades de datos de XSIAM. Automatizar las alertas y la resolución de estas brechas salvaguarda el funcionamiento fluido del SOC, garantizando que los analistas solo trabajen en alertas que requieran intervención humana.
[Podría interesarle: BLOG: ¿Cómo responder de forma ágil y eficiente a incidentes de seguridad?]
Kyle señala que la transición de playbooks independientes a flujos de trabajo modularizados significa una transición de playbooks que aprovechan en gran medida el código, a un framework de automatización casi sin código. Mientras que los playbooks independientes realizaban tareas únicas de una manera muy específica, los playbooks modulares consolidan la lógica y el mantenimiento de las tareas principales en un solo punto. El objetivo es mejorar la claridad, agilizar el mantenimiento y fomentar la escalabilidad. La llegada de la modularización no sólo refuerza la eficiencia de la automatización, sino que también allana el camino para el crecimiento sostenible y la innovación continua.
Durante la entrevista, Peter le pregunta a Kyle "¿Qué es la automatización?", Kyle explica en profundidad:
Es algo muy difícil de responder, obviamente se trata de ocuparse de algo automáticamente, pero ese algo no habita en ningún lugar específico y eso es lo que hace que sea difícil responder. Muchas personas piensan en el proceso de alerta o el proceso de IR como una etapa de pasos muy lineal, ¿verdad?; la automatización juega un papel fundamental en ello, en múltiples formas... y luego, también estamos automatizando procesos dentro y alrededor del propio SOC, de modo que ciertos procedimientos se manejan detrás de escena y no necesitan ser manejados por nuestros analistas de SOC. La automatización puede estar relacionada con la gobernanza, la auditoría, las notificaciones y alertas acerca del estado del software o de la plataforma. Para nosotros, la automatización está al servicio de acelerar el tiempo para resolver diversas situaciones y aumentar la claridad y confianza que tenemos en las conclusiones a las que llegamos.
Al explorar la automatización en SecOps, la conversación de Peter y Kyle destaca las capacidades de Cortex XSIAM y XSOAR como soluciones de próxima generación para impulsar el SOC moderno.
Vea a continuación la entrevista completa:
¿Quiere descubrir cómo la automatización puede beneficiar su organización?
Déjenos sus datos a continuación y hablemos de cómo desde B-SECURE podemos apoyarle a potenciar la automatización de sus procesos de seguridad, con ayuda de las soluciones de Palo Alto Networks y los servicios avanzados de nuestro CSOC.
Tomado de: Multiplying Force with Automation — Reducing the Soul Crushing Work
