A prima vista è difficile notare cosa rende SOAR e SIEM diversi: sembrano strumenti molto simili e in un certo senso interscambiabili. Effettivamente hanno molti elementi in comune e questo inganna chi li sta usando da poco. Man mano che ci si prende la mano e li si sperimenta nel tentativo di semplificare i processi di risposta agli incidenti e risolverli più rapidamente, però, le differenze tra i due diventano molto più chiare. Le prime a emergere riguardano aspetti come il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR).
Che cos’è il SIEM?
Gli strumenti per la gestione delle informazioni e degli eventi di sicurezza (SIEM – Security Information and Event Management) servono per raccogliere in un solo punto “centrale” i dati di log ed eventi provenienti da varie fonti di sicurezza, rete, server, applicazioni e database. Tra le loro funzioni c’è anche quella di rilevare e segnalare gli eventi di sicurezza.
Quando un sistema identifica un numero anomalo di tentativi di accesso a un particolare sistema, per esempio, il SIEM entra in azione. Subito avvisa il team SecOps dell’incidente in modo che possa indagare tempestivamente sulla possibilità di compromissione del sistema o delle credenziali utilizzate.
I SIEM raccolgono dati da firewall, sistemi di prevenzione delle intrusioni, software antivirus e antimalware, server DNS, strumenti di prevenzione della perdita di dati e gateway web sicuri. Li analizzano in forma aggregata e in tempo reale per individuare potenziali problemi di sicurezza, correlando le varie informazioni provenienti da più fonti.
Il SIEM è in grado di realizzare anche una classificazione intelligente degli eventi secondo la loro criticità, in modo da dettare l’agenda a chi si occupa di sicurezza. Questo team, infatti, prima era costretto a passare al setaccio i dati di vari eventi per identificare e correggere la fonte di una potenziale minaccia o semplicemente per riconoscerla e sintonizzare il motore di analisi in modo da contrassegnare l’evento come un evento benigno. Grazie al software SIEM, risparmia tempo e può facilmente distinguere un evento che sembra solo sospetto da una vera minaccia.
Se si considera il SIEM dal punto di vista dell’MTTD e dell’MTTR, lo strumento eccelle nel rilevamento delle minacce, considerando dati di sicurezza da diverse fonti. Un problema potrebbe essere il numero abbondante di avvisi di incidente che “emette”, spesso difficile da gestire per i team SecOps che finiscono per non sapere da dove iniziare. Il rischio è di esagerare con le allerte e stancarsi. Dal punto di vista del MTTR, quindi, i SIEM non si dimostrano eccellenti. Sarebbe necessario “tararli” continuamente per eliminare l’eccesso di avvisi.
Che cos’è il SOAR?
Mentre gli strumenti SIEM esistono da anni, i sistemi di orchestrazione, automazione e risposta alla sicurezza (SOAR – Security Orchestration Automation and Response) sono più recenti. Si tratta di una tecnologia di sicurezza progettata per supportare le aziende nell’organizzazione delle minacce interne ed esterne e accelerare il processo di triage e di risoluzione degli incidenti. I SOAR sfruttano l‘intelligenza artificiale per identificare le priorità degli avvisi di incidente e suggerire ai team SecOps l’ordine con cui affrontare le minacce segnalate. Centrale in questo tipo di sistemi anche il concetto noto come playbook: una serie fasi di correzione precostituite che si avviano automaticamente quando vengono raggiunte determinate soglie.
Per immaginare un SOAR in azione, si può prendere l’esempio di un intervento su un malware. Un SIEM tradizionale si limiterebbe a rilevarlo e segnalarlo tra gli incidenti all’interno di una network aziendale. Un SOAR può far conto sul playbook di automazione del malware per identificare ma anche mettere in quarantena i dispositivi compromessi, senza bisogno di alcun intervento umano.
In termini di MTTD, il SOAR non offre particolari vantaggi rispetto a quanto si può già ottenere da un SIEM. Grazie ai progressi nella prioritizzazione degli avvisi e ai playbook di risposta agli incidenti supportati dall’AI, il SOAR può invece portare a riduzioni significative di MTTR.
SOAR vs. SIEM: differenze che fanno la differenza
Se entrambi i SOAR e i SIEM aggregano dati di sicurezza da varie fonti, i due strumenti differiscono per la posizione e la quantità delle informazioni che riescono a fornire. Mentre i SIEM ingeriscono solamente i vari dati di log ed eventi dalle fonti tradizionali dei componenti dell’infrastruttura, i SOAR vanno oltre, concentrandosi maggiormente sulla prioritizzazione degli avvisi identificati da vari strumenti di sicurezza, compresi i SIEM.
Un altro aspetto differenziante è l’uso dell’intelligenza artificiale e dell’automazione che permettono ai SOAR di risolvere o mitigare i problemi, mentre i SIEM si limitano a identificarli. Nella pratica, i sistemi SOAR raccolgono informazioni dai feed esterni di intelligence sulle minacce emergenti, dal software di sicurezza degli endpoint e da altre fonti di terze parti per ottenere un quadro generale del panorama della sicurezza migliore, sia all’interno sia all’esterno della rete. Riescono a effettuare un’analisi a un livello diverso, suggerendo anche come procedere a seguito di un preciso allarme. I vantaggi di intelligence così ottenuti si traducono in attività di automation che risolvono i problemi al posto del team di sicurezza, potenziando e valorizzando il lavoro da loro svolto.
Come SOAR e SIEM migliorano le SecOps
Anche in questo caso, quando si confrontano SOAR e SIEM, emergono differenze utili da conoscere. I SIEM tradizionali forniscono solo l’allarme, poi spetta al team SecOps decidere come procedere con le indagini. I SOAR, invece, automatizzano i flussi di lavoro delle indagini, riducendo in modo significativo la quantità di tempo necessaria per gestire gli avvisi. Inoltre, forniscono un supporto a livello di competenze al team di sicurezza per aiutarlo a completare il percorso di indagine.
I SIEM restano comunque lo strumento migliore per aggregare e analizzare i dati relativi agli avvisi sulle minacce. Per questo motivo, molte aziende scelgono di implementare sia il SIEM che il SOAR: le due tecnologie, combinate, offrono risultati MTTD e MTTR di gran lunga inferiori.