I rischi informatici sono all’ordine del giorno per aziende e organizzazioni. Conflitti geopolitici, ransomware, furto di dati: le minacce digitali si moltiplicano ed è necessario alzare l’asticella delle difese di sicurezza.
Sono i numeri a dirlo. Basta leggere il rapporto Clusit sulla sicurezza ICT in Italia. Lo scorso anno si è registrato un incremento degli attacchi del 65% rispetto al 2019. A farla da padrona gli attacchi di tipo Distributed Denial of Service (36%) e malware (33%). Solo nel 2023 sono stati individuati 310 attacchi di tipo grave, che hanno colpito principalmente l’industria manifatturiera (13%) e la pubblica amministrazione (19%).
In questo scenario, le piattaforme SOAR sono uno dei sistemi nevralgici per la protezione dei sistemi delle organizzazioni da potenziali minacce esterne. Le piattaforme SOAR – acronimo di Security Orchestration, Automation and Response – si basano sulla gestione degli scenari e dei flussi di lavoro, l’automazione delle attività e la risposta alle minacce.
Nel corso degli ultimi anni, le piattaforme SOAR si sono affermate come importante strumento di Detection e Response. La loro evoluzione è continua e costante, esistono tuttavia aree migliorative dove gli algoritmi di intelligenza artificiale possono fare la differenza.
Gestione dei grandi dataset
Un primo ambito è rappresentato dai dati. In un panorama di sicurezza sempre più complesso e dove gli attacchi crescono ogni giorno, aumentano esponenzialmente i dati da analizzare. La gestione di grandi dataset comporta per i team di sicurezza potenziali rischi in termini di ritardo nella risposta alle minacce, sovraccarico di informazioni ed errore umano. Può quindi venire meno la capacità di ottenere informazioni utili in tempi rapidi.
Le piattaforme SOAR integrano al proprio interno sistemi di automazione dei flussi di lavoro della sicurezza. L’automazione è un vantaggio strategico, ma il fattore umano rimane comunque fondamentale, soprattutto quando è necessario prendere decisioni velocemente.
È poi importante ricordare che all’interno delle piattaforme SOAR confluiscono allarmi provenienti da diversi strumenti di sicurezza come software EDR (Endpoint Detection and Reponse), SIEM e NDR. L’integrazione di tool diversi – con metriche e funzionalità differenti – può essere sfidante in termini di tempo, costi e gestione dell’infrastruttura.
SOAR e intelligenza artificiale
L’ecosistema SOAR è interessato oggi da una crescente integrazione con soluzioni di intelligenza artificiale, che si traduce in un sensibile miglioramento dell’efficienza e dell’efficacia, ottimizzando così la risposta agli incidenti e mitigando le potenziali minacce.
Le principali tecnologie di IA utilizzate in ambito SOAR sono gli algoritmi di machine learning, il Natural Language Processing (NLP), la contestualizzazione “intelligente” e i sistemi di advanced analytics.
Grazie a queste tecnologie è possibile analizzare dati, avvisi e informazioni sulle minacce provenienti da fonti diverse ed estrarre informazioni utili. Si può per esempio comprendere in maniera rapida la natura e le caratteristiche di un incidente, il suo impatto potenziale e le azioni necessarie per affrontare l’allarme.
Un ulteriore aspetto da tenere in considerazione è la capacità dell’intelligenza artificiale di analizzare i dati storici. Attraverso la valutazione degli incidenti passati e delle contromisure adottate, gli algoritmi possono offrire raccomandazioni sulle migliori strategie di risposta. I dati relativi agli incidenti vengono dati in pasto all’intelligenza artificiale per identificare vulnerabilità, configurazioni errate o colli di bottiglia nei controlli di sicurezza.
Si parla in questo caso di data risk governance – vale a dire una strategia di controllo del rischio relativo ai dati – che permette ad aziende e organizzazioni di rafforzare la resilienza dei sistemi di sicurezza di fronte a potenziali minacce esterne. Un esempio in questa direzione lo offre Key Partner, una realtà italiana specializzata in digital transformation che integra al proprio interno una business unit dedicata alla cybersecurity. L’azienda opera secondo un modello di cyber resilience che supporta i clienti nella definizione di strategie di sicurezza basate sul rischio.
Come abbiamo visto nei paragrafi precedenti, le piattaforme SOAR integrano al proprio interno diversi strumenti di sicurezza caratterizzati da dati, formati e strutture differenti. L’aggregazione e interpretazione delle fonti può essere onerosa per i team di sicurezza in termini di tempo e costi e può comportare errori umani. L’IA elimina alla radice l’errore umano, automatizza e mappa gli attributi dei dati, li pulisce e li normalizza. Il risultato è una maggiore coerenza nella risposta agli incidenti.
