Cos'è l'automazione della sicurezza?

Incorporando l'automazione in ogni fase del ciclo di vita della sicurezza, dalla scansione delle vulnerabilità all'applicazione dei controlli di accesso basati sull'identità, le organizzazioni possono ridurre i tempi di risposta e rafforzare la loro posizione generale di sicurezza e governance.

L'automazione di attività ripetitive e dispendiose in termini di tempo, come il blocco di domini ostili, la scansione dei segreti esposti e l'indagine sulle minacce più comuni, aiuta i team a rispondere alle minacce più rapidamente e con maggiore precisione. I team di sicurezza possono ridurre lo stress da avvisi concentrandosi su iniziative più strategiche come il rilevamento proattivo delle minacce e l'ottimizzazione delle politiche.

Secondo il Report Cost of a Data Breach di IBM®, le organizzazioni che utilizzano l'automazione possono ridurre in media i tempi di violazione di 80 giorni e ridurre i costi medi di violazione di 1,9 milioni di USD.

Solitamente, le organizzazioni distribuiscono diverse piattaforme di automazione della sicurezza che lavorano insieme per fornire visibilità, orchestrazione e protezione continua in ambienti ibridi.

Le implementazioni moderne integrano sempre più queste soluzioni di automazione della sicurezza con framework policy as code e funzionalità di scansione segrete.

La policy as code aiuta a far rispettare standard coerenti di sicurezza e conformità in ambienti ibridi, mentre la scansione segreta identifica le credenziali esposte nelle prime fasi delle pipeline di sviluppo. Queste pratiche sono in linea con i più generali principi di security lifecycle management, che pongono l'accento sulla protezione, ispezione e governo degli asset durante tutta la loro durata.

1.  Un utente accede da una posizione insolita.  
   
   
2. L'EDR esegue una ricerca di geolocalizzazione sull'indirizzo IP e passa i risultati alla piattaforma SOAR.  
   
   
3. La piattaforma SOAR esegue un playbook per convalidare l'identità e l'autenticazione dell'utente.
   
   
4. Il SIEM registra l'incidente per verificarne la conformità.

I workflow di automazione della sicurezza seguono generalmente quattro fasi principali: creazione di playbook di risposta, rilevamento e analisi delle minacce, risposta automatica e documentazione degli incidenti. 

Piattaforme come XDR e i SIEM di nuova generazione possono gestire molteplici fasi all'interno di questo workflow, ma raramente coprono tutto. Di solito, le organizzazioni implementano piuttosto diversi strumenti core che condividono i dati attraverso application programming interface (API) e dashboard integrate all'interno dell'ambiente IT. 

Sempre più spesso, le organizzazioni progettano workflow di automazione che supportano un ciclo di vita completo della sicurezza, che va dalla configurazione iniziale alla rotazione delle credenziali e alla dismissione.

Alcuni team integrano anche la scansione segreta nelle loro pipeline per rilevare le credenziali esposte o le chiavi API nelle prime fasi del processo di sviluppo, affrontando le vulnerabilità prima che raggiungano la produzione.

Una tipica implementazione di automazione della sicurezza potrebbe combinare: 

• SOAR per orchestrare workflow e playbook tra i sistemi. 
   
• EDR per rilevare e rispondere alle minacce agli endpoint in tempo reale. 
   
  
• SIEM per raccogliere log per la conformità.
  
  
• XDR per coordinare le risposte su cloud, rete e endpoint.  

Con la crescente diffusione di pipeline basate su AI e machine learning (ML), mantenere una corretta igiene dei segreti è essenziale. Le credenziali o i token possono essere assorbiti involontariamente nei set di dati di addestramento dei modelli, creando nuovi rischi di esposizione.

I playbook sono mappe di processo che delineano i processi standard di sicurezza come il rilevamento delle minacce, l'indagine e la risposta agli incidenti. I playbook possono abbracciare molteplici strumenti, app e firewall all'interno dell'infrastruttura di sicurezza di un'organizzazione, sostituendo i processi manuali con workflow automatizzati.

Possono variare da completamente automatizzati (bloccando gli IP noti come dannosi) a semiautomatici (richiedendo l'approvazione umana prima di disconnettere i sistemi critici). Le piattaforme SOAR spesso eccellono nell'esecuzione di playbook complessi che automatizzano le attività su più strumenti.

In un ambiente automatizzato, i playbook definiscono workflow che concatenano più strumenti di sicurezza per eseguire operazioni complesse. I team stabiliscono politiche di sicurezza che danno priorità all'urgenza delle minacce e definiscono risposte automatizzate per ogni tipo di incidente. 

L'automazione della sicurezza utilizza quattro approcci principali per il rilevamento delle minacce in un panorama in evoluzione:

1. Basato sulla firma, che segnala gli hash di file ostili noti e gli indirizzi IP.
   
   
2. Basato sulle anomalie, che rileva le deviazioni dai modelli previsti.
   
   
3. Basato sul comportamento, che identifica attività insolite rispetto alle tendenze nel tempo. 
   
   
4. Basato sull'intelligence, che integra i feed di threat intelligence esterni. 

Diversi strumenti di automazione della sicurezza possono rilevare minacce diverse, concentrandosi su aspetti diversi di un sistema:  

• Il rilevamento e risposta degli endpoint (EDR) monitora gli endpoint per processi sospetti, modifiche ai file e modifiche al registro.
  
  
• Il rilevamento e la risposta della rete analizza i modelli di traffico di rete per identificare le minacce senza fare affidamento sulle firme.
  
  
• Il rilevamento e la risposta alle minacce d'identità (ITDR) traccia i modelli di autenticazione degli utenti e le escalation dei privilegi. 
  
  
• Il rilevamento e risposta dei dati (DDR) monitora i dati in ambienti on-premise, cloud e multicloud.

Le organizzazioni scelgono strumenti di automazione della sicurezza in base alle esigenze aziendali e al livello di rischio per ottimizzare il loro livello di sicurezza. Un'azienda che gestisce dati sensibili potrebbe implementare l'ITDR per proteggere da attacchi di phishing o integrare la scansione segreta per ridurre il rischio di esposizione delle credenziali.   

Le organizzazioni più grandi potrebbero aggiungere XDR per eseguire attività di sicurezza più complete come eliminare i falsi positivi, coordinare le risposte e mantenere una protezione coerente su tutta la superficie di attacco.

L'integrazione di policy as code in questi sistemi aiuta a garantire che le azioni di risposta, come il blocco del traffico, la revoca dell'accesso o l'applicazione della crittografia, siano applicate in modo coerente e automatico in tutto l'ambiente.

Quando le minacce vengono identificate, i team di sicurezza automatizzano la risposta agli incidenti di sicurezza: il processo per contenere e risolvere le violazioni di sicurezza. 

I sistemi automatizzati gestiscono gli incidenti in base alle priorità del playbook. L'automazione della sicurezza intraprende quindi azioni di correzione come bloccare domini, implementare patch, aggiornare software antivirus, scansionare malware, rieseguire la crittografia dei dati e modificare i privilegi di accesso degli utenti. 

Diversi tipi di piattaforme possono automatizzare diversi aspetti della risposta agli incidenti. Le piattaforme XDR generalmente offrono le capacità di risposta più complete: disconnettere i dispositivi coinvolti, disconnettere gli utenti dalla rete, fermare i processi e disattivare le fonti dati. 

Le organizzazioni senza un centro operativo di sicurezza (SOC) pienamente operativo possono utilizzare provider di rilevamento e risposta gestiti (MDR) per monitorare, rilevare e rispondere alle minacce in tempo reale utilizzando personale SOC esterno.  

A seconda della posizione e del settore, le organizzazioni possono essere soggette a leggi o regolamenti che richiedono una registrazione e documentazione specifiche degli incidenti di sicurezza. L'automazione della sicurezza può aiutare a semplificare questo processo.

Il Payment Card Industry Data Security Standard (PCI-DSS), il regolamento generale sulla protezione dei dati (RGPD), l'Health Insurance Portability and Accountability Act (HIPAA) e il Sarbanes-Oxley (SOX) Act sono solo alcuni degli standard che le organizzazioni potrebbero dover prendere in considerazione.

Sebbene i sistemi SIEM siano diventati strumenti di automazione della sicurezza di uso generale, il loro scopo originario era il monitoraggio dei dati di sicurezza per motivi di conformità. La segnalazione automatizzata può aiutare a ridurre le risorse necessarie per la conformità normativa e a mitigare il rischio di errori umani.

Gli strumenti di documentazione possono anche aiutare ad aggregare i dati per gli strumenti di AI e machine learning (ML) che eseguono il rilevamento delle minacce basato sulle anomalie. Ad esempio, durante una violazione dei dati, il SIEM potrebbe registrare utente, ora e indirizzo IP, memorizzando queste informazioni in un data lake per ulteriori analisi. Può quindi essere utilizzato per perfezionare le regole di rilevamento esistenti o implementarne di nuove. 

Le organizzazioni che avanzano nella loro preparazione agli audit utilizzano sempre più spesso la policy as code per tradurre le regole di conformità in guardrail automatizzati. Con questo approccio, le politiche scritte, implementate e gestite in codice aiutano a garantire che l'infrastruttura sia sempre conforme di default e forniscono tracce di audit controllate in versione per l'applicazione delle politiche.

Gli strumenti di automazione rilevano e rispondono alle minacce, aiutando a ottimizzare il rilevamento delle minacce, la gestione delle vulnerabilità e il punteggio del rischio, elementi chiave della cybersecurity organizzativa.  

L'automazione della sicurezza può aiutare a trasformare il rilevamento delle minacce da un processo manuale e dispendioso in termini di tempo a un'operazione continua e scalabile. Invece di esaminare manualmente i registri di dozzine di sistemi, gli strumenti automatici possono analizzare continuamente milioni di eventi, segnalando le anomalie che richiedono l'intervento umano.  

Ad esempio, un NDR può confrontare il comportamento attuale della rete con i modelli storici e individuare deviazioni sottili che potrebbero indicare una minaccia persistente avanzata. Questo confronto può ridurre i tempi di indagine da giorni a ore. Gli strumenti di automazione della sicurezza possono anche migliorare le funzionalità di rilevamento delle minacce di un SOC automatizzando i workload e lasciando più tempo ai membri del team di sicurezza per indagare personalmente sulle minacce informatiche. 

La gestione delle vulnerabilità, il processo di continua scoperta e risoluzione delle vulnerabilità di sicurezza nell'infrastruttura di un'organizzazione, può beneficiare dell'automazione. 

Il software di scansione delle vulnerabilità valuta automaticamente i sistemi di sicurezza alla ricerca di difetti o punti deboli. Gli scanner spesso si integrano con strumenti di automazione della sicurezza come SIEM ed EDR per dare priorità alla correzione.

Ad esempio, quando uno scanner identifica un dispositivo sconosciuto che accede all'intranet, può trasmettere quell'informazione all'EDR, che esegue un playbook per disconnettere il dispositivo in attesa dell'autenticazione. 

Molte piattaforme scaricano e testano automaticamente le patch. Mentre le piattaforme di rilevamento e risposta degli endpoint (EDR) implementano automaticamente nuove patch, i sistemi unified endpoint management (UEM) possono aiutare a garantire che raggiungano e installino sui dispositivi utente. 

Le pratiche avanzate includono anche l'igiene delle credenziali, come la rotazione automatica di token e chiavi, che può ridurre l'esposizione dei segreti e supportare il cloud ibrido e la scalabilità multicloud e cloud.

L'automazione migliora il punteggio del rischio assegnando valori numerici a minacce e vulnerabilità. 

I SIEM raccolgono enormi quantità di dati che possono aiutare i team di sicurezza a determinare i punteggi di rischio utilizzando algoritmi di machine learning per identificare gli eventi più strettamente associati alle violazioni. Questi punteggi possono integrarsi nelle dashboard SOAR per aiutare gli strumenti e gli utenti a dare priorità alle minacce. 

Il punteggio di rischio è un esempio di un'area in cui l'automazione è complementare, non totale. Il giudizio umano rimane spesso essenziale affinché il processo decisionale allinei i punteggi alle priorità di sicurezza organizzativa.