SOAR: gli strumenti che aiutano a colmare le lacune alla sicurezza

pittogramma Zerouno

Technology HowTo

SOAR: gli strumenti che aiutano a colmare le lacune alla sicurezza

Security Orchestration, Automation and Response, ovvero SOAR. Utilizzare strumenti automatici dedicati aiuta i responsabili della sicurezza a velocizzare raccolta dati e analisi, supportando al meglio il triage. Ma con i dovuti approcci, avvertono gli esperti

06 Feb 2019

di Laura Zanotti - Fonte TechTarget

SOAR è l’acronimo di Security Orchestration, Automation and Response e rappresenta un approccio al controllo e alla protezione dei sistemi aziendali che sta dimostrandosi un ottimo supporto per i team preposti alla salvaguardia del patrimonio informativo aziendale.

La definizione di SOAR esplicitata da Gartner è la seguente: “Le tecnologie SOAR sono quelle che consentono alle organizzazioni di raccogliere dati e segnalazioni relative alle minacce alla sicurezza attingendo da diverse fonti. L’analisi degli incidenti e il triage possono essere eseguiti utilizzando una combinazione di risorse umane e meccaniche che aiutano a definire, prioritizzare e guidare le attività di risposta agli incidenti secondo un flusso di lavoro standard”.

Gli strumenti SOAR, dunque, risultano indispensabili sia nella fase preliminare di analisi, sia nella fase interpretativa e reattiva. Nella fase di triage, infatti, le SOAR aiutano a discernere la gravità del problema e a effettuare una iniziale classificazione, in base alla quale viene stabilito un criterio di priorità che termina con l’assegnazione dell’incidente a una persona o a un team che viene giudicato il più idoneo a intervenire.

SOAR: le previsioni degli analisti sono di crescita

Secondo Gartner, per le aziende con cinque o più professionisti della sicurezza, il tasso di adozione di soluzioni SOAR passerà dall’1% al 15% da qui ai prossimi due anni.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Secondo gli analisti di Enterprise Strategy Group (ESG), i tassi di adozione degli strumenti SOAR saranno ancora più elevati. In un sondaggio condotto lo scorso anno, i ricercatori hanno rilevato che il 19% delle imprese intervistate dichiara di aver esteso l’automazione delle operazioni e la tecnologia di orchestrazione associate alle SOAR in modo estensivo, mentre il 39% degli intervistati ha dichiarato di implementare comunque la tecnologia anche se su una base limitata.

Sicurezza e rumori di fondo

Le carenze sul fronte della protezione informatica spingono diversi esperti di sicurezza a considerare gli strumenti SOAR come una soluzione valida, capace di aiutare i team di sicurezza a semplificare e migliorare la gestione dei processi quotidiani.

I professionisti della sicurezza, infatti, ogni giorno devono stare al passo con una panoramica di minacce sempre più dinamiche. Il tutto continuando a gestire il sovraccarico di allarmi innescati dai vari strumenti a supporto della sicurezza utilizzati. Secondo un sondaggio condotto da RSA nel 2018, la maggior parte delle aziende riceve più di 10mila segnalazioni ogni giorno. Per i team di sicurezza rivedere tutti questi avvisi è praticamente impossibile, da cui la necessità di eseguire il rilevamento in più fasi attraverso gli strumenti SOAR.

“Abbiamo bisogno di tempi di reazione più rapidi – ha commentato Augusto Barros, analista di Gartner -. Dal momento che gli incidenti possono causare molti danni in pochi minuti, nessuno si può permettere il lusso di fare indagini che richiedono ore o giorni. È necessario migliorare il tempo di risposta. Gli strumenti SOAR, lavorando su una scala di automazione, velocizzano la fase di triage, abilitando un rilevamento multilivello capace di accorciare sensibilmente i tempi di risposta”.

Come e perché automatizzare certe attività di sicurezza

Il merito delle SOAR è proprio quello di far risparmiare tempo, applicando processi automatici su routine ripetitive e approcci manuali. L’automazione delle attività di sicurezza, infatti, è un enorme valore aggiunto per i team preposti; si pensi, per esempio, al caso dello sviluppo di uno script personalizzato che può consentire ai professionisti SEC di raccogliere informazioni di routine da condividere con l’analista che, a sua volta, nel caso di un particolare avviso può comprendere più rapidamente il problema e, di conseguenza, arrivare prima alla sua risoluzione.

Come utilizzare gli strumenti SOAR

I responsabili della sicurezza che intendono utilizzare gli strumenti SOAR, devono prima effettuare una valutazione delle competenze e delle tecnologie esistenti in modo da capire meglio quali sono le sfide principali che i vari team devono affrontare.

Gli esperti consigliano di lavorare con molta attenzione a questa fase preliminare. È necessario arricchire i dati al fine di prendere decisioni migliori, mappare i processi e, tra questi, identificare e scegliere quelli che possono essere automatizzati. Di seguito qualche esempio:

SOAR a supporto del phishing

Implementare strumenti SOAR per esaminare le e-mail di phishing, ad esempio, può aiutare a rispondere a queste e-mail più velocemente. Per interpretare questo tipo di e-mail, infatti, è necessaria una certa capacità di risposta a determinati tipi di azioni o richieste in una casella di posta SOC. Applicare un livello di automazione a questo processo permette di raccogliere le informazioni, correlarle e presentarle all’analista in modo più funzionale e immediato.

Soar a supporto dell’Identity and Access Management

Lo IAM è un’altra area matura per l’automazione.

L’Identity and Access Management, infatti, offre alle organizzazioni la capacità di identificare, autenticare e in definitiva autorizzare un utente ad accedere a determinate risorse. Per chi si occupa di sicurezza, controllare l’accesso e assicurarsi che gli utenti non accumulino ruoli nel tempo è fondamentale.

Il fatto è che, anche nelle aziende più grandi e sofisticate, coesistono diversi script molto bizantini che richiedono spesso un elevato numero di elaborazioni e di operazioni manuali. A detta degli esperti, molte di queste applicazioni vengono gestite male e presentano grandi limiti a livello sia di sicurezza sia di funzionalità. Quello che accade con più frequenza è che il software è stato acquistato, ma non è stato implementato nel modo più corretto e più ampio possibile. Gli osservatori rilevano come, spesso, sia scarsamente integrato con il resto dell’azienda e altre applicazioni di sicurezza.

Prima di selezionare e implementare il software per l’automazione IAM, invece, è importante considerare:

  • le regole aziendali dell’organizzazione
  • le comunità utenti effettive
  • i casi d’uso per l’autenticazione e l’autorizzazione non
  • i requisiti dei vari sistemi aziendali

Il piano migliore? Iniziare con le applicazioni meno dirompenti per l’azienda. Non è necessario raccogliere tutto in una volta. L’importante è lavorare su un piano di implementazione graduale e mirato, tale da non compromettere la business continuity e che, fin dall’inizio, mostri la bontà della sua applicazione.

Implementazione di SOAR: quali sono le sfide?

Gartner ha evidenziato quali sono i maggiori ostacoli all’implementazione di SOAR: i processi e l’integrazione degli strumenti.

Il SOAR è essenzialmente uno strumento di automazione dei processi: senza processi in atto, non c’è nulla da automatizzare.

“Molte organizzazioni con operazioni di sicurezza ad hoc e senza processi consolidati – ha commentato Barros – ritengono di poter evitare di risolvere tali problemi acquistando strumenti SOAR. Risolvere questi problemi è un prerequisito del SOAR utile, ma se non sai come reagisci agli incidenti, non sai quali sono i playbook che devi creare sullo strumento o come appariranno. In sintesi: i contenuti pronti all’uso possono suggerire delle idee, ma non è qualcosa che si può usare da subito”.

Il secondo problema è collegare gli strumenti e i servizi aziendali al SOAR. La parte di orchestrazione del SOAR, infatti, implica un importante lavoro di analisi e di integrazione per consentire al SOAR di interfacciarsi e parlare con diverse tecnologie e una pluralità di servizi. È vero che le API dovrebbero semplificare l’integrazione, ma gli esperti sottolineano che ci sono diverse sfide aperte.

“Alcune integrazioni predefinite potrebbero non fornire le funzionalità che si desidera utilizzare – ha aggiunto Barros -. Anche le API cambiano continuamente e così può capitare che le integrazioni fornite dal fornitore SOAR smettano di funzionare dopo l’aggiornamento di uno strumento”.

Le organizzazioni che vogliono ottenere i migliori risultati utilizzando un SOAR devono essere consapevoli di queste sfide, predisponendo un team di risorse con le giuste competenze per sviluppare e mantenere questo tipo di sistema, presidiando tutte le integrazioni.

Certo è che, dal punto di vista di un’analista, i flussi di lavoro derivati ​​dai SOAR possono risultare restrittivi, lasciando poco spazio al pensiero creativo. Un caso per tutti: nel momento i cui l’analista sta valutando il punteggio dell’APT o un comportamento anomalo, lavorare su flussi di lavoro predefiniti può limitare le vision e quindi la portata dell’analisi. Quindi, come per qualsiasi tecnologia, anche nell’uso di SOAR non bisogna “sedersi” e gestire in modo passivo quanto viene elaborato da una soluzione, ma continuare a ragionare mettendoci esperienza, competenza e professionalità.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

A
Automazione
I
Iam
Technology HowTo

Articolo 1 di 4