Los equipos de seguridad siempre han buscado capacidades de automatización, y en los últimos años, sus opciones han mejorado con la Orquestación, Automatización y Respuesta de Seguridad (SOAR) y otras tecnologías como la Gestión de Información y Eventos de Seguridad (SIEM), la Gestión de Identidad y Acceso (IAM), la Detección y Respuesta de Endpoint (EDR), la Detección y respuesta extendidas (XDR) y la Detección y respuesta en la nube (CDR) que ofrecen automatización en capacidades limitadas.
Con todas estas diferentes opciones en juego, comprender las similitudes y diferencias entre SOAR y DevSecOps es esencial para que los equipos logren sus objetivos. Aunque hay elementos de automatización de workflows en SOAR, lo que distingue a DevSecOps de SOAR es una experiencia de colaboración entre los equipos de desarrollo (Dev), seguridad (Sec) y operaciones (Ops); la confianza en el código abierto; la capacidad de ser proactivo y reactivo; y un enfoque ágil.
Qué SOAR?
Gartner® define a SOAR como “tecnologías que permiten a las organizaciones recolectar entradas monitoreadas por el equipo de operaciones de seguridad”. Las herramientas de SOAR incorporan datos de los SIEM para definir el análisis de incidentes y los procedimientos de respuesta en un formato de workflow digital.
Qué es DevSecOps?
DevSecOps es una metodología de procesos moderna; hace más de diez años DevOps agregó una infraestructura ágil al desarrollo de software, y recientemente, se agregó la seguridad al proceso DevOps. Los objetivos de DevSecOps son aumentar la velocidad de lanzamiento, eliminar los silos entre los equipos, reducir la frecuencia y el impacto de los errores (bugs) en los lanzamientos de producción y mover la seguridad más a la izquierda en el proceso de entrega de software. DevSecOps va más allá del desarrollo de aplicaciones, a la vez que las organizaciones se modernizan con todo en TI convirtiéndose en código, en un enfoque conocido como TI como código.
Los objetivos de DevSecOps se logran de dos maneras. Primero, un cambio cultural en el que los equipos trabajan juntos en una plataforma para crear e iterar en la creación de soluciones repetibles con productos y herramientas de múltiples proveedores, lo que puede denominarse fábrica de software o de DevSecOps. Segundo, el uso de integración continua y entrega continua (CI/CD). CI/CD es una categoría de herramientas de software que integran y entregan código con frecuencia para garantizar que las nuevas versiones de una aplicación funcionen. CI/CD permite que el código se desarrolle para probar y automatizar todos los aspectos del pipeline, incluida la seguridad, antes de que el código pase a producción.
Por qué SOAR es diferente a DevSecOps
Uno podría confundir la mecánica de SOAR con la de DevSecOps porque los equipos de seguridad que utilizan una herramienta de SOAR están, de una manera muy amplia, adoptando el espíritu de DevSecOps, que consiste en utilizar un enfoque de código a bajo nivel para automatizar su trabajo.
Pero aquí es donde comienzan y terminan las similitudes. Las tres características fundamentales, descritas a continuación, son las que realmente diferencian a DevSecOps de SOAR.
- SOAR tiene soporte limitado de código abierto. Las herramientas SOAR rara vez se integran con herramientas de código abierto porque, por naturaleza, se integran principalmente con herramientas de terceros como Cisco, Exabeam, Okta o Splunk. La falta de integración de código abierto es un gran impedimento para los equipos de DevOps que dependen en gran medida de herramientas como Git, Ansible y Terraform para su trabajo. Este callejón sin salida aísla a los equipos de seguridad de la producción y desalienta la colaboración de los equipos de DevOps.
- SOAR no toma un enfoque ágil para entregar automatización. Cuando los equipos de seguridad que utilizan herramientas de SOAR hablan de automatización, lo hacen en el contexto de la ingesta de datos del SIEM, la gestión de esos datos y la automatización de los flujos de trabajo de respuesta a incidentes. Esto es diferente al uso de CI/CD, como se hace en DevSecOps, que permite a los desarrolladores integrar su nuevo código fuente, probarlo, entregarlo y luego implementarlo en producción con frecuencia.
- SOAR fue desarrollado como un producto para analistas de seguridad, no para colaboración. SOAR es un caso de uso en DevSecOps que puede adaptarse a muchos casos de uso, incluidos, entre otros Cumplimiento, Seguridad en la nube, Seguridad de aplicaciones, Automatización de redes, Automatización de infraestructura e Integraciones. El objetivo con DevSecOps es permitir que los equipos construyan soluciones como bloques de construcción y vincular dicho bloques a CI/CD donde cada equipo puede conectar los flujos de trabajo existentes con los productos y herramientas que desean usar.
Especialmente para los equipos de seguridad y operaciones, CI/CD les permite iterar en un enfoque ágil con varios casos de uso, escanear la base de código o la aplicación en busca de vulnerabilidades de seguridad conocidas, o ejecutar infraestructura y aplicaciones contra marcos de referencia de seguridad que mejoran la seguridad del producto y la postura de seguridad de toda la empresa.
DevSecOps adopta el código abierto, usa un enfoque ágil para la automatización y permite la colaboración, mientras que SOAR no lo hace por completo. La opción de código abierto es ideal para los equipos de seguridad, para quienes les gusta la colaboración y la responsabilidad que brinda una gran comunidad. Del mismo modo, el acceso a CI/CD también es beneficioso para los equipos de seguridad, que durante mucho tiempo han querido “moverse a la izquierda”. En otras palabras, hacer que desarrollo (Dev) introduzca seguridad (Sec) temprano en el proceso de creación de pipelines de TI como código para que se puedan solucionar problemas antes de que el código llegue a producción.
Conseguir agilidad con CI/CD, un enfoque de DevSecOps
SOAR es exclusivamente una plataforma de seguridad, mientras que DevSecOps aborda de manera integral las necesidades de todos los equipos al adoptar CI/CD, herramientas de código abierto y colaboración. Si bien SOAR no puede reemplazar a DevSecOps, DevSecOps resuelve los puntos débiles inherentes a SOAR tratándolo como un caso de uso al mismo tiempo que ofrece automatización de propósito general con una experiencia del usuario que eleva el rol y el trabajo de seguridad.
Algunos equipos de seguridad y operaciones pueden ser reticentes a buscar una solución de DevSecOps porque CI/CD tradicionalmente parece estar enfocado solo para el desarrollo de aplicaciones, pero esto ya no es cierto. Actualmente hay muchas opciones de plataformas low-code/no-code que permiten a una organización alcanzar DevSecOps. Idealmente, los equipos deberían obtener una plataforma DevSecOps que sea integral; que contenga una interfaz visual en la que todos los niveles de usuarios pueden colaborar, pero que también contenga un respaldo potente que soporte los requisitos de los desarrolladores y DevOps. Ejemplo: Configuraciones de Terraform, playbooks de Ansible, scripts, etc.
El panorama de amenazas cambia constantemente. Dado que los equipos de seguridad y operaciones necesitan hacer más a pesar de la escasez de talento, la automatización debe ganar terreno para enfrentar los nuevos desafíos. Los equipos de seguridad se benefician enormemente de los pipelines de CI/CD, que no solo replican y aceleran sus capacidades manuales, sino que también ahorran el tiempo necesario para modernizar sus procesos de trabajo diarios que se asignan a varios casos de uso. Al adoptar el espíritu y las prácticas de DevSecOps, los equipos de seguridad y operaciones pueden volverse ágiles con sus contrapartes de Dev y DevOps a través de la colaboración, utilizando tecnología que soporte a todo el talento técnico en cada organización.