Molti degli avvisi di sicurezza basati sull’analisi dei dati si rivelano falsi allarmi, ma fanno comunque perdere tempo a chi li deve ogni volta verificare. È quindi fondamentale l’accesso a informazioni rilevanti, che indirizzino rapidamente gli analisti nella giusta direzione per individuare gli incidenti di sicurezza significativi e risolverli.
Gli strumenti di Incident Response Automation possono essere di grande aiuto per smistare grandi moli di dati e individuare, analizzare e classificare rapidamente i potenziali incidenti di cybersecurity nell’infrastruttura aziendale. Riducono le quantità di avvisi e aiutano i team di sicurezza, spesso a corto di personale, a minimizzare i tempi di risposta.
Cosa significa automatizzare la risposta agli incidenti?
L’automazione dell’incident response sfrutta il machine learning (ML) e l’intelligenza artificiale per:
- Analizzare e correlare automaticamente i dati provenienti da fonti diverse per identificare e gestire gli incidenti che minacciano la sicurezza informatica.
- Completare automaticamente attività standard e di routine per accelerare il processo di risposta agli incidenti e aumentare l’efficienza e l’efficacia dei team SecOps, come ad esempio l’eliminazione degli avvisi di falso positivo, l’apertura di ticket per gli incidenti e la loro assegnazione, la creazione di un canale di comunicazione per un determinato incidente e il monitoraggio delle metriche di performance della risposta.
La tecnologia di risposta automatica agli incidenti si sta affermando in modo significativo nei centri operativi di sicurezza aziendali (SOC). I dati stanno diventando sempre più difficili da gestire, man mano che le dimensioni e la complessità delle infrastrutture aumentano, fino a coinvolgere anche più LAN private, data center e cloud. Procedere in modo manuale per ogni avviso di sicurezza è oramai quasi impossibile e, in ogni caso, inefficiente e poco pratica. Anche individuare la causa principale di un problema di sicurezza o di prestazioni diventa sempre più difficile.
Gli strumenti di risposta automatica agli incidenti trovano e mostrano ai team SOC solo gli avvisi rilevanti e perseguibili, eliminando quelli correlati ad attività benigne. Questa tecnologia può anche utilizzare playbook automatizzati e basati su policy per risolvere incidenti comuni e a basso rischio e suggerire all’operatore le fasi successive per le minacce informatiche a più alto rischio.
L’automazione della risposta agli incidenti semplifica i passaggi necessari per rispondere alle seguenti domande:
- Si è verificato un incidente significativo?
- Qual è la causa principale?
- Perché si è verificato?
- Cosa si può fare?
Quali sono i vantaggi dalla Incident Response Automation?
Analizzando le grandi quantità di dati prodotti dai vari componenti della rete e del sistema di sicurezza, gli strumenti di automazione della risposta agli incidenti offrono i seguenti vantaggi:
- Riduzione della fatica da allerta. In genere il team SecOps riceve migliaia di avvisi di sicurezza al giorno. Senza l’automazione, gli analisti si trovano spesso a dover passare la maggior parte del loro tempo a indagare sui falsi positivi, rischiando che gli incidenti critici passino inosservati.
- L’automazione della risposta agli incidenti e il machine learning possono imparare a riconoscere e sopprimere automaticamente gli avvisi falsi positivi, riducendo in modo significativo il rumore.
- Triage degli avvisi. Dopo aver eliminato i falsi allarmi, gli strumenti analizzano, correlano e classificano gli altri in base alla criticità. Questo aiuta a semplificare il processo decisionale, segnalando gli incidenti più urgenti che necessitano un intervento umano immediato.
- Indagine e risposta automatica. Alcune tecnologie avanzate di risposta automatica agli incidenti vanno oltre al triage degli avvisi. Gli strumenti di orchestrazione, automazione e risposta alla sicurezza (SOAR) sono per esempio in grado di rispondere agli incidenti utilizzando playbook basati su policy. Se si sospetta che un sistema sia stato infettato da un ransomware, una piattaforma SOAR può infatti avviare in automatico delle azioni per isolarlo. Questi strumenti possono anche suggerire percorsi di risposta al team SecOps mentre lavorano per rimediare alle minacce informatiche. Man mano che le capacità di automazione della risposta agli incidenti guidate dall’intelligenza artificiale diventeranno più sofisticate, questi strumenti saranno sempre più efficaci nel riconoscere e rispondere a comportamenti atipici senza l’intervento immediato dell’uomo, anche per le minacce zero-day. L’AI potrebbe arrivare anche a scrivere le policy e i playbook che innescano le risposte automatiche.
- Ticketing e avvisi automatici. La tecnologia di risposta agli incidenti può aprire e gestire automaticamente i ticket, avvisando gli stakeholder interessati quando si verifica un incidente e aggiornandolo in tempo reale.
- Uso più efficace dell’intelligenza umana. Liberando gli analisti di sicurezza di molte attività di routine, manuali e ripetitive, l’automazione della risposta agli incidenti lascia loro più tempo per attività avanzate e di alto valore, come la risposta agli incidenti critici e la caccia proattiva alle minacce. Correlando automaticamente i dati degli eventi da più fonti, l’automazione riduce anche la quantità di indagini umane necessarie per identificare la causa principale di un incidente.
- Risposta e risoluzione più rapide. Riducendo il tempo medio di rilevamento (MTTD) di un incidente e raccogliendo, correlando e presentando informazioni contestuali da diverse fonti di dati velocemente e su scala, la tecnologia di risposta automatizzata agli incidenti consente agli analisti di condurre le indagini sugli avvisi ad alto rischio con la massima efficienza. Questo dovrebbe, a sua volta, portare a tempi medi di riparazione (MTTR) più brevi, riducendo il periodo di permanenza degli attaccanti e minimizzando i danni.
- Gestione automatica di casi e reporting. Tracciare manualmente le metriche di performance, come MTTD e MTTR, intrecciare i dati provenienti da più fonti in un unico documento e generare report sugli incidenti è noioso e richiede anche molto tempo. La tecnologia di automazione permette di raccogliere e presentare le informazioni di interesse quasi istantaneamente.
- Risparmio sui costi. La tecnologia di risposta automatica agli incidenti può favorire un risparmio sui costi, riducendo l’onere per i team di sicurezza cronicamente sovraccarichi di lavoro e con poco personale, migliorando la produttività e la fidelizzazione dei talenti. Una sicurezza efficiente permette di risparmiare il denaro che andrebbe perso in caso di incidenti gravi, come una violazione dei dati.
Fino a poco tempo fa, il vantaggio principale dell’automazione della risposta agli incidenti era quello di ridurre il rumore degli avvisi e di gestire le attività di base e ripetitive, in modo che i team operativi potessero dedicare il loro tempo a identificare e risolvere i problemi di sicurezza ad alta priorità. Le capacità di risoluzione automatica dei problemi di alcuni strumenti, come SOAR, stanno però migliorando. L’uso crescente e sempre più sofisticato dell’intelligenza artificiale generativa, inoltre, spinge a pensare che presto l’automazione della risposta agli incidenti diventerà più performante.
Come funziona l’automazione della risposta agli incidenti?
La tecnologia di risposta automatica funziona ingerendo, elaborando e analizzando enormi quantità di dati grezzi provenienti da diverse fonti. Queste variano a seconda del tipo di strumento, per esempio se si tratta di SIEM o SOAR, ma spesso includono:
- Software di rilevamento malware.
- Firewall.
- Registri delle applicazioni.
- Sistemi di rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni.
- Gestione dell’identità e degli accessi.
- Feed di intelligence sulle minacce esterne.
- Software di sicurezza degli endpoint.
- Altre fonti di terze parti.
Dopo aver analizzato i dati mediante ML e AI, la tecnologia di automazione della sicurezza mira a:
- Separare le segnalazioni significative dai falsi positivi.
- Dare priorità agli avvisi più significativi.
- Individuare l’origine del problema
- Seguire casi d’uso dell’automazione della risposta agli incidenti
È necessario poi implementare uno o più dei seguenti casi d’uso per migliorare la risposta agli incidenti attraverso l’automazione:
- Ricerche DNS (Domain Name System) automatizzate guidate dai registri proxy e DNS.
- Ricerche automatiche di indicatori di compromissione rilevati.
- Imaging forense automatizzato del disco e della memoria di un sistema sospetto, guidato dagli avvisi attivati nelle piattaforme e negli strumenti antimalware basati su rete e host.
- Controlli di accesso alla rete che bloccano automaticamente i canali di comando e controllo in uscita da un sistema sospetto.
L’automazione della risposta agli incidenti può anche aiutare nella raccolta di prove forensi, nella caccia alle minacce e persino nelle attività di quarantena o bonifica automatizzate sui sistemi sospetti.
Best practices di automazione della risposta agli incidenti
Il successo dell’automazione della risposta agli incidenti dipende in larga misura dalla capacità di convogliare i flussi di dati rilevanti in strumenti in grado di analizzarli e fornire approfondimenti significativi.
Per questo motivo, si deve identificare:
- Quali flussi di dati produce l’infrastruttura
- Quali flussi di dati supportano gli strumenti di risposta automatica agli incidenti esistenti.
- Eventuali flussi di dati non sfruttati che potrebbero essere aggiunti per fornire una visibilità migliore
In questo processo di raccolta delle informazioni, si può scoprire che alcuni produttori di hardware e software richiedono l’uso di strumenti proprietari per l’analisi della sicurezza e per l’automazione della risposta agli incidenti. In altri casi, i team possono utilizzare una telemetria basata su standard, che apre le porte a qualsiasi strumento di terze parti. La buona notizia è che molti produttori stanno lavorando per integrare un approccio basato sugli standard, quando richiesto dagli utenti.
In sintesi, le best practice per l’automazione della risposta agli incidenti sono le seguenti:
- Selezione dello strumento. Scegliere uno strumento in grado di ingerire e analizzare le forme specifiche di dati polled, sensoristici e telemetrici
- Sourcing dei dati. Scegliere le fonti di dati giuste e collegarle allo strumento di automazione.
- Regolazione manuale. È probabile che un’infrastruttura produca falsi positivi e rumore bianco non significativo per l’identificazione delle cause principali. Meglio procedere manualmente per eliminarli, laddove possibile
- Dopo l’implementazione, questi strumenti offrono numerosi modi per personalizzare la priorità degli avvisi di incidente, per esempio segnalando i membri del team operativo responsabili della risoluzione di un determinato tipo di incidente.