Quando si parla di SOAR (Security Orchestration, Automation and Response), non si può prescindere dal confronto con le soluzioni SIEM (Security Information & Event Management). Gartner, per esempio, propone una definizione degli strumenti SOAR associandoli alle tecnologie SIEM: “Gli allarmi del sistema SIEM e di altre tecnologie di sicurezza (dove l’analisi degli incidenti e il triage possono essere eseguiti sfruttando una combinazione di potenza umana e meccanica) aiutano a definire, dare priorità e guidare attività standardizzate di risposta agli incidenti. Gli strumenti SOAR consentono a un’organizzazione di definire le procedure di analisi degli incidenti e di risposta in un formato di flusso di lavoro digitale”. SOAR e SIEM, perciò, più che essere in competizione, rappresentano sistemi complementari ai fini di una strategia efficace di gestione dell’IT security.
I 5 vantaggi delle soluzioni SOAR
Secondo un’indagine di Research and Markets, il mercato SOAR dovrebbe aumentare dagli attuali 868 milioni a 1.791 milioni di dollari entro il 2024, con un CAGR del 15,6% nell’arco del quinquennio 2019-2024. A trainare la crescita ci sono vari fattori tra cui l’incremento dei cyberattack, la carenza di personale, normative e requisiti di compliance sempre più rigorosi, la mancanza di una visione centralizzata delle minacce e l’elevato numero di falsi alert. Nell’elenco dei principali vendor SOAR considerati da Research and Markets figurano soltanto aziende statunitensi, con la sola eccezione dell’italiana DFLabs.
Ma quali sono le caratteristiche specifiche degli strumenti SOAR che ne decreteranno l’adozione crescente da parte dei professionisti della sicurezza informatica e dei team che operano nei SOC (Security Operation Center)? A livello generale, questa tipologia di software offre forti capacità di analisi e automazione, poiché utilizza una maggiore raccolta di dati in tempo reale per fornire risposte più rapide alle minacce. In tal senso, i prodotti SOAR differiscono dai SIEM per una minore dipendenza dai log tradizionali. Nel dettaglio, i vantaggi dei tool SOAR si possono suddividere nelle seguenti abilità:
- automazione e orchestrazione
- visione centralizzata delle minacce
- risparmio di tempo
- concatenazione dei playbook
- integrazione con le varie componenti dell’infrastruttura
Automazione e orchestrazione
Nell’ultimo report The State of SOAR curato da Demisto, che ha intervistato 552 esperti di sicurezza IT, il 61% del campione ha sottolineato fra l’altro l’importanza delle funzionalità legate a intelligenza artificiale e machine learning. Un’importanza che, grazie ad automazione e orchestrazione, si ricava per esempio dalla possibilità di rispondere a un evento di sicurezza senza la generazione di un ticket, seguito da un alert e dalla successiva risoluzione manuale affidata all’essere umano. È il software stesso che, oltre a rilevare il problema, si incarica di porvi rimedio e di archiviarlo, appunto, automaticamente.
Visione centralizzata delle minacce
Come accennato sopra, a proposito di una delle motivazioni che spingono verso la scelta di strumenti SOAR, la mancanza di una visione centralizzata delle minacce è una delle criticità a cui questi sistemi cercano di far fronte. Infatti, la stretta interdipendenza che oggi si riscontra nei vari livelli dell’infrastruttura aziendale, e quindi nei diversi workflow, fa sì che gli attacchi alla sicurezza coinvolgano team differenti (IT, NOC, DevOps ecc.) all’interno dell’organizzazione. Le soluzioni SOAR, in virtù della loro capacità di orchestrazione e automazione collegata ai flussi di lavoro, aiutano a definire la sequenza corretta degli step da compiere per affrontare e risolvere vulnerabilità e incidenti.
Risparmio di tempo
Nel report The State of SOAR emerge che la metà degli intervistati impiega anche 6 o più strumenti di sicurezza per rispondere agli incidenti. Il che corrisponde alla necessità di doversi spostare tra interfacce utente distinte, con una conseguente perdita di tempo e il rischio di far aumentare la percentuale di errore. I programmi SOAR, invece, ottimizzano l’organizzazione e la categorizzazione dei dati provenienti da una miriade di fonti. Inoltre, sono in grado di convogliare in un’unica dashboard i dati raccolti da una pluralità di sorgenti per svolgere così ulteriori ricerche e indagini dettagliate su casi che richiedono un approfondimento supplementare.
Concatenazione dei playbook
La creazione dei playbook permette di definire le azioni e le procedure che occorre attivare per rispondere a un determinato incidente. Il meccanismo di orchestrazione tipico del SOAR offre agli amministratori l’opportunità di concatenare più playbook per completare azioni e procedure complesse. Per esempio, un alert abbinato a un sistema di tracciamento può innescare l’isolamento del traffico di rete da un indirizzo IP sospetto in alcuni log. Contemporaneamente, il software SOAR può andare alla ricerca di feed per ottenere informazioni sulla sicurezza e controllare gli indirizzi IP di destinazione per verificare che non siano stati compromessi degli account.
Integrazione con le varie componenti dell’infrastruttura
I vantaggi elencati finora presuppongono una piena integrazione con tutti i sistemi aziendali. Tale integrazione avviene mediante connettori con cui gli strumenti SOAR sono abilitati a raccogliere le informazioni dalle varie componenti dell’infrastruttura per generare poi risposte automatiche in caso di incidenti. Probabilmente è l’aspetto più delicato, ma fondamentale, dei modelli SOAR, in quanto i connettori devono tener conto di firewall, sistemi endpoint, application log, router e, ovviamente, dei “cugini” SIEM.
