Che cos'è il SOAR?
SOAR è l'acronimo di Security Orchestration, Automation, and Response.
SOAR definito
SOAR è un servizio basato sul cloud progettato per aiutare le organizzazioni ad automatizzare alcuni dei processi manuali, come il monitoraggio, gli avvisi, le indagini, la bonifica, la reportistica e la conformità. Fornisce visibilità in tempo reale sulla rete e sul rilevamento degli endpoint su tutti i dispositivi e le applicazioni.
Le piattaforme SOAR sono un insieme di soluzioni software per la sicurezza che possono essere utilizzate per la navigazione e la raccolta di dati da diverse fonti.
Il termine è stato originariamente creato da Gartner, che ha definito le tre funzionalità di una piattaforma SOAR: gestione delle minacce e delle vulnerabilità, risposta agli incidenti di sicurezza e automazione delle operazioni di sicurezza. SOAR consente alle aziende di raccogliere dati relativi alle minacce da una serie di fonti e di automatizzare le risposte alle minacce.
L'automazione delle operazioni di sicurezza (Automation) si riferisce alle tecnologie che consentono l'automazione e l'orchestrazione all'interno delle operazioni, mentre la gestione delle minacce e delle vulnerabilità (Orchestration) riguarda le tecnologie che aiutano a modificare le minacce informatiche. I dati vengono analizzati utilizzando una combinazione di apprendimento umano e automatico per comprendere e dare priorità alle azioni di risposta agli incidenti.
"SOAR si riferisce alle tecnologie che consentono alle organizzazioni di raccogliere gli input monitorati dal team operativo di sicurezza. Ad esempio, gli avvisi provenienti dal sistema SIEM e da altre tecnologie di sicurezza in cui l'analisi e il triage degli incidenti possono essere eseguiti sfruttando una combinazione di potenza umana e meccanica, aiutano a definire, dare priorità e guidare le attività di risposta agli incidenti standardizzate. Gli strumenti SOAR consentono a un'organizzazione di definire le procedure di analisi e risposta agli incidenti in un formato di flusso di lavoro digitale".
Vantaggi principali di SOAR
Le operazioni di sicurezza possono essere una sfida costante per qualsiasi organizzazione. È importante per la velocità e l'efficienza, ma può essere difficile garantire che tutto funzioni senza intoppi. Gli analisti sono spesso sopraffatti dal volume di avvisi provenienti da sistemi diversi. Può richiedere tempo e impegno ottenere e correlare i dati necessari per identificare le potenziali minacce. La risoluzione di tali minacce richiede il coordinamento tra diversi team all'interno di un'organizzazione.
SOAR aiuta ad alleviare alcune delle sfide associate ai big data, assistendo uomini e macchine nell'analisi di grandi quantità di dati, riducendo l'affaticamento degli avvisi e automatizzando i processi di rilevamento e risposta.
SOAR vs SIEM vs XDR: qual è la differenza?
Gartner definisce il mercato della sicurezza e della gestione degli eventi informativi (SIEM) in base all'esigenza dei clienti di analizzare i dati degli eventi in tempo reale per individuare tempestivamente gli attacchi mirati e le violazioni dei dati, e di raccogliere, archiviare, analizzare e riportare i dati di log per la risposta agli incidenti, la forensics e la conformità alle normative.
I prodotti SIEM sono emersi per la prima volta nel 2005, inizialmente guidati dal reporting di conformità e dall'aggregazione dei dati di log generati da applicazioni, endpoint e dispositivi di rete.
Sebbene alcuni SIEM forniscano sia la gestione delle informazioni di sicurezza (SIM) che la gestione degli eventi di sicurezza (SEM), offrono capacità limitate di risposta agli incidenti e di visualizzazione. I SIEM analizzano i dati degli eventi provenienti da tecnologie preventive, come software antivirus, IDS e firewall, rendendo difficile il rilevamento di attacchi sofisticati provenienti da fonti non correlate. Anche l'analisi delle minacce era spesso difficile e richiedeva molto tempo, a causa di processi e analisi manuali.
Le tecnologie SIEM di nuova generazione hanno aggiunto il supporto per l'analisi dei big data e il rilevamento degli eventi in tempo reale, oltre a plug-in di apprendimento automatico e analisi comportamentale per creare modelli di base per i normali modelli di comportamento di utenti e dispositivi. In questo modo è stato più facile identificare prima i problemi di sicurezza e ridurre la finestra di vulnerabilità delle organizzazioni agli attacchi.
Nonostante i progressi, il volume di avvisi provenienti dalle piattaforme SIEM sovraccarica ancora oggi i team di sicurezza, che spesso adottano strumenti aggiuntivi per ridurre i falsi positivi e aiutare ad automatizzare le risposte.
Entrare in SOAR
Gartner definisce l'orchestrazione, l'automazione e la risposta alla sicurezza (SOAR) come tecnologie che consentono alle organizzazioni di prendere input da una varietà di fonti (principalmente dai sistemi di gestione delle informazioni e degli eventi di sicurezza [SIEM]) e di applicare flussi di lavoro allineati ai processi e alle procedure.
Emersi per la prima volta nel 2015, gli strumenti SOAR (Security Operations Analytics Resource) sono stati progettati per aiutare a risolvere la sfida SIEWF dell'affaticamento da allerta/eventi e la carenza di talenti a livello globale nelle operazioni di sicurezza per le organizzazioni che devono implementare efficacemente una soluzione SIEM. L'obiettivo principale era quello di arricchire i dati degli eventi fornendo un contesto aggiuntivo per ogni incidente (ad esempio, luogo, ora, tipo), che avrebbe permesso di identificare meglio gli incidenti critici e di automatizzare le risposte a tali eventi. L'obiettivo era quello di migliorare la sicurezza accelerando la risoluzione dei problemi e facendo emergere le minacce solo quando era necessario l'intervento umano.
Gli strumenti SOAR utilizzano diversi tipi di dati per aiutare a identificare le minacce e prevenire gli attacchi contro le organizzazioni, richiedendo l'integrazione con altri strumenti di sicurezza e la dipendenza da processi manuali come la definizione di playbook, livelli di avviso personalizzati e misure di risposta agli incidenti.
Mantenere la visibilità su un'intera rete continua a essere una sfida per i team di sicurezza, perché le moderne infrastrutture e applicazioni IT continuano a crescere. Inoltre, affidarsi a soluzioni di sicurezza siloed dei fornitori di piattaforme SIEM e SOAR può comportare avvisi basati su informazioni incomplete o mal correlate, che possono causare inutili interruzioni ai sistemi e agli utenti.
Inserire XDR
Secondo la società di analisi Gartner, l'Extended Detection and Response (XDR) è "uno strumento di rilevamento delle minacce e di risposta agli incidenti di sicurezza basato su SaaS e specifico del fornitore, che integra in modo nativo più prodotti di sicurezza in un sistema operativo di sicurezza coeso che unifica tutti i componenti con licenza"
Nel tentativo di migliorare i tempi di rilevamento delle minacce e di risposta agli incidenti, i fornitori di sicurezza stanno sviluppando nuove tecnologie chiamate "XDR" (extended dynamic reporting). L'obiettivo di XDR è aiutare le organizzazioni a rilevare gli attacchi correlando i dati di sicurezza e avvisandole quando si verifica un'anomalia. L'XDR combina una serie di strumenti investigativi e di analisi comportamentale con un'enfasi sul rilevamento delle minacce avanzate e risposte personalizzate per una migliore difesa contro la criminalità informatica.
Sebbene gli strumenti SIEM di ultima generazione possano offrire funzionalità XDR, essi, come le piattaforme SOAR, sono spesso componenti aggiuntivi e plugin che richiedono configurazione e messa a punto. Ma l'XDR non ha le caratteristiche di registrazione, conservazione e conformità dei SIEM, il che significa che è importante trovarne uno che si integri con i controlli di sicurezza esistenti o che offra un'architettura aperta.
Le organizzazioni possono decidere se implementare più serie di prodotti o una suite di prodotti consolidati per le loro esigenze di operazioni di sicurezza. Indipendentemente dalla strada intrapresa, sarà necessaria una certa integrazione, configurazione e messa a punto per rilevare e rispondere agli incidenti di sicurezza in modo efficace ed efficiente.
SOAR + Informazioni sulle minacce
L'obiettivo degli strumenti di sicurezza è quello di vedere, collegare e gestire gli incidenti in un unico luogo. Purtroppo, la raccolta e la correlazione dei dati provenienti da tutti questi strumenti eterogenei può essere estremamente rumorosa.
La comprensione di ciò che accade all'interno della propria rete interna richiede automazione e orchestrazione. Ma che dire delle minacce esterne alla rete? È necessario un contesto esterno per correlare e arricchire i dati di rete con informazioni sulle minacce, per aiutarci a difenderci da potenziali minacce.
Le soluzioni SOAR necessitano di una tecnologia come una piattaforma di intelligence sulle minacce (TIP) che raccolga, normalizzi e correli automaticamente i dati con più fonti di intelligence sulle minacce in modo da produrre un unico feed. Questa capacità di intelligence sulle minacce deve essere parte integrante del processo di automazione per garantire che la piattaforma SOAR utilizzi i dati in modo efficace per eseguire le giuste azioni di risposta.
Le sfide di SOAR
Come sottolinea Gartner, il principale ostacolo all'adozione della sicurezza SOAR continua a essere la mancanza, o la scarsa maturità, di processi e procedure all'interno dei team SOC. Per questo motivo è fondamentale ottenere la consulenza di esperti quando si pianifica l'implementazione di SOAR.
Gartner, Market Guide for Security Orchestration, Automation and Response Solutions, 21 settembre 2020
