Che cos'è SOAR?
SOAR è l'acronimo di Security Orchestration, Automation and Response.
SOAR definito
SOAR è un servizio basato su cloud progettato per aiutare le organizzazioni ad automatizzare alcuni dei loro processi manuali, come monitoraggio, avvisi, indagini, rimedi, reportistica e conformità. Fornisce visibilità in tempo reale sulla rete e sul rilevamento degli endpoint su tutti i dispositivi e le applicazioni.
Le piattaforme SOAR sono una raccolta di soluzioni software di sicurezza che possono essere utilizzate per la navigazione e la raccolta di dati da una varietà di fonti.
Il termine è stato originariamente creato da Gartner, che ha definito le tre funzionalità di una piattaforma SOAR: gestione delle minacce e delle vulnerabilità, risposta agli incidenti di sicurezza e automazione delle operazioni di sicurezza. SOAR consente alle aziende di raccogliere dati relativi alle minacce da una serie di fonti e automatizzare le risposte alla minaccia.
L'automazione delle operazioni di sicurezza (Automation) si riferisce alle tecnologie che consentono l'automazione e l'orchestrazione all'interno delle operazioni, mentre la gestione delle minacce e delle vulnerabilità (Orchestration) copre le tecnologie che aiutano a modificare le minacce informatiche. I dati vengono analizzati utilizzando una combinazione di apprendimento umano e automatico per comprendere e dare priorità alle azioni di risposta agli incidenti.
«SOAR si riferisce a tecnologie che consentono alle organizzazioni di raccogliere input monitorati dal team delle operazioni di sicurezza. Ad esempio, gli avvisi provenienti dal sistema SIEM e da altre tecnologie di sicurezza in cui è possibile eseguire l'analisi e il triage degli incidenti sfruttando una combinazione di risorse umane e meccaniche aiutano a definire, assegnare priorità e guidare attività di risposta agli incidenti standardizzate. Gli strumenti SOAR consentono a un'organizzazione di definire l'analisi degli incidenti e le procedure di risposta in un formato di flusso di lavoro digitale».
Principali vantaggi di SOAR
Le operazioni di sicurezza possono essere una sfida costante per qualsiasi organizzazione. È importante per la velocità e l'efficienza, ma può essere difficile garantire che tutto funzioni senza intoppi. Gli analisti sono spesso sopraffatti dal volume di avvisi provenienti da sistemi diversi. Ottenere e correlare i dati necessari per identificare potenziali minacce può richiedere tempo e impegno. La risoluzione di tali minacce richiede il coordinamento tra i diversi team all'interno di un'organizzazione.
SOAR aiuta ad alleviare alcune delle sfide associate ai big data assistendo sia gli esseri umani che le macchine nell'analisi di grandi quantità di dati, riducendo l'affaticamento degli avvisi e automatizzando i processi di rilevamento e risposta.
SOAR vs SIEM vs. XDR: qual è la differenza?
Gartner definisce il mercato della sicurezza e della gestione degli eventi informativi (SIEM) in base alla necessità del cliente di analizzare i dati degli eventi in tempo reale per la diagnosi precoce di attacchi mirati e violazioni dei dati e di raccogliere, archiviare, indagare e riferire sui dati di registro per la risposta agli incidenti, la scienza forense e la conformità normativa.
I prodotti SIEM sono emersi per la prima volta nel 2005, inizialmente basati sulla reportistica di conformità e sull'aggregazione dei dati di registro generati da applicazioni, endpoint e dispositivi di rete.
Sebbene alcuni SIEM forniscano sia la gestione delle informazioni di sicurezza (SIM) che la gestione degli eventi di sicurezza (SEM), offrono funzionalità limitate di risposta e visualizzazione degli incidenti. I SIEM analizzano i dati degli eventi mediante tecnologie preventive, come software antivirus, IDS e firewall, rendendo difficile il rilevamento di attacchi sofisticati provenienti da fonti non correlate. L'analisi delle minacce era spesso difficile e richiedeva anche molto tempo, basata su processi e analisi manuali.
Le tecnologie SIEM di nuova generazione hanno aggiunto il supporto per l'analisi dei big data e il rilevamento di eventi in tempo reale, nonché plug-in di machine learning e analisi comportamentale per creare modelli di base per i normali modelli di comportamento di utenti e dispositivi. Ciò ha contribuito a semplificare l'identificazione tempestiva dei problemi di sicurezza e a ridurre la finestra in cui le organizzazioni erano vulnerabili agli attacchi.
Nonostante i progressi, l'enorme volume di avvisi provenienti dalle piattaforme SIEM continua a sovraccaricare i team di sicurezza oggi, spesso adottando strumenti aggiuntivi per ridurre i falsi positivi e aiutare ad automatizzare le risposte.
Entra in SOAR
Gartner definisce l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR) come tecnologie che consentono alle organizzazioni di ricevere input da una varietà di fonti (principalmente da sistemi di gestione delle informazioni di sicurezza e degli eventi [SIEM]) e applica flussi di lavoro allineati a processi e procedure.
Emersi per la prima volta nel 2015, gli strumenti SOAR (Security Operations Analytics Resource) sono stati progettati per aiutare ad affrontare la sfida SIEWF dell'affaticamento degli avvisi e degli eventi e la carenza globale di talenti nelle operazioni di sicurezza per consentire alle organizzazioni di implementare efficacemente una soluzione SIEM. Il loro obiettivo principale era arricchire i dati sugli eventi fornendo un contesto aggiuntivo per ogni incidente (ad esempio, luogo, ora, tipo), che consentisse loro di identificare meglio gli incidenti critici e automatizzare le risposte a questi eventi. L'obiettivo era migliorare la sicurezza accelerando gli interventi correttivi e aumentando le minacce solo quando era necessario l'intervento umano.
Gli strumenti SOAR utilizzano una varietà di diversi tipi di dati per aiutare a identificare le minacce e prevenire gli attacchi contro le organizzazioni, richiedendo l'integrazione con altri strumenti di sicurezza e il ricorso a processi manuali come la definizione di playbook, livelli di avviso personalizzati e misure di risposta agli incidenti.
Mantenere la visibilità su un'intera rete continua a essere una sfida per i team di sicurezza perché l'infrastruttura e le applicazioni IT moderne continuano a crescere. Inoltre, affidarsi a soluzioni di sicurezza isolate dei fornitori di piattaforme SIEM e SOAR può generare avvisi basati su informazioni incomplete o mal correlate, che possono causare inutili interruzioni ai sistemi e agli utenti.
Inserisci XDR
Secondo la società di analisi Gartner, Rilevamento e risposta estesi (XDR) è»uno strumento di rilevamento delle minacce alla sicurezza e di risposta agli incidenti basato su SaaS, specifico del fornitore, che integra nativamente più prodotti di sicurezza in un sistema operativo di sicurezza coeso che unifica tutti i componenti concessi in licenza».
Nel tentativo di migliorare il rilevamento delle minacce e i tempi di risposta agli incidenti, i fornitori di sicurezza stanno sviluppando nuove tecnologie chiamate «XDR» (reporting dinamico esteso). L'obiettivo di XDR è aiutare le organizzazioni a rilevare gli attacchi correlando i dati di sicurezza e avvisandole quando si verifica un'anomalia. XDR combina una gamma di strumenti investigativi e analisi comportamentali con un'enfasi sul rilevamento avanzato delle minacce e sulle risposte personalizzate per una migliore difesa contro la criminalità informatica.
Sebbene gli strumenti SIEM di ultima generazione possano offrire funzionalità XDR, essi, come le piattaforme SOAR, sono spesso componenti aggiuntivi e plug-in che richiedono configurazione e ottimizzazione. Tuttavia, XDR non dispone delle funzionalità di registrazione, conservazione e conformità dei SIEM, il che significa che è importante trovarne uno che si integri con i controlli di sicurezza esistenti o offra un'architettura aperta.
Le organizzazioni possono decidere se implementare più set di prodotti o una suite di prodotti consolidata per le proprie esigenze operative di sicurezza. Indipendentemente dal percorso intrapreso, avranno bisogno di integrazione, configurazione e messa a punto per rilevare e rispondere agli incidenti di sicurezza in modo efficace ed efficiente.
SOAR + Intelligenza sulle minacce
L'obiettivo degli strumenti di sicurezza è vedere, collegare e gestire gli incidenti in un unico posto. Sfortunatamente, la raccolta e la correlazione dei dati da tutti questi strumenti disparati può essere estremamente rumorosa.
Comprendere cosa sta succedendo all'interno della propria rete interna richiede automazione e orchestrazione. Ma che dire delle minacce esterne alla rete? È necessario un contesto esterno per correlare e arricchire i dati di rete con l'intelligence sulle minacce, per contribuire alla difesa da potenziali minacce.
Le soluzioni SOAR richiedono una tecnologia come piattaforma di threat intelligence (TIP) che raccoglie, normalizza e correla automaticamente i dati con più fonti di intelligence sulle minacce in modo da poter produrre un singolo feed. Questa capacità di intelligence sulle minacce deve essere parte integrante del processo di automazione per garantire che una piattaforma SOAR utilizzi i dati in modo efficace per eseguire le giuste azioni di risposta.
Sfide SOAR
Come sottolinea Gartner, il principale ostacolo all'adozione della sicurezza SOAR continua a essere la mancanza, o la bassa maturità, di processi e procedure all'interno dei team SOC. Ecco perché è fondamentale avvalersi della consulenza di esperti quando si pianifica l'implementazione di SOAR.
Gartner, Guida di mercato per le soluzioni di orchestrazione, automazione e risposta della sicurezza, 21 settembre 2020