Per affrontare al meglio le problematiche di sicurezza è bene pensare di implementare un modello SOAR, capace di garantire svariati benefici. Ecco quali
Adottare il modello SOAR (Security Orchestration Automation and Response) significa pensare molto più attentamente alla propria sicurezza aziendale, specie in termini di cybersecurity. In Italia è una questione particolarmente urgente, dato che il nostro Paese è il terzo al mondo più colpito da cybercriminali o, più precisamente, più bersagliato da ramsomware. Lo evidenzia Trend Micro Research, considerando i primi due mesi del 2022 e segnalando che i settori più colpiti sono il manifatturiero (comparto in cui l’Italia eccelle in Europa), la Pubblica amministrazione e i servizi finanziari. Secondo alcuni calcoli, ci sono più di 2200 attacchi informatici al giorno. Ciò equivale a circa un attacco informatico ogni 39 secondi. Nel 2020, l’FBI ha ricevuto più di duemila denunce di crimini su Internet al giorno.
Tutto questo si ripercuote su chi opera alla sicurezza aziendale e istituzionale, con i team attivi nei SOC (Security Operations Center), alle prese con un sempre più elevato volume di attacchi e di avvisi. È qui che entra in gioco l’orchestrazione, l’automazione e la risposta alla sicurezza, ovvero SOAR. L’integrazione del modello SOAR nel SOC può aumentare l’efficienza e l’efficacia correlando gli avvisi provenienti da dispositivi diversi, automatizzando le attività e fornendo risposte per la gestione degli incidenti.
Cos’è il modello SOAR
Quando si parla di modello SOAR si intendono tutte quelle tecnologie che permettono alle organizzazioni “di raccogliere gli input monitorati dal team operativo di sicurezza”, specifica Gartner che ha coniato la definizione, nel 2015. All’inizio significava Security Operations, Analytics and Reporting. Successivamente, nel 2017 è stato aggiornato nella forma attuale: Security Orchestration Automation and Response.
Gli strumenti SOAR consentono a un’organizzazione di definire le procedure di analisi e risposta agli incidenti in un formato di flusso di lavoro digitale. Permette agli analisti di rete e di difesa, di compilare i dati relativi alle minacce da varie fonti disparate e di utilizzare tecniche di machine learning per automatizzare le risposte alle minacce di basso livello. SOAR è stato uno dei primi prodotti volti ad alleggerire il carico non solo degli analisti SOC, ma anche di altri professionisti, come gli operatori SIEM (Security Information and Event Management).
Gartner, nel definire le tecnologie SOAR, fornisce come esempio di input monitorati dal team della sicurezza gli avvisi provenienti dal sistema SIEM e da altre tecnologie deputate, “dove l’analisi e il triage degli incidenti possono essere eseguiti sfruttando una combinazione di potenza umana e meccanica, aiutano a definire, dare priorità e guidare le attività di risposta agli incidenti standardizzati.
La stessa società di consulenza strategica, trattando il modello SOAR, identifica quattro “motori” che guidano le piattaforme SOAR. Essi sono il flusso di lavoro e collaborazione, la gestione dei ticket e dei casi, l’orchestrazione e automazione e la gestione dell’intelligence sulle minacce.
![Modello SOAR - Security Orchestration Automation and Response | Immagine tratta dal libro "The Complete Guide to Security Orchestration, Automation and Response (SOAR)" di Varsharani Kallimath e Chetankumar Savalagimath [edito da Happiest Minds: https://www.happiestminds.com/wp-content/uploads/2020/05/SOAR-white-paper_V3.pdf]](https://universeit.blog/web/app/uploads/2022/07/modello-SOAR.png)
Il primo (Workflow and Collaboration) richiede la documentazione dei flussi di lavoro o dei processi, ma una volta configurato, sarà in grado di aiutare i team di sicurezza ad applicare flussi di lavoro dettagliati in modo coerente. Questi flussi di lavoro possono poi essere organizzati e standardizzati in modo che tutti i professionisti, ricevano la loro parte al momento opportuno e con un contesto appropriato.
Ticket and Case Management, ovvero il secondo motore, identifica la capacità del modello SOAR di gestire gli incidenti. Questo motore fornisce ai team adeguate funzionalità per tenere traccia dei casi, documentare i processi, gestire le conoscenze e segnalare i problemi di conformità.
Orchestration and Automation, elementi fondanti del terzo motore, sono collegate in una piattaforma SOAR per portare maggiore efficienza ed efficacia a chi si occupa della security e agli altri utenti.
Infine, il Threat Intelligence Management svolge molte delle stesse funzioni delle normali piattaforme di informazioni sulle minacce, apportando quale vantaggio la connettività di SOAR, che costituisce un moltiplicatore di forze, in quanto consente l’aggregazione, la deduplicazione e la distribuzione di feed di informazioni sulle minacce.
I vantaggi
Adottando il modello SOAR (Security Orchestration Automation and Response) e le relative piattaforme, si può contare su svariati vantaggi per il team aziendale preposto, specie in termini di risposta agli incidenti più efficace ed efficiente.
Un primo vantaggio consiste in tempi di risposta più rapidi: l’orchestrazione della sicurezza aggrega più avvisi correlati provenienti da sistemi diversi in un unico incidente. Per risparmiare ancora più tempo, l’automazione della sicurezza consente al sistema di rispondere agli avvisi senza alcun intervento umano, quando possibile.
Contare su soluzioni SOAR consente di ottimizzare le informazioni sulle minacce, gestendole e correlandole automaticamente agli eventi in tempo reale. In questo modo si alleggerisce il carico di lavoro degli analisti SOC e si forniscono informazioni immediatamente utilizzabili per i team di risposta agli incidenti.
La reportistica e l’analisi delle piattaforme SOAR consolidano rapidamente le informazioni, consentendo di migliorare i processi di gestione dei dati e gli sforzi di risposta per aggiornare le politiche e i programmi di sicurezza esistenti per un’efficacia maggiore.
L’automazione della sicurezza, vale a dire la parte Security Orchestration Automation, consente di ridurre sensibilmente le operazioni manuali e i processi standardizzati, sollevando gli analisti dei centri di sicurezza da compiti banali e ripetitivi.
Ogni elemento di SOAR contribuisce a semplificare le operazioni di sicurezza. Security orchestration aggrega i dati in arrivo da diverse fonti. Security automation, invece, può gestire facilmente gli avvisi e gli incidenti a bassa priorità attraverso l’uso di playbook automatizzati.
Un altro sensibile vantaggio offerto dal modello SOAR e dalle relative tecnologie consiste nella riduzione dell’impatto dei cyber attacchi. Il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR) sono parametri critici che influenzano l’effetto di un cyberattacco su un’organizzazione. Più tempo è necessario per rilevare e rispondere a un attacco, più danni possono essere causati e maggiore è l’impatto sull’organizzazione. SOAR riduce al minimo sia l’MTTD che l’MTTR.
Un esempio di utilità nel contare sull’applicazione del modello SOAR è legato agli attacchi di phishing, che continuano a essere un rischio elevato per le aziende. Poiché continuano ad aumentare, un’organizzazione deve assicurarsi di essere adeguatamente protetta. Una piattaforma SOAR consente ai team di sicurezza di automatizzare il rilevamento e la mitigazione dei tentativi di phishing, risparmiando tempo prezioso ai professionisti dedicati. Può determinare il livello di rischio di ciascuna e-mail conducendo un’analisi completa che comprende l’oggetto, l’e-mail del mittente, i destinatari, il contenuto del messaggio, i link, gli allegati.
Uno dei benefici offerti dall’orchestrazione della sicurezza è facilità di integrare tecnologia e strumenti, offrendo la possibilità di correlare gli avvisi provenienti da un’ampia gamma di prodotti e tecnologie. Infine, ma non certo per ultimo, l’integrazione dei security analyst con gli strumenti SOAR può ridurre i costi, rispetto all’esecuzione manuale di tutte le attività di analisi, rilevamento e risposta alle minacce.
Come implementare un modello Security Orchestration, Automation and Response
Prima di specificare come, è bene partire da una domanda: perché implementare un modello SOAR in una organizzazione privata o pubblica? La risposta passa, ancora una volta, dalle esigenze di sicurezza, specie lato cyber security. Un esempio: nel 2021 si sono verificate 4.145 violazioni divulgate pubblicamente che hanno esposto più di 22 miliardi di dati.
Gli strumenti SOAR sono progettati per integrarsi con i sistemi già presenti. I team di sicurezza dovrebbero iniziare con una documentazione dettagliata del loro flusso di lavoro, per capire davvero dove sono i problemi e cosa si può fare per risolverli. Quando ci si prepara all’implementazione di SOAR, è necessario rivedere i principali casi d’uso che il team vuole automatizzare per decidere come gestire al meglio questa azione.
Detto questo, come si costruisce uno stack tecnologico pianificando le attività di security orchestration automation? Per prima cosa è bene valutare i processi di sicurezza eseguiti con più frequenza. Esaminando ogni processo, ci si dovrebbe porre le seguenti domande: quali sono gli obiettivi generali del processo? I compiti sono ben definiti e ripetibili? Il processo è realizzabile con il team e gli strumenti attuali? Il processo è scalabile?
Quando si comincia a implementare la security orchestration automation and response nel proprio ambiente, si dovrebbe iniziare con i processi che richiedono molto tempo ed eseguire una check list per ottenere risultati rapidi e costruire una base di successo per l’orchestrazione e l’automazione della sicurezza.
Un secondo aspetto da considerare bene riguarda la verifica dell’attuale suite di strumenti di sicurezza. Occorre analizzare e valutare processi automatizzati e manuali, elencandoli e comprendendo come si inseriranno negli obiettivi di automazione. Inoltre è necessario considerare fornitori e strumenti per comprendere lo stato delle API – Application Program Interface, intermediari software che consentono a due applicazioni non correlate di comunicare tra loro.
Un altro punto fondamentale è evidenziare le lacune dell’automazione e gestire le attività non automatizzate. Diversi esperti consigliano anche di passare gradualmente all’automazione. Alcuni aspetti hanno bisogno di un intervento pratico da parte di qualcuno abbastanza esperto da sapere come gestirle.
Il processo è complesso, ma implementare il modello SOAR e le relative soluzioni tecnologiche si rivela capace di migliorare in maniera significativa qualunque realtà aziendale, pubblica o privata.
