SECURITY ORCHESTRATION AUTOMATION AND RESPONSE

Gli attacchi informatici sono sempre più dinamici e sofisticati, al punto che le organizzazioni spesso adottano prodotti ad hoc per affrontare minacce specifiche. Questo le porta a creare infrastrutture multivendor difficili da controllare e con un’integrazione limitata tra i prodotti di sicurezza. Inoltre, può accadere anche che le tecnologie di difesa non vengano pienamente utilizzate a causa dei troppi passaggi necessari per attivarle. Tutti questi fattori possono portare a risposte frammentate, flussi di lavoro complessi, processi decentralizzati e a una complicazione della collaborazione tra team. La soluzione a tale situazione è rappresentata dalla Security Orchestration, Automation and Response (SOAR).

Cos’è il Security Orchestration, Automation and Response

Con l’acronimo SOAR si intende un insieme di programmi software compatibili che consente a un’organizzazione di raccogliere dati sulle minacce e di rispondere agli eventi di sicurezza in modo automatizzato. L’obiettivo dell’utilizzo di una piattaforma SOAR è, infatti, di migliorare l’efficienza delle operazioni di sicurezza.

Come si intuisce dal nome, le piattaforme SOAR sono composte da tre elementi principali:

  • Orchestrazione;
  • Automazione;
  • Risposta alla sicurezza.

L’orchestrazione della sicurezza connette diversi strumenti interni ed esterni tramite modalità integrate e Application Program Interface (API). I sistemi connessi possono includere scanner di vulnerabilità, prodotti per la protezione degli endpoint, analisi del comportamento degli utenti finali, firewall, rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni (IDS/IPS) e piattaforme di Security Information and Event Management (SIEM). A questi si possono aggiungere feed di intelligence sulle minacce esterne. Con tutti i dati raccolti da tali sistemi si hanno maggiori possibilità di rilevare le minacce all’interno di un contesto più approfondito e con una migliore collaborazione tra i team.

L’automazione della sicurezza, alimentata dai dati e dagli avvisi raccolti dall’orchestrazione, acquisisce tali dati, li analizza e crea processi ripetuti e automatizzati per sostituire i processi manuali. Le attività eseguite dagli analisti, come la scansione delle vulnerabilità, l’analisi dei log, il controllo dei ticket e le funzionalità di auditing, possono essere così standardizzate ed eseguite automaticamente dalle piattaforme SOAR. Grazie all’impiego dell’intelligenza artificiale e del machine learning per decifrare e adattare le informazioni degli analisti, l’automazione ottenuta con SOAR può formulare delle best practice e automatizzare le azioni future.

La risposta alla sicurezza offre agli analisti una visione unica di pianificazione, gestione, monitoraggio e reporting delle azioni eseguite una volta rilevata una minaccia. Questo include anche attività di risposta post-incidente, come la gestione dei casi, la segnalazione e la condivisione delle informazioni sulle minacce.

Come funziona il SOAR

I singoli componenti di SOAR lavorano insieme per alleggerire il carico sui team di sicurezza di un’organizzazione. Vediamo come.

OrchestrazioneUn sistema SOAR consente di unire gli sforzi dei team di sicurezza informatica e IT per affrontare l’ambiente di rete in modo unificato. Gli strumenti utilizzati da SOAR possono combinare dati interni e informazioni esterne sulle minacce. I team possono quindi utilizzare queste informazioni per accertare i problemi alla base di ogni situazione di sicurezza.

Automazione Le funzionalità di automazione distinguono SOAR dagli altri sistemi di sicurezza perché aiutano a eliminare i passaggi manuali, ripetitivi e time consuming. L’automazione della sicurezza può svolgere un’ampia gamma di attività, inclusa la gestione dell’accesso degli utenti e dei log delle query. Può essere utilizzata anche come strumento per l’orchestrazione. SOAR può anche automatizzare attività che normalmente richiederebbero più strumenti di sicurezza.

Risposta Sia l’orchestrazione che l’automazione forniscono le basi per le funzionalità di risposta di un sistema SOAR. In questo modo, un’organizzazione può gestire, pianificare e coordinare come reagire a una minaccia alla sicurezza. La funzione di automazione di SOAR elimina il rischio dell’errore umano, rendendo le risposte più accurate e riducendo il tempo necessario per risolvere i problemi di sicurezza.

Come si implementa, chi lo può usare

SOAR introduce nuove tecnologie e processi nello stack di sicurezza. Tuttavia, della sua gestione si occupa l’uomo. Quindi, come qualsiasi altra soluzione di sicurezza informatica, è tanto efficace quanto lo sono la pianificazione, l’esecuzione e la gestione del team che la gestisce. Perciò, per ottenere tutti i vantaggi che possono derivare da un’implementazione SOAR è necessario che il team di cyber security sia completamente allineato con le priorità e gli obiettivi dell’organizzazione. Le piattaforme SOAR devono essere configurate per operare all’interno di un prestabilito insieme di casi d’uso (playbook) e la definizione di tali casi richiede una conoscenza approfondita dell’ambiente operativo, dell’architettura tecnica e delle attività comuni. A partire dai CIO/CISO e procedendo verso il basso, tutto il dipartimento di sicurezza deve impegnarsi nei propri ruoli, assumendosi le responsabilità e favorendo la comunicazione. In un tale contesto, SOAR può mostrare tutto il suo potenziale e rivelarsi uno degli strumenti di sicurezza più potenti a disposizione dell’organizzazione.

I vantaggi del SOAR

Le piattaforme SOAR offrono diversi benefici per i team che si occupano delle operazioni di sicurezza (SecOps) in azienda. Tra questi:

  • Veloce rilevamento degli incidenti e tempi di reazione più rapidi;
  • Migliori analisi e informazioni aggiornate sulle minacce;
  • Gestione semplificata di più sistemi di sicurezza tramite un’unica interfaccia. Questo può migliorare anche la condivisione delle informazioni;
  • Elevata scalabilità ottenuta tramite un’efficace definizione delle priorità delle attività;
  • Semplificazione delle operazioni che permette di rispondere a più minacce nello stesso tempo all’interno dell’organizzazione;
  • Cost saving. L’automazione con strumenti SOAR può ridurre i costi rispetto all’esecuzione manuale delle stesse attività di analisi, rilevamento e risposta delle minacce.

 

NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.