Lo que Gartner ofrece, Gartner se lo puede quitar.
Hace siete años, los analistas de la firma de inteligencia empresarial acuñaron el término «orquestación, automatización y respuesta de seguridad» (SOAR) para describir lo que vieron como una nueva clase de productos: operaciones de seguridad integradas que no sólo podían detectar amenazas y problemas, sino también También utilice manuales para aumentar los esfuerzos de respuesta a incidentes y, en última instancia, automatizar completamente la respuesta.
Por tanto, no sorprende que Gartner describiera esta tecnología hace dos meses como “obsoleto antes de la meseta“—lo que significa que la categoría se estancó antes de convertirse en una herramienta de TI bien establecida—ha creado un desastre. Los clientes inundaron la empresa con preguntas sobre lo que implicaba la designación. Los proveedores de la industria de la automatización de la seguridad han sido más directos.
Cualquier sugerencia de que SOAR está muerto es «la cosa más estúpida que he oído jamás: absolutamente absurda», dice James Brear, director ejecutivo de Swimlane, un proveedor de automatización de operaciones de seguridad. “Si simplemente quitas el [term] SOAR y agregué la palabra automatización, [then the assertion] Esto parece ridículo. Es un poco como decir que la IA desaparecerá.
SOAR no es la primera tecnología que recibe el temido “Ciclo de exageración«designación. En 2022, Las mallas de datos se han vuelto obsoletas. antes de llegar a la meseta (más formalmente, la “meseta de productividad”). En 2020, Gartner colocó esta etiqueta en Planificar los requisitos de materiales en función de la demanda.un enfoque de gestión de la cadena de suministro. Lo mismo para banda ancha a través de líneas eléctricas en 2010.
«Esta obsolescencia prematura suele ser el resultado de la aparición de tecnologías competidoras; por ejemplo, la televisión analógica de alta definición ha dado paso a la televisión digital de alta definición», dijo Gartner en una explicación de su modelo Hype Cycle.
En el último caso, la razón para etiquetar a SOAR como obsoleto es que los componentes de la categoría de producto han sido absorbidos por otros productos y servicios, mientras que la automatización se espera cada vez más, explica Eric Ahlm, analista senior de Gartner. Los centros de operaciones de seguridad (SOC) necesitan orquestación como una característica independiente para integrar productos dispares en un único centro de operaciones, dice el analista, y a medida que los clientes empresariales buscaron operaciones simplificadas, los proveedores han integrado aún más sus servicios para consolidar SOAR con otros productos y servicios.
Una serie de fusiones y adquisiciones ilustran esta tendencia. Redes de Palo Alto compró Demisto en 2019 Y adquirió QRadar de IBM a principios de este año. rápido7 compró la empresa SOAR Komand en 2017, y SumoLogic adquirió DFLabs en 2021.
«Hay muchas maneras de automatizar, mejorar la eficiencia o aumentar la escala a través de la automatización, sin tener que comprar una plataforma SOAR independiente y dedicada», dice Ahlm. “Eso es realmente lo que estamos pidiendo, no el fin de la automatización o un concepto sin salida, sino el reino de los proveedores que sólo venden plataformas dedicadas a la automatización, no creo… que sea un futuro muy prometedor. »
Investigación: un centro de seguridad simplificado
La mayoría de las empresas quieren un centro único para toda su información de seguridad, desde el cual puedan gestionar incidentes, realizar investigaciones y responder a amenazas. Originalmente, SOAR estaba destinado a ser este centro central, pero una fuerte integración entre productos, una mejor automatización y un enfoque en la visibilidad significan que otros productos ahora pueden desempeñar esta función.
En otras palabras, SOAR no necesita ser el centro neurálgico. La elección de la plataforma de operaciones de seguridad depende cada vez más de dónde comienza la empresa y qué plataforma central considera más rentable, afirma Ahlm. Las plataformas de detección y respuesta extendidas (XDR) y gestión de eventos e información de seguridad (SIEM), por ejemplo, están cada vez más en el centro de la seguridad empresarial.
Las capacidades SOAR (integración, visibilidad y respuesta automatizada) han migrado a una variedad de productos de seguridad, dice Chas Clawson, director técnico de campo de Sumo Logic, un proveedor de plataformas de operaciones de seguridad automatizadas.
«Esto demuestra la madurez del mundo de las operaciones de seguridad, cuando algo tan crítico como la automatización se convierte en una especie de problema, y cada solución debe tener algún tipo de automatización», afirma. “Probablemente ya era hora [because of the] dolor… en el lado del defensor: agotamiento del analista y síndrome de la silla giratoria… [from which] “Realmente necesitamos un pequeño descanso. »
Sumo Logic tiene su propio producto SOAR, Cloud SOAR, que se centra en integrar flujos de datos de diferentes dispositivos de TI, productos de seguridad y servicios en la nube, así como en automatizar operaciones de seguridad.
Todavía hay fuertes argumentos a favor de un mejor SOAR
Palo Alto Networks, otra empresa detrás de SOAR, ha estado duplicando su apuesta por la automatización de la seguridad. El centro de operaciones de seguridad de la compañía procesa 36 mil millones de eventos por día, un volumen de más de 75 terabytes, con sólo 10 analistas humanos. En su caso de uso, la compañía afirma que su Cortex XSOAR automatiza el trabajo de 16 analistas y reduce el tiempo dedicado a acciones manuales en un 90%.
«Al estandarizar y automatizar tareas manuales que consumen mucho tiempo, las soluciones SOAR reducen significativamente el tiempo dedicado a la respuesta a incidentes», dijo Gonen Fink, vicepresidente senior de productos Cortex y Prisma Cloud en Palo Alto Networks. “Si bien muchos productos de seguridad independientes seguirán incorporando cierto nivel de automatización, las soluciones SOAR brindan capacidades más sólidas, orquestando y automatizando diversas acciones en toda la pila tecnológica de una organización. »
Swimlane también se ha centrado en la automatización de tareas de seguridad y respuesta a incidentes, normalmente para grandes empresas como Fortune 2000. Fundada en 2014, tres años antes de que Gartner acuñara el término moderno SOAR, el enfoque del negocio implica recopilar datos de todos los dispositivos informáticos e inteligencia sobre productos de seguridad y luego automatizar la respuesta a cualquier incidente identificado, dice Brear de Swimlane.
«La génesis [of the company was]“¿Cómo podemos mejorar el SOC? “, dijo. “Si retrocedes en el tiempo, había mil millones de herramientas diferentes que los chicos de SOC estaban analizando; es complicado tratar de obtener visibilidad. »
Por estas razones, una plataforma SOAR independiente es un enfoque de seguridad necesario y razonable para muchas empresas, y está lejos de ser obsoleto, pero los clientes seguirán necesitando mejores integraciones con tecnologías convencionales, como Microsoft y plataformas administradas de detección y respuesta (MDR). según la firma de analistas Omdia.
«Los usuarios de tecnologías de seguridad quieren soluciones que sean fáciles de usar, que requieran una formación mínima y que puedan integrarse fácilmente», explica Elvia Finalle, analista senior de Omdia. “Los proveedores de SOAR deberán seguir adaptando las plataformas y ampliar su compatibilidad con otros proveedores y soluciones. »
IA + automatización = evolución de la seguridad
Si bien el caso de uso principal de SOAR sigue siendo sólido, la combinación de inteligencia artificial, automatización y la gran cantidad de productos de ciberseguridad actuales dará como resultado una plataforma que podría quitarle participación de mercado a los sistemas SOAR, como un SIEM de próxima generación impulsado por IA, dice Eric Parizo. analista principal gerente de Omdia.
“Los tomadores de decisiones del SOC están [not] Buscan comprar orquestación y automatización mientras buscan resolver el problema de conducir un TDIR más rápido y eficiente. [threat detection, investigation, and response] “Las capacidades de orquestación y automatización de las soluciones SOAR autónomas tienen como objetivo facilitar estos objetivos comerciales. »
La inteligencia artificial y el aprendizaje automático seguirán impulsando la automatización, según Clawson de Sumo Logic. Aunque la creación de agentes de seguridad de IA que procesen datos y respondan automáticamente a las amenazas aún está en su infancia, la industria se está moviendo claramente en esta dirección, especialmente a medida que cada vez más infraestructura utiliza un «código as», como la infraestructura como código. él dice.
El resultado podría ser un enfoque que reduzca la necesidad de SOAR.
“Cuando tienes esta tecnología Copilot, has escuchado el término ‘agentificación’. [where] «Tienes este agente a tu disposición que puede hacer lo que quieras; eso diluye el valor de SOAR», dice Clawson. “Debido a que la IA puede ser un codificador y desarrollador experto, y tiene acceso a todas las API y documentación, casi puedes comenzar a interactuar con los sistemas de una manera más humana. »
