SOAR: Security Orchestration Automation and Response

Oggi esiste una vasta gamma di soluzioni di sicurezza informatica che è possibile utilizzare per proteggersi dalle minacce informatiche. Ma una tecnologia specifica è in forte espansione negli ultimi anni e ha attirato l’attenzione della comunità della sicurezza informatica – i sistemi SOAR.

Zero Trust SecuritySOAR è l’acronimo di Security Orchestration Automation and Response, coniato da Gartner nel 2017. Il termine descrive la fusione di tre mercati distinti e interconnessi. Ciò include l’orchestrazione e l’automazione della sicurezza (SAO – Security Orchestration and Automation), le piattaforme di intelligence delle minacce (TIP – Threat Intelligence Platform) e la piattaforma di risposta agli incidenti di sicurezza (SIRP – Security Incident Response Platform). In altre parole, SOAR si affida all’apprendimento automatico e all’automazione per fornire servizi di sicurezza informatica a differenza di qualsiasi altra soluzione sul mercato. Utilizza l’intelligenza per riconoscere e ricordare modelli di comportamento ripetibili e offre una piattaforma centralizzata e altamente integrativa che consente ai team di Sicurezza (SecOps – Security Operators) di gestire le operazioni da un unico luogo.

Inoltre, l’insieme unico di funzionalità che SOAR offre alle organizzazioni può essere spiegato nel seguente ordine:

  • Orchestrazione: quando si esegue il triage o si risponde a una minaccia avanzata, ai team di analisti e SecOps viene spesso richiesto di interagire con molte singole tecnologie, eseguire manualmente attività in ciascuna tecnologia e correlare le informazioni manualmente prima che possa essere presa una decisione informata. Attraverso l’orchestrazione di tecnologie, processi e persone, una piattaforma SOAR consente ai team di lavorare come entità unificata.
  • Misurazione: la misurazione delle informazioni di sicurezza è fondamentale per prendere decisioni informate sulla sicurezza tattica e strategica. I sistemi SOAR supportano diversi metodi per visualizzare e aggregare tutte le informazioni in modo efficace e facilmente comprensibile da una vasta gamma di fonti e presentandole tramite dashboard personalizzabili
  • Automazione: a differenza di altre soluzioni, come SIEM, che generano molti avvisi e incidenti che devono essere investigati manualmente dai SecOps, l’utilizzo dell’intelligenza artificiale aiuta a riconoscere minacce reali e minacce false che spesso possono essere noiose e dispendiose in termini di tempo. SOAR automatizza le forme più elementari di analisi delle minacce, eliminando così la necessità per i team SecOps di eseguire manualmente i controlli giornalieri. Inoltre, SOAR si integra facilmente con altri strumenti di sicurezza consentendo un mutuo scambio di informazioni.

 

Come per qualsiasi tecnologia, SOAR è nato dai problemi che le soluzioni esistenti non sono state in grado di affrontare e risolvere in modo efficiente:

Carico di lavoro aumentato

Compiti che richiedono tempo e sono ripetitivi

Flusso di lavoro manuale

 

E anche se SOAR e SIEM hanno alcuni componenti in comune, è molto importante sottolineare gli usi specifici di queste due soluzioni informatiche per capire quali sono i loro vantaggi:

  • SIEM: il termine SIEM è l’acronimo di Security Information and Event Management. SIEM raccoglie e archivia i dati di sicurezza su una piattaforma centralizzata da cui i SecOps possono convertire tali dati in informazioni fruibili. Ciò include tutti i tipi di dati come registri di rete, registri del firewall, hash dei file di download e registri antivirus. Una volta compilati i dati, gli analisti saranno in grado di valutare e analizzare correttamente i dati.
  • SOAR: un SIEM avvisa solo gli analisti di possibili minacce e, sebbene SOAR faccia esattamente la stessa cosa, automatizza anche le risposte e apprende comportamenti di modello al fine di anticipare minacce simili in futuro, rendendo così più semplice il processo di rilevazione e risoluzione delle minacce per SecOps e analisti.

Occorre però sottolineare che dotarsi di una piattaforma SOAR non rappresenta la soluzione definitiva di protezione da tutte le minacce e loro analisi piuttosto uno strumento che consente ai security analyst di guadagnare tempo rispetto ai task ripetitivi e di focalizzarsi sull’analisi, la mitigazione delle minacce più sofisticate, invece di perdere tempo nell’investigare falsi positivi. Quindi tali sistemi in definitiva permettono di eseguire numerosi processi e workflow senza richiedere l’intervento umano, tranne quando oggettivamente necessario.

In definitiva si tratta quindi di una tecnologia che non innova profondamente quello che è il panorama dei sistemi di sicurezza già in campo in molte aziende, ma li integra in una struttura/piattaforma unificata in modo da avere un controllo e un’automazione end-to-end, dalla rilevazione della minaccia fino alla decisione della remediation da attuare.