Los equipos de seguridad quieren las capacidades de automatización. Y, en los últimos años, sus opciones han mejorado con Orquestación, Automatización y Respuesta de Seguridad (SOAR) y otras soluciones de seguridad como Gestión de Eventos e Información de Seguridad (SIEM), Gestión de Identidad y Acceso (IAM), Detección y Respuesta de Endpoint (EDR), Detección y respuesta extendidas (XDR) y Detección y respuesta en la nube (CDR) que ofrecen automatización de forma limitada.
Con todas estas opciones diferentes en juego, entender las similitudes y diferencias entre SOAR y DevSecOps es esencial si los equipos quieren alcanzar sus objetivos. Aunque hay elementos de automatización del flujo de trabajo en SOAR, lo que diferencia a DevSecOps de SOAR es la colaboración entre los equipos de desarrollo, seguridad y operaciones; la hiperdependencia del código abierto; la capacidad de ser proactivo y reactivo; y un enfoque ágil.
¿Qué es SOAR?
Gartner® define SOAR como “tecnologías que permiten a las organizaciones recopilar entradas supervisadas por el equipo de operaciones de seguridad”. Las herramientas SOAR ingieren datos de los sistemas SIEM para definir los procedimientos de análisis y respuesta a incidentes en un formato de flujo de trabajo digital.
¿Qué es DevSecOps?
DevSecOps es una metodología de proceso moderna en la que DevOps añadió una infraestructura ágil al desarrollo de software hace más de diez años y, recientemente, se añadió la seguridad al proceso DevOps. Los objetivos de DevSecOps son aumentar la velocidad de lanzamiento, eliminar los compartimentos entre los equipos, reducir la frecuencia y el impacto de los errores en los lanzamientos de producción, y mover la seguridad más a la izquierda en el proceso de entrega de software. DevSecOps va más allá del desarrollo de aplicaciones, ya que las organizaciones se modernizan cuando todo en TI se convierte en código, también conocido como TI como código.
Los objetivos de DevSecOps se consiguen de dos maneras. Una, un cambio cultural en el que los equipos trabajan juntos en una plataforma para crear y repetir en la creación de soluciones repetibles con productos y herramientas de múltiples proveedores, lo que puede llamarse una fábrica de software o DevSecOps. Dos, el uso de la integración continua y la entrega continua (CI/CD). CI/CD es una categoría de herramientas de software que integran y empujan el código con frecuencia para asegurarse de que las nuevas versiones de una aplicación funcionan. CI/CD permite probar y automatizar todos los aspectos del proceso, incluida la seguridad, antes de enviar el código a producción.
Por qué SOAR es diferente a DevSecOps
Uno podría confundir la mecánica de SOAR con la de DevSecOps porque los equipos de seguridad que utilizan una herramienta SOAR están, de una manera muy inteligente, adoptando el espíritu de DevSecOps, que es utilizar un enfoque de bajo código para automatizar su trabajo.
Pero aquí es donde empieza y termina la similitud. Las tres diferencias fundamentales, expuestas a continuación, son las que realmente diferencian a DevSecOps de SOAR.
- SOAR tiene un soporte limitado para el código abierto. Las herramientas SOAR rara vez se integran con herramientas de código abierto porque, por naturaleza, se integran principalmente con herramientas de terceros como Cisco, Exabeam, Okta o Splunk. La falta de integración con el código abierto es un gran impedimento para los equipos de DevOps que dependen en gran medida de herramientas de código abierto como Git, Ansible y Terraform para su trabajo. Este callejón sin salida aísla a los equipos de seguridad de la producción y desanima a los equipos de DevOps a colaborar.
- SOAR no adopta un enfoque ágil para ofrecer la automatización. Cuando los equipos de seguridad que utilizan herramientas SOAR hablan de automatización, lo hacen en el contexto de la ingesta de datos de SIEM, la gestión de esos datos y la automatización de los flujos de trabajo de respuesta a incidentes. Esto es diferente del uso de CI/CD, como en DevSecOps, que permite a los desarrolladores integrar su nuevo código fuente, probarlo, empujarlo y luego desplegarlo en producción con frecuencia.
- SOAR se creó como un producto puntual para los analistas de seguridad, no para la colaboración. SOAR es un caso de uso en DevSecOps que puede acomodar muchos casos de uso, incluyendo pero no limitado a SOAR, Compliance, Cloud Security, App Security, Network Automation, Infrastructure Automation y Integrations. El objetivo de DevSecOps es permitir que los equipos construyan soluciones como bloques de construcción y los vinculen a CI/CD, donde cada equipo puede conectarse a sus flujos de trabajo existentes con los productos y las herramientas que desean utilizar.
Especialmente para los equipos de seguridad y operaciones, CI/CD les permite repetir en un enfoque ágil con varios casos de uso, escanear la base de código o la aplicación en busca de vulnerabilidades de seguridad conocidas, o ejecutar la infraestructura y las aplicaciones contra los puntos de referencia de seguridad que mejoran la seguridad del producto y la postura de seguridad de toda la empresa.
Por lo tanto, DevSecOps adopta el código abierto, adopta un enfoque ágil de la automatización y permite la colaboración, mientras que SOAR no lo hace en todos los aspectos. Sin embargo, la opción del código abierto es en realidad ideal para los equipos de seguridad, a los que les gusta el apoyo y la responsabilidad que ofrece una gran comunidad. Del mismo modo, el acceso a CI/CD es beneficioso para los equipos de seguridad, que desde hace tiempo quieren cambiar a la izquierda. En otras palabras, hacen que Dev los introduzca desde el principio en el proceso de creación de pipelines de TI como código para que puedan solucionar los problemas antes de que el código llegue a producción.
Lograr la agilidad con CI/CD, un enfoque de DevSecOps
SOAR es exclusivamente una plataforma de seguridad, mientras que DevSecOps aborda de forma holística las necesidades de todos los equipos adoptando CI/CD, herramientas de código abierto y colaboración. Mientras que SOAR no puede sustituir a DevSecOps, DevSecOps resuelve los puntos débiles inherentes a SOAR y lo trata como un caso de uso al tiempo que ofrece una automatización de propósito general con la experiencia de usuario que eleva el papel y el trabajo de la seguridad.
Algunos equipos de seguridad y operaciones pueden ser reticentes a buscar una solución de DevSecOps porque tradicionalmente se confía mucho en que CI/CD es sólo para el desarrollo de aplicaciones, pero esto ya no es cierto. Sin embargo, hoy en día hay muchas opciones de plataformas de bajo código/sin código que permiten a una organización lograr DevSecOps. Lo ideal es que los equipos busquen una plataforma de DevSecOps que lo incluya todo; una que contenga una interfaz visual en la que puedan colaborar todos los niveles de usuarios, pero que también contenga un potente respaldo que apoye a los desarrolladores y a los requisitos de DevOps, como el apoyo a las herramientas existentes y al contenido de automatización en su forma nativa, por ejemplo, las configuraciones de Terraform, los playbooks de Ansible, los scripts, etc.
El panorama de las amenazas está en constante cambio. Dado que los equipos de seguridad y operaciones necesitan hacer más a pesar de la escasez de talento, la automatización debe ganar terreno para aliviar las presiones que se producen en su ámbito. Los equipos de seguridad se benefician en gran medida de las canalizaciones CI/CD, que no sólo replican y aceleran sus capacidades manuales, sino que también les permiten disponer de un tiempo precioso necesario para modernizar sus procesos de trabajo diarios que se adaptan a diversos casos de uso. Al adoptar el espíritu y las prácticas de DevSecOps, los equipos de seguridad y operaciones pueden ser ágiles con sus homólogos de Dev y DevOps a través de la colaboración mediante el uso de tecnología que atiende a todo el espectro de talento técnico en cada organización.