SOAR è l’acronimo di Security Orchestration, Automation and Response e rappresenta un approccio al controllo e alla protezione dei sistemi aziendali che sta dimostrandosi un ottimo supporto per i team preposti alla salvaguardia del patrimonio informativo aziendale.
La definizione di SOAR esplicitata da Gartner è la seguente: “Le tecnologie SOAR sono quelle che consentono alle organizzazioni di raccogliere dati e segnalazioni relative alle minacce alla sicurezza attingendo da diverse fonti. L’analisi degli incidenti e il triage possono essere eseguiti utilizzando una combinazione di risorse umane e meccaniche che aiutano a definire, prioritizzare e guidare le attività di risposta agli incidenti secondo un flusso di lavoro standard”.
Gli strumenti SOAR, dunque, risultano indispensabili sia nella fase preliminare di analisi, sia nella fase interpretativa e reattiva. Nella fase di triage, infatti, le SOAR aiutano a discernere la gravità del problema e a effettuare una iniziale classificazione, in base alla quale viene stabilito un criterio di priorità che termina con l’assegnazione dell’incidente a una persona o a un team che viene giudicato il più idoneo a intervenire.
SOAR: le previsioni degli analisti sono di crescita
Secondo Gartner, per le aziende con cinque o più professionisti della sicurezza, il tasso di adozione di soluzioni SOAR passerà dall’1% al 15% da qui ai prossimi due anni.
Secondo gli analisti di Enterprise Strategy Group (ESG), i tassi di adozione degli strumenti SOAR saranno ancora più elevati. In un sondaggio condotto lo scorso anno, i ricercatori hanno rilevato che il 19% delle imprese intervistate dichiara di aver esteso l’automazione delle operazioni e la tecnologia di orchestrazione associate alle SOAR in modo estensivo, mentre il 39% degli intervistati ha dichiarato di implementare comunque la tecnologia anche se su una base limitata.
Sicurezza e rumori di fondo
Le carenze sul fronte della protezione informatica spingono diversi esperti di sicurezza a considerare gli strumenti SOAR come una soluzione valida, capace di aiutare i team di sicurezza a semplificare e migliorare la gestione dei processi quotidiani.
I professionisti della sicurezza, infatti, ogni giorno devono stare al passo con una panoramica di minacce sempre più dinamiche. Il tutto continuando a gestire il sovraccarico di allarmi innescati dai vari strumenti a supporto della sicurezza utilizzati. Secondo un sondaggio condotto da RSA nel 2018, la maggior parte delle aziende riceve più di 10mila segnalazioni ogni giorno. Per i team di sicurezza rivedere tutti questi avvisi è praticamente impossibile, da cui la necessità di eseguire il rilevamento in più fasi attraverso gli strumenti SOAR.
“Abbiamo bisogno di tempi di reazione più rapidi – ha commentato Augusto Barros, analista di Gartner -. Dal momento che gli incidenti possono causare molti danni in pochi minuti, nessuno si può permettere il lusso di fare indagini che richiedono ore o giorni. È necessario migliorare il tempo di risposta. Gli strumenti SOAR, lavorando su una scala di automazione, velocizzano la fase di triage, abilitando un rilevamento multilivello capace di accorciare sensibilmente i tempi di risposta”.
Come e perché automatizzare certe attività di sicurezza
Il merito delle SOAR è proprio quello di far risparmiare tempo, applicando processi automatici su routine ripetitive e approcci manuali. L’automazione delle attività di sicurezza, infatti, è un enorme valore aggiunto per i team preposti; si pensi, per esempio, al caso dello sviluppo di uno script personalizzato che può consentire ai professionisti SEC di raccogliere informazioni di routine da condividere con l’analista che, a sua volta, nel caso di un particolare avviso può comprendere più rapidamente il problema e, di conseguenza, arrivare prima alla sua risoluzione.
Come utilizzare gli strumenti SOAR
I responsabili della sicurezza che intendono utilizzare gli strumenti SOAR, devono prima effettuare una valutazione delle competenze e delle tecnologie esistenti in modo da capire meglio quali sono le sfide principali che i vari team devono affrontare.
Gli esperti consigliano di lavorare con molta attenzione a questa fase preliminare. È necessario arricchire i dati al fine di prendere decisioni migliori, mappare i processi e, tra questi, identificare e scegliere quelli che possono essere automatizzati. Di seguito qualche esempio:
SOAR a supporto del phishing
Implementare strumenti SOAR per esaminare le e-mail di phishing, ad esempio, può aiutare a rispondere a queste e-mail più velocemente. Per interpretare questo tipo di e-mail, infatti, è necessaria una certa capacità di risposta a determinati tipi di azioni o richieste in una casella di posta SOC. Applicare un livello di automazione a questo processo permette di raccogliere le informazioni, correlarle e presentarle all’analista in modo più funzionale e immediato.
Soar a supporto dell’Identity and Access Management
Lo IAM è un’altra area matura per l’automazione.
L’Identity and Access Management, infatti, offre alle organizzazioni la capacità di identificare, autenticare e in definitiva autorizzare un utente ad accedere a determinate risorse. Per chi si occupa di sicurezza, controllare l’accesso e assicurarsi che gli utenti non accumulino ruoli nel tempo è fondamentale.
Il fatto è che, anche nelle aziende più grandi e sofisticate, coesistono diversi script molto bizantini che richiedono spesso un elevato numero di elaborazioni e di operazioni manuali. A detta degli esperti, molte di queste applicazioni vengono gestite male e presentano grandi limiti a livello sia di sicurezza sia di funzionalità. Quello che accade con più frequenza è che il software è stato acquistato, ma non è stato implementato nel modo più corretto e più ampio possibile. Gli osservatori rilevano come, spesso, sia scarsamente integrato con il resto dell’azienda e altre applicazioni di sicurezza.
Prima di selezionare e implementare il software per l’automazione IAM, invece, è importante considerare:
- le regole aziendali dell’organizzazione
- le comunità utenti effettive
- i casi d’uso per l’autenticazione e l’autorizzazione non
- i requisiti dei vari sistemi aziendali
Il piano migliore? Iniziare con le applicazioni meno dirompenti per l’azienda. Non è necessario raccogliere tutto in una volta. L’importante è lavorare su un piano di implementazione graduale e mirato, tale da non compromettere la business continuity e che, fin dall’inizio, mostri la bontà della sua applicazione.
Implementazione di SOAR: quali sono le sfide?
Gartner ha evidenziato quali sono i maggiori ostacoli all’implementazione di SOAR: i processi e l’integrazione degli strumenti.
Il SOAR è essenzialmente uno strumento di automazione dei processi: senza processi in atto, non c’è nulla da automatizzare.
“Molte organizzazioni con operazioni di sicurezza ad hoc e senza processi consolidati – ha commentato Barros – ritengono di poter evitare di risolvere tali problemi acquistando strumenti SOAR. Risolvere questi problemi è un prerequisito del SOAR utile, ma se non sai come reagisci agli incidenti, non sai quali sono i playbook che devi creare sullo strumento o come appariranno. In sintesi: i contenuti pronti all’uso possono suggerire delle idee, ma non è qualcosa che si può usare da subito”.
Il secondo problema è collegare gli strumenti e i servizi aziendali al SOAR. La parte di orchestrazione del SOAR, infatti, implica un importante lavoro di analisi e di integrazione per consentire al SOAR di interfacciarsi e parlare con diverse tecnologie e una pluralità di servizi. È vero che le API dovrebbero semplificare l’integrazione, ma gli esperti sottolineano che ci sono diverse sfide aperte.
“Alcune integrazioni predefinite potrebbero non fornire le funzionalità che si desidera utilizzare – ha aggiunto Barros -. Anche le API cambiano continuamente e così può capitare che le integrazioni fornite dal fornitore SOAR smettano di funzionare dopo l’aggiornamento di uno strumento”.
Le organizzazioni che vogliono ottenere i migliori risultati utilizzando un SOAR devono essere consapevoli di queste sfide, predisponendo un team di risorse con le giuste competenze per sviluppare e mantenere questo tipo di sistema, presidiando tutte le integrazioni.
Certo è che, dal punto di vista di un’analista, i flussi di lavoro derivati dai SOAR possono risultare restrittivi, lasciando poco spazio al pensiero creativo. Un caso per tutti: nel momento i cui l’analista sta valutando il punteggio dell’APT o un comportamento anomalo, lavorare su flussi di lavoro predefiniti può limitare le vision e quindi la portata dell’analisi. Quindi, come per qualsiasi tecnologia, anche nell’uso di SOAR non bisogna “sedersi” e gestire in modo passivo quanto viene elaborato da una soluzione, ma continuare a ragionare mettendoci esperienza, competenza e professionalità.