L’automazione della sicurezza informatica sta diventando sempre più importante per liberare gli analisti dai compiti ripetitivi, permettendo loro di dedicare tempo all’analisi delle minacce più importanti. Tuttavia, è fondamentale avere il controllo totale dell’automazione e per questo è utile avere una piattaforma SOAR (Security Orchestration Automation and Response) che ne permetta la facile gestione.
Il ruolo dell’automazione in un SOAR è quello di alleviare il carico di lavoro delle organizzazioni di sicurezza informatica automatizzando i comportamenti ripetitivi di basso valore.
Il grado di automazione della sicurezza informatica deve essere regolato e i team di sicurezza devono determinare quali azioni debbano includere l’interazione umana che rappresenta l’aspetto fondamentale nei processi.
Il risultato dell’adozione di un SOAR è duplice:
- riduzione importante del tempo di reazione agli incidenti;
- miglioramento dell’efficienza del SOC.
Indice degli argomenti
Attivare un progetto di automazione della sicurezza informatica
Per avviare un progetto di automazione della sicurezza informatica grazie all’ausilio della tecnologia SOAR è necessario fare alcune analisi preliminari.
- FASE 1: Identificazione delle Procedure Standard Operative (SOPs) da attivare a fronte di allarmi
La prima cosa che bisogna analizzare prima di avviare un progetto di automazione sono le Procedure Operative Standard presenti in azienda, sostanzialmente i processi attuali di risposta e investigazione degli incidenti che si vuole automatizzare.
È infatti fondamentale identificare quali playbook e casi d’uso si vogliono implementare e migliorare affinché possa poi passare alla fase due.
- FASE 2: Analisi degli strumenti che devono essere orchestrati all’interno dei processi
In secondo luogo, si analizzano gli strumenti che devono essere orchestrati all’interno dei processi per effettuare investigazioni ed eseguire azioni correttive.
In questa fase si devono verificare non solo le tecnologie da orchestrare, ma anche le singole azioni che faranno poi parte dei playbook.
- Fase 3: Verifica e creazione dei connettori API esistenti
Il terzo step è quello di verificare che tutti i connettori API per effettuare le singole azioni identificate al punto due siano disponibili o sviluppabili.
In genere, le integrazioni con le principali tecnologie di sicurezza sono già state create. Tuttavia, è fondamentale che lo strumento sia flessibile e che non vi siano limiti sui connettori da creare.
- Fase 4: Creazione dei connettori API mancanti
Alcune soluzioni SOAR sul mercato sono molto chiuse ed è necessario passare attraverso il vendor per qualunque modifica. Ritengo che la flessibilità rappresenti una caratteristica fondamentale di un SOAR così come la possibilità di scrivere e modificare in autonomia i connettori.
Spesso è necessario orchestrare azioni definite “custom”, create su misura sul proprio ambiente che è fondamentale poter creare senza vincoli di alcun tipo.
- Fase 5: Replica e miglioramento dei processi in modalità grafica grazie alla logica dei playbook
Grazie alla logica dei playbook, si possono creare dei workflow grafici che permettono di avere sotto controllo i processi che devono essere eseguiti grazie al SOAR.
Le azioni delle tecnologie da orchestrare, suddivise in enrichment, notifica e contenimento, e l’intervento degli analisti per analisi e decisioni sono inserite in maniera grafica semplice e intuitiva, almeno nella maggior parte dei SOAR.
- FASE 6: Automazione progressiva
Per ogni singola azione dei processi, è fondamentale decidere come deve essere eseguita. In questo ambito possiamo identificare tre tipologie di azioni:
- Attività totalmente automatiche: Azioni che sono eseguite direttamente dal SOAR senza necessità di intervento umano. In base all’esperienza, questo genere di attività sono principalmente tutte quelle di investigazione e enrichment degli allarmi.
- Attività semi-automatiche: Rientrano in questo ambito le azioni che è necessario un’attivazione di un analista. L’azione verrà eseguita comunque attraverso API orchestrando le opportune tecnologie. L’analista ha una dashboard nella quale sono presenti i vari task che deve svolgere con il relativo ordine di priorità.
- Attività manuali: In questo caso si tratta di veri e propri task che l’analista deve fare manualmente su altre specifiche tecnologie. Rientrano in questo ambito azioni su tecnologie che non hanno API o che si vuole gestire senza collegamento diretto con il SOAR.
Automazione e orchestrazione della sicurezza informatica: le differenze
Grazie all’orchestrazione è possibile collegare tutti gli strumenti di cui gli analisti hanno bisogno. Questo permette loro di replicare i processi di risposta alle minacce e di ottenere, in un unico strumento, tutte le informazioni di cui un esperto ha bisogno per prendere le decisioni, mandare notifiche e fare azioni di contenimento.
L’automazione permette di accelerare l’implementazione dei processi perché l’operatore interviene solo dove ci sono decisioni da prendere. L’automazione deve essere focalizzata sull’assistenza ai team con compiti ripetitivi, dispendiosi in termini di tempo ma di basso livello.
Il significato dell’automazione in un SOAR
Il SOAR è un tipo di tecnologia che permette alle organizzazioni di replicare i propri processi operativi di sicurezza in un flusso di lavoro che consenta di orchestrare tante diverse tecnologie esistenti per meglio identificare, tracciare e porre rimedio agli incidenti informatici.
Gli analisti hanno una miriade di compiti e processi che devono svolgere e l’automazione gioca qui un ruolo vitale nel liberarli dai compiti ripetitivi, permettendo loro di avere più tempo per concentrarsi sull’analisi delle minacce più importanti.
Il SOAR sostituisce l’essere umano?
Il SOAR non sostituisce l’intervento umano, ma aiuta a velocizzare le attività degli analisti poiché permette loro di concentrarsi sulle attività a valore, essendo uno strumento che permette di far dialogare tra loro più tecnologie gestibili da un’unica piattaforma.
Possiamo dire che se il SIEM normalizza i log, il SOAR normalizza le tante diverse tecnologie utilizzate, orchestrandole all’interno dei processi tramite un’unica interfaccia.
Oltre al rispetto dei processi, il SOAR aiuta anche a creare report dettagliati per ogni singolo incidente e ad avere un quadro complessivo sempre aggiornato sullo stato degli incidenti e il rispetto degli SLA e della compliance.
I processi operativi che possono essere automatizzati
Il SOAR nasce per gestire gli incidenti di sicurezza informatica, vista soprattutto l’enorme quantità di strumenti necessari per far fronte agli attacchi. Nell’ultimo decennio vi è stata, infatti, una proliferazione dei tipi di attacco e un forte aumento dei perimetri, soprattutto con l’avvento del Cloud.
Sempre più attacchi rispecchiano la necessità di sempre più processi e, di conseguenza, sempre più strumenti e, soprattutto, competenze e risorse umane per eseguire tutte le operazioni necessarie.
Gli analisti sono sempre più letteralmente bombardati da segnalazioni, alert e compiti manuali da svolgere.
Pensiamo ad un comune attacco phishing dove l’analista deve effettuare vari tipi di analisi prima di capire se una minaccia è tale oppure no. Ad esempio, deve fare la geolocalizzazione e analizzare la reputazione dell’IP, recuperare informazioni su eventuali utenti compromessi, far detonare allegati e via dicendo. Queste attività possono essere automatizzate e, grazie al SOAR, l’analista riceve notifiche e task fondamentali che gli permettono di verificare tutte le informazioni raccolte in pochissimo tempo e attivare poi azioni di contenimento.
Spesso ai team di sicurezza vengono assegnate anche altre responsabilità e anche in questi ambiti lo strumento SOAR si rivela utile.
Possono infatti essere gestiti dal SOAR non solo gli incidenti di sicurezza informatica, ma tutti quelli che hanno delle sequenze operative che devono essere svolte.
Ad esempio, nel mondo finanziario viene spesso utilizzato per analizzare ogni singola transazione effettuate tramite carta di credito al fine di evitare le frodi, mentre nel mondo industriale per gestire i processi legati alle reti OT. In altri casi, infine, i SOAR vengono utilizzati anche per automatizzare dei tasks di IT-OPS.
Il lato negativo dell’automazione nelle operazioni di sicurezza
Si, il pensare che possa integralmente sostituire l’uomo. Anche se l’automazione gestisce i compiti in modo indipendente, deve comunque essere istruita. Gli analisti grazie a una soluzione SOAR possono replicare i processi di risposta alle minacce e definire quali funzioni devono essere automatizzate e quali no. Il processo di automazione richiede il controllo umano per essere ottimizzato e adattato al modo in cui l’organizzazione vuole che il processo di automazione sia gestito.
Aumentare la velocità di risposta agli incidenti e la collaborazione
Il SOAR inizia dove la rilevazione finisce e permette di far seguire le Procedure Operative Standard (SOP) definite a priori, assegnare task, cambiare la severità di un task, aumentando così la collaborazione tra macchine e security teams.
L’esecuzione di alcune procedure all’interno delle SOP richiede molto tempo come, ad esempio, le attività ripetitive come l’analisi degli alert su tanti diversi strumenti, la generazione di report, lo scambio di informazioni.
Queste attività si rivelano uno spreco di tempo inaccettabile e non affrontabile per i team di sicurezza. Il SOAR aiuta ad automatizzare tali attività ripetitive e a basso rischio e consente di lavorare in modo coordinato.
Una volta individuata e analizzata una minaccia, assegna il task alle persone giuste e, grazie all’automazione dei task ripetitivi, gli analisti ottengono in pochi minuti tutte le informazioni necessarie per prendere decisioni e contenere la minaccia.
Il SOAR esegue automaticamente l’analisi di un particolare allarme, documentandone le caratteristiche e classificando di conseguenza la sua natura.
I dati collezionati vengono trasmessi agli analisti che, senza la necessità di accedere a tanti diversi strumenti, possono focalizzare la loro attenzione sulle minacce reali e sfruttare le loro competenze per attività nelle quali è necessaria l’analisi umana e il pensiero laterale.
Senza SOAR, la fase di analisi di tutti gli allarmi viene eseguita manualmente dagli analisti con grande dispendio di tempo ed energie e, soprattutto, aumentando drasticamente il tempo necessario per rispondere ad un incidente.
Il SOAR come soluzione per le grandi organizzazioni e le PMI
All’inizio della sua curva di adozione, il SOAR era stato considerato adatto per le grandi organizzazioni e strutture aziendali che hanno creato ambienti SOC con più dipendenti. E, in una certa misura, questa affermazione non è lontana dalla verità anche oggi. Il SOAR si integra bene in ambienti complessi dove agisce come moltiplicatore di forza e tessuto connettivo.
Allo stesso tempo, però, un SOAR ben progettato e implementato è in grado di scalare sia verticalmente sia orizzontalmente.
Uno dei maggiori punti di forza di SOAR è quello di alleviare il carico di lavoro dei professionisti della sicurezza in generale, automatizzando un’ampia gamma di attività ripetitive e manuali.
Quindi, tenendo conto del fatto che anche le piccole e medie organizzazioni hanno bisogno di SOAR, è possibile adottare un modello scalabile che offre alle organizzazioni più piccole gli stessi vantaggi di quelle di maggiori dimensioni.
Questo obiettivo è raggiungibile sia installando un SOAR internamente sia mediante MSSP che erogano servizi gestiti sfruttando la tecnologia SOAR per la gestione dell’ultimo miglio.