Technology HowTo

SOAR: gli strumenti che aiutano a colmare le lacune alla sicurezza

Security Orchestration, Automation and Response, ovvero SOAR. Utilizzare strumenti automatici dedicati aiuta i responsabili della sicurezza a velocizzare raccolta dati e analisi, supportando al meglio il triage. Ma con i dovuti approcci, avvertono gli esperti

Pubblicato il 06 Feb 2019

Concetto di strumenti SOAR

SOAR è l’acronimo di Security Orchestration, Automation and Response e rappresenta un approccio al controllo e alla protezione dei sistemi aziendali che sta dimostrandosi un ottimo supporto per i team preposti alla salvaguardia del patrimonio informativo aziendale.

La definizione di SOAR esplicitata da Gartner è la seguente: “Le tecnologie SOAR sono quelle che consentono alle organizzazioni di raccogliere dati e segnalazioni relative alle minacce alla sicurezza attingendo da diverse fonti. L’analisi degli incidenti e il triage possono essere eseguiti utilizzando una combinazione di risorse umane e meccaniche che aiutano a definire, prioritizzare e guidare le attività di risposta agli incidenti secondo un flusso di lavoro standard”.

Gli strumenti SOAR, dunque, risultano indispensabili sia nella fase preliminare di analisi, sia nella fase interpretativa e reattiva. Nella fase di triage, infatti, le SOAR aiutano a discernere la gravità del problema e a effettuare una iniziale classificazione, in base alla quale viene stabilito un criterio di priorità che termina con l’assegnazione dell’incidente a una persona o a un team che viene giudicato il più idoneo a intervenire.

SOAR: le previsioni degli analisti sono di crescita

Secondo Gartner, per le aziende con cinque o più professionisti della sicurezza, il tasso di adozione di soluzioni SOAR passerà dall’1% al 15% da qui ai prossimi due anni.

Secondo gli analisti di Enterprise Strategy Group (ESG), i tassi di adozione degli strumenti SOAR saranno ancora più elevati. In un sondaggio condotto lo scorso anno, i ricercatori hanno rilevato che il 19% delle imprese intervistate dichiara di aver esteso l’automazione delle operazioni e la tecnologia di orchestrazione associate alle SOAR in modo estensivo, mentre il 39% degli intervistati ha dichiarato di implementare comunque la tecnologia anche se su una base limitata.

Sicurezza e rumori di fondo

Le carenze sul fronte della protezione informatica spingono diversi esperti di sicurezza a considerare gli strumenti SOAR come una soluzione valida, capace di aiutare i team di sicurezza a semplificare e migliorare la gestione dei processi quotidiani.

I professionisti della sicurezza, infatti, ogni giorno devono stare al passo con una panoramica di minacce sempre più dinamiche. Il tutto continuando a gestire il sovraccarico di allarmi innescati dai vari strumenti a supporto della sicurezza utilizzati. Secondo un sondaggio condotto da RSA nel 2018, la maggior parte delle aziende riceve più di 10mila segnalazioni ogni giorno. Per i team di sicurezza rivedere tutti questi avvisi è praticamente impossibile, da cui la necessità di eseguire il rilevamento in più fasi attraverso gli strumenti SOAR.

“Abbiamo bisogno di tempi di reazione più rapidi – ha commentato Augusto Barros, analista di Gartner -. Dal momento che gli incidenti possono causare molti danni in pochi minuti, nessuno si può permettere il lusso di fare indagini che richiedono ore o giorni. È necessario migliorare il tempo di risposta. Gli strumenti SOAR, lavorando su una scala di automazione, velocizzano la fase di triage, abilitando un rilevamento multilivello capace di accorciare sensibilmente i tempi di risposta”.

Come e perché automatizzare certe attività di sicurezza

Il merito delle SOAR è proprio quello di far risparmiare tempo, applicando processi automatici su routine ripetitive e approcci manuali. L’automazione delle attività di sicurezza, infatti, è un enorme valore aggiunto per i team preposti; si pensi, per esempio, al caso dello sviluppo di uno script personalizzato che può consentire ai professionisti SEC di raccogliere informazioni di routine da condividere con l’analista che, a sua volta, nel caso di un particolare avviso può comprendere più rapidamente il problema e, di conseguenza, arrivare prima alla sua risoluzione.

Come utilizzare gli strumenti SOAR

I responsabili della sicurezza che intendono utilizzare gli strumenti SOAR, devono prima effettuare una valutazione delle competenze e delle tecnologie esistenti in modo da capire meglio quali sono le sfide principali che i vari team devono affrontare.

Gli esperti consigliano di lavorare con molta attenzione a questa fase preliminare. È necessario arricchire i dati al fine di prendere decisioni migliori, mappare i processi e, tra questi, identificare e scegliere quelli che possono essere automatizzati. Di seguito qualche esempio:

SOAR a supporto del phishing

Implementare strumenti SOAR per esaminare le e-mail di phishing, ad esempio, può aiutare a rispondere a queste e-mail più velocemente. Per interpretare questo tipo di e-mail, infatti, è necessaria una certa capacità di risposta a determinati tipi di azioni o richieste in una casella di posta SOC. Applicare un livello di automazione a questo processo permette di raccogliere le informazioni, correlarle e presentarle all’analista in modo più funzionale e immediato.

Soar a supporto dell’Identity and Access Management

Lo IAM è un’altra area matura per l’automazione.

L’Identity and Access Management, infatti, offre alle organizzazioni la capacità di identificare, autenticare e in definitiva autorizzare un utente ad accedere a determinate risorse. Per chi si occupa di sicurezza, controllare l’accesso e assicurarsi che gli utenti non accumulino ruoli nel tempo è fondamentale.

Il fatto è che, anche nelle aziende più grandi e sofisticate, coesistono diversi script molto bizantini che richiedono spesso un elevato numero di elaborazioni e di operazioni manuali. A detta degli esperti, molte di queste applicazioni vengono gestite male e presentano grandi limiti a livello sia di sicurezza sia di funzionalità. Quello che accade con più frequenza è che il software è stato acquistato, ma non è stato implementato nel modo più corretto e più ampio possibile. Gli osservatori rilevano come, spesso, sia scarsamente integrato con il resto dell’azienda e altre applicazioni di sicurezza.

Prima di selezionare e implementare il software per l’automazione IAM, invece, è importante considerare:

  • le regole aziendali dell’organizzazione
  • le comunità utenti effettive
  • i casi d’uso per l’autenticazione e l’autorizzazione non
  • i requisiti dei vari sistemi aziendali

Il piano migliore? Iniziare con le applicazioni meno dirompenti per l’azienda. Non è necessario raccogliere tutto in una volta. L’importante è lavorare su un piano di implementazione graduale e mirato, tale da non compromettere la business continuity e che, fin dall’inizio, mostri la bontà della sua applicazione.

Implementazione di SOAR: quali sono le sfide?

Gartner ha evidenziato quali sono i maggiori ostacoli all’implementazione di SOAR: i processi e l’integrazione degli strumenti.

Il SOAR è essenzialmente uno strumento di automazione dei processi: senza processi in atto, non c’è nulla da automatizzare.

“Molte organizzazioni con operazioni di sicurezza ad hoc e senza processi consolidati – ha commentato Barros – ritengono di poter evitare di risolvere tali problemi acquistando strumenti SOAR. Risolvere questi problemi è un prerequisito del SOAR utile, ma se non sai come reagisci agli incidenti, non sai quali sono i playbook che devi creare sullo strumento o come appariranno. In sintesi: i contenuti pronti all’uso possono suggerire delle idee, ma non è qualcosa che si può usare da subito”.

Il secondo problema è collegare gli strumenti e i servizi aziendali al SOAR. La parte di orchestrazione del SOAR, infatti, implica un importante lavoro di analisi e di integrazione per consentire al SOAR di interfacciarsi e parlare con diverse tecnologie e una pluralità di servizi. È vero che le API dovrebbero semplificare l’integrazione, ma gli esperti sottolineano che ci sono diverse sfide aperte.

“Alcune integrazioni predefinite potrebbero non fornire le funzionalità che si desidera utilizzare – ha aggiunto Barros -. Anche le API cambiano continuamente e così può capitare che le integrazioni fornite dal fornitore SOAR smettano di funzionare dopo l’aggiornamento di uno strumento”.

Le organizzazioni che vogliono ottenere i migliori risultati utilizzando un SOAR devono essere consapevoli di queste sfide, predisponendo un team di risorse con le giuste competenze per sviluppare e mantenere questo tipo di sistema, presidiando tutte le integrazioni.

Certo è che, dal punto di vista di un’analista, i flussi di lavoro derivati ​​dai SOAR possono risultare restrittivi, lasciando poco spazio al pensiero creativo. Un caso per tutti: nel momento i cui l’analista sta valutando il punteggio dell’APT o un comportamento anomalo, lavorare su flussi di lavoro predefiniti può limitare le vision e quindi la portata dell’analisi. Quindi, come per qualsiasi tecnologia, anche nell’uso di SOAR non bisogna “sedersi” e gestire in modo passivo quanto viene elaborato da una soluzione, ma continuare a ragionare mettendoci esperienza, competenza e professionalità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4