Nel contesto della sicurezza informatica, SOAR è l'acronimo di Security Orchestration, Automation, and Response, ovvero di Orchestrazione, Automazione e Risposta per la Sicurezza. Include tutte le applicazioni software o gli strumenti necessari a un'azienda per raccogliere e analizzare i dati correlati alla sicurezza informatica.
Che cos'è una piattaforma SOAR e come funziona?
I sistemi SOAR consentono alle aziende di utilizzare vari strumenti e funzionalità al fine di sfruttare tutti i dati di sicurezza informatica disponibili per ottimizzare la risposta agli incidenti.
Le principali funzioni svolte da un sistema SOAR sono le seguenti:
Orchestrazione
L'orchestrazione della sicurezza accelera e migliora la risposta agli incidenti, integrando e analizzando i dati forniti da diverse tecnologie e strumenti di sicurezza. L'orchestrazione prevede inoltre il coordinamento delle diverse tecnologie di sicurezza informatica, per consentire alle aziende di gestire anche gli incidenti di sicurezza informatica più complessi. Ad esempio, uno strumento SOAR può confrontare i dati delle operazioni di sicurezza IT sfruttando i dati generati dagli strumenti di monitoraggio della rete come baseline per le regole del firewall.
Automazione
Una delle funzioni più importanti di qualunque strumento SOAR è l'automazione, che elimina le lunghe e complesse operazioni manuali necessarie per rilevare e rispondere agli incidenti di sicurezza. Ad esempio, i sistemi SOAR possono eseguire automaticamente il triage di determinati tipi di eventi per consentire ai team di sicurezza di definire procedure standard automatizzate, come i workflow decisionali, i controlli di integrità, l'applicazione forzata, il contenimento e l'audit.
Risposta
Le piattaforme SOAR raccolgono dati da altri strumenti di sicurezza, come i sistemi SIEM (Security Information and Event Management) e i feed di Threat Intelligence, assegnano le priorità agli eventi di sicurezza e inviano le informazioni chiave sull'incidente di sicurezza al personale incaricato.
Gestione dei casi
La gestione dei casi è un aspetto essenziale di qualunque piattaforma SOAR. Le funzionalità di gestione dei casi consentono agli analisti della sicurezza di accedere ai record dei singoli casi, in modo da poter analizzare e interagire dinamicamente con tutti i dati relativi a un determinato incidente e utilizzare tale analisi per migliorare e iterare i processi di risposta alla sicurezza.
Dashboard
La dashboard di uno strumento SOAR fornisce una panoramica di tutti gli elementi correlati ai quattro punti precedenti, ovvero tutti i dati e le attività correlati alla sicurezza, inclusi gli eventi di rilievo con la relativa gravità, i playbook, le connessioni con gli altri strumenti e workload di sicurezza, oltre a una sintesi del ritorno sull'investimento generato dalle attività automatizzate. In genere, una dashboard SOAR può essere filtrata in base al periodo di tempo, all'origine dati o all'utente. I widget possono essere attivati o disattivati e riorganizzati in base alle proprie esigenze specifiche. In pratica, si tratta di un hub centrale per il monitoraggio di tutte le attività del sistema SOAR e della relativa efficacia.
Come fa una soluzione SOAR a identificare le minacce?
I sistemi SOAR cercano e raccolgono i dati da una vasta gamma di origini e utilizzano una combinazione di intelligenza umana e machine learning per analizzarli allo scopo di rilevare le minacce potenziali e assegnare le priorità ai piani e alle operazioni di risposta agli incidenti. Molte aziende automatizzano il sistema SOAR affinché supporti la sicurezza informatica in modo più efficiente.
Origini dati SOAR
I sistemi SOAR estraggono e analizzano i dati di varie origini, tra cui:
- Scanner di vulnerabilità, programmi informatici concepiti per valutare le carenze di sicurezza nei computer, nelle reti o nelle applicazioni.
- Software di protezione degli endpoint, che protegge gli endpoint aziendali, come i server e i PC, da infezioni malware, attacchi informatici e altre minacce.
- Firewall, sistemi di protezione della rete che monitorano e controllano il traffico in entrata e in uscita dalla rete basandosi su regole di sicurezza predeterminate.
- Sistemi di rilevamento e prevenzione delle intrusioni, strumenti di sicurezza della rete che monitorano continuativamente le reti per rilevare le attività nocive e adottare le misure necessarie per prevenirle.
- Piattaforme SIEM (Security Information and Event Management), che aggregano i dati di log, gli avvisi di sicurezza e gli eventi in una piattaforma centralizzata per condurre analisi in tempo reale per il monitoraggio e gli avvisi di sicurezza.
- Feed di threat intelligence esterni, che includono tutti i dati sfruttabili sulle minacce raccolti dai vendor esterni allo scopo di aumentare la consapevolezza delle minacce informatiche e la relativa risposta.
I numerosi vantaggi dei sistemi SOAR
I sistemi SOAR offrono due vantaggi principali, che aumentano l'efficacia e l'efficienza della risposta agli incidenti:
- Risposta più rapida agli incidenti: i sistemi SOAR aiutano le aziende a ridurre il Tempo medio di rilevamento (MTTD, Mean Time To Detect) e il Tempo medio di restore (MTTR, Mean Time To Restore), accelerando la classificazione degli avvisi di sicurezza e riducendo i tempi di correzione da settimane a minuti. Le piattaforme SOAR consentono inoltre di automatizzare la risposta agli incidenti tramite procedure note come playbook. Questa automazione permette ad esempio di bloccare indirizzi IP su un firewall o un sistema IDS, sospendere gli account utente e mettere in quarantena gli endpoint di rete infetti.
- Miglioramento dell'intelligence di sicurezza informatica: grazie alla capacità di aggregare e analizzare dati provenienti da moltissime origini diverse, i sistemi SOAR migliorano il contesto per ogni tipo di minaccia alla sicurezza informatica e riducono i falsi allarmi, alleggerendo di gran lunga il carico di lavoro dei team di sicurezza, che così possono intervenire molto più rapidamente.
Confronto tra SOAR e SIEM
I sistemi SOAR e SIEM sono entrambi concepiti per gestire i dati relativi alle minacce alla sicurezza e garantiscono una risposta molto più efficace agli incidenti.
Ma mentre un sistema SIEM si limita all'aggregazione e alla correlazione di dati provenienti da vari sistemi di sicurezza allo scopo di generare gli avvisi, una piattaforma SOAR fornisce anche un motore di correzione e risposta a tali avvisi.
Facendo ad esempio un paragone con le auto, SIEM è il carburante che alimenta il motore, mentre SOAR è il motore stesso, perché utilizza quel carburante per fornire risultati e azioni, oltre che per consentire l'esecuzione automatica di tutte le operazioni necessarie.
Aspetti da considerare per la scelta di uno strumento SOAR
Qualunque strumento SOAR in uso deve essere in grado di:
- Acquisire e analizzare i dati e gli avvisi generati da sistemi di sicurezza diversi.
- Definire e automatizzare workflow che consentono alle aziende di identificare, assegnare le priorità, analizzare e rispondere alle minacce e agli avvisi di sicurezza informatica.
- Integrarsi agevolmente con altri strumenti al fine di migliorare le operazioni.
- Eseguire un'analisi dopo gli incidenti, per migliorare i processi di risposta agli incidenti e la relativa efficienza.
- Automatizzare la maggior parte delle operazioni di sicurezza, in modo da eliminare le ridondanze e consentire ai team di sicurezza di concentrarsi sulle attività che richiedono un intervento umano.
Naturalmente, un sistema SOAR può offrire molte altre caratteristiche e funzioni, ma quelle elencate sopra non devono mai mancare.
Esempi reali di utilizzo dei sistemi SOAR: risposta agli attacchi di phishing
Oltre a costituire una grave minaccia per i singoli utenti, i messaggi e-mail di phishing rappresentano un pericolo anche per i team di sicurezza, poiché a volte sono talmente credibili da consentire violazioni dei dati di alto profilo. Un sistema SOAR permette alle aziende di difendersi dagli attacchi di phishing, ma anche di prevenirli in futuro.
Uno strumento SOAR esamina i messaggi e-mail sospetti estraendo e analizzando diversi elementi, come le informazioni dell'intestazione, gli indirizzi e-mail, gli URL e gli allegati. Esegue quindi il triage della minaccia per determinare se il messaggio è effettivamente un pericolo e, in tal caso, ne determina la gravità.
Se lo strumento SOAR determina che l'e-mail è dannosa, si comporta come segue:
- La blocca nella tua casella di posta e in quelle di tutti gli altri utenti.
- Impedisce l'avvio di tutti i programmi eseguibili correlati all'e-mail.
- Blocca gli URL o gli indirizzi IP di origine.
- Se necessario, mette in quarantena la workstation dell'utente interessato.
Naturalmente, i sistemi SOAR non garantiscono l'identificazione e il blocco del 100% dei messaggi e-mail di phishing. Se uno di questi messaggi riesce a sfuggire al rilevamento, le funzionalità di gestione dei casi consentono ai team di sicurezza di analizzare l'accaduto con le relative cause, per poi sfruttare le conoscenze acquisite al fine di migliorare il rilevamento delle minacce future da parte dei sistemi SOAR.
SOAR: in sintesi
I sistemi SOAR riducono da ore a minuti i tempi di indagine e risposta. Permettono inoltre di ridurre notevolmente i rischi per l'azienda, sfruttando informazioni di altissima qualità sulle minacce per semplificare le operazioni di sicurezza. Sostanzialmente, consentono un'allocazione più strategica dell'intelligenza e degli analisti umani, permettendo alle aziende di ottenere il massimo dalle risorse interne e al tempo stesso ridurre al minimo le minacce esterne.