Sono sempre più numerose le aziende che adottano un nuovo approccio alla cyber security, denominato Security Orchestration, Automation and Response (SOAR), che si focalizza sul consentire alle tecnologie di sicurezza presenti in un determinato ambiente di lavorare insieme, in maniera armonizzata e il più possibile automatizzata. Il paradigma SOAR, inoltre, consente ai security analyst di guadagnare tempo rispetto ai task ripetitivi e di focalizzarsi sull’analisi, la mitigazione delle minacce più sofisticate, invece di perdere tempo nell’investigare falsi positivi. È vero infatti che i team di sicurezza, a prescindere dalla industry in cui si trovano ad operare, stanno fronteggiando delle sfide comuni e ricorrenti. Di base, devono difendersi da una serie virtualmente infinita di cyber attacchi, gestendo un numero molto alto di strumenti di detection e difesa, con un carico di lavoro estremamente alto e con una mancanza cronica di forza lavoro qualificata per rispondere agli incidenti. E molte aziende cercano ancora di risolvere queste problematiche alla vecchia maniera, “semplicemente” aggiungendo nuove tecnologie in maniera inorganica e disorganizzata, aggrappandosi alla Speranza di poter mitigare temporaneamente il rischio.
Indice degli argomenti
Cos’è il Security Orchestration, Automation and Response
Gli utenti naturali del SOAR sono fondamentalmente tre:
- Security Operation Center (SOC),
- Computer Security Incident Response Team (CSIRT),
- Managed Security Service Provider (MSSP).
Per ogni categoria sussistono dei casi d’uso particolari. Tuttavia, specie nel nostro Paese, si sta assistendo ad un allargamento dei casi d’uso, anche oltre la convenzionale sfera cyber. Ad ogni modo, la Security Orchestration è in grado di connettere vari sistemi di sicurezza, consolidando vari workflow (anche complessi). Il primo valore tangibile consiste nell’avere una visibilità consolidata degli eventi e automatizzare le sequenze di risposta. Se, in precedenza, per gestire un incidente erano necessarie varie decine di minuti, se non addirittura ore, grazie all’automazione dei SOAR è possibile gestire una moltitudine di eventi e di incidenti in parallelo, riducendo i tempi di esecuzione anche dell’80%. Dal punto di vista tecnico, l’orchestrazione può essere raggiunta con l’utilizzo ragionato di connettori, API e parsers. L’automazione, quindi, è in grado di eseguire numerosi processi e workflow senza richiedere l’intervento umano, tranne quando oggettivamente necessario. Se, come detto prima, il primo beneficio tangibile è quello del parallelismo e della riduzione del tempo di reazione, ve n’è un altro non meno importante che consiste nell’ottenere processi ripetibili, con limitazione sostanziale dell’errore umano. Il valore collaterale, quindi, è quello di consentire agli analisti di concentrarsi su problematiche più qualificanti, invece che su azioni manuali e ripetitive di basso profilo. Per garantire questo risultato, alcune tecnologie SOAR sono in grado di utilizzare tecniche di machine learning per raccomandare azioni e playbook basati su omologhi utilizzati in maniera produttiva in incidenti precedenti. Da un punto di vista pratico, sono tre gli elementi che vengono comunemente valutati per una implementazione SOAR di successo:
- Collaboration: essenziale per creare una comunicazione efficiente, fino a livello di knowledge base, per I componenti dei team di sicurezza;
- Incident Management: idealmente, una piattaforma SOAR è in grado di processare tutti gli input provenienti dai vari security tools, e di fornire ai decision-makers una visibilità complessiva ed efficace sul processo in corso;
- Dashboards and Reporting: questo elemento è in grado di fornire una vista globale sui KPI (Key Performance Indicator), unitamente ad un reporting multilivello (tecnico, manageriale, legale ecc.) sugli incidenti, casi, eventi oggetto di trattazione.
Implementare un Security Orchestration, Automation and Response
Uno dei benefici primari dei SOAR consiste nella flessibilità. Un SOAR può essere utilizzato per consolidare operazioni su una Enterprise complessa (per esempio una multinazionale) o come soluzione verticale da appoggiare ad un prodotto esistente. Un esempio popolare (ormai definito entry level) è quello di gestire l’ultimo miglio dei Security Information and Event Management (SIEM). Parliamo di un beneficio primario, in quanto l’utilizzo di un SOAR insieme ad un SIEM può avere uno spettro di processi applicativi molto più ampio. Inoltre, quando un SOAR è implementato in altre arie di prodotto come Threat Intelligence, Fraud Management e via dicendo, esso tende ad avere un ROI (Return of Investment) più importante, in quanto mette a fattor comune più categorie di utilizzatori. Da un punto di vista degli utilizzatori, inoltre, inizialmente il SOAR era stato disegnato per un utilizzo a livello SOC. Tuttavia, con il maturare degli approcci e degli utenti, altre categorie di utenza hanno iniziato a valutarne I benefici. I Managed Security Services Provider (MSSP), per esempio, utilizzano i SOAR per creare nuovi servizi e flussi di vendita, mentre i Computer Security Incident Response Team (CSIRT) li utilizzano per tracciare gli incidenti e i data breach come richiesto da norme come il GDPR. Di recente, alcune banche hanno iniziato ad utilizzare il SOAR per gestire l’ultimo miglio nelle investigazioni delle frodi digitali e transazionali, mentre aumenta anche l’utilizzo dei SOAR in sicurezza fisica.
I principali benefici del SOAR
Senza dubbio, il beneficio più visibile del SOAR consiste nella sua abilità ad integrarsi virtualmente con ogni processo di sicurezza o strumento in uso in azienda, aumentandone performance e valore aggiunto. Questa capacità si riflette positivamente anche sul rendimento dei team di sicurezza, che sono in grado di gestire in maniera centralizzata e scalabile una serie di processi paralleli, sfociando anche nel ticketing e nel case management, qualora necessario. Il SOAR, quindi, è il nuovo tessuto connettivo, sia per ambienti complessi sia per quelli entry level. SOAR, quindi, è sinonimo di velocità operativa, consolidamento di viste e azioni, efficienza, a prescindere dal numero di persone disponibili. È, in parole povere, un concentratore. I Security teams perdono un importante ammontare di tempo nel gestire un insieme inorganico di eventi, molti dei quali rivelatisi falsi positivi. Ciò avviene quotidianamente. E i benchmark sul valore effettuati dopo il deployment sono focalizzati sul tempo speso nel gestire il triage (pre-analisi) di allarmi di basso profilo. I risultati sono evidenti, e quantificabili. Utilizzare un SOAR può contribuire anche alla retention degli operatori, che si sentono ovviamente sollevati dai lavori ripetitivi. Proprio su questo punto, esempi di menial task che vengono gestiti dai SOAR sono:
- aggiornamenti firewall;
- rimozione e aggiunta di nuovi utenti di rete;
- quarantene di file sospetti;
- verifica di eventi potenzialmente fraudolenti;
e via dicendo. Unificare ed orchestrare gli strumenti di sicurezza, piuttosto che averli in silos separati, è quindi un valore inestimabile specie in ambienti con scarsa disponibilità di persone specializzate. La visibilità sulle minacce diventa ampia e con basso rischio di errore umano.
