Cos'è SOAR (Security orchestration, automation and response)?

Cos'è SOAR (Security orchestration, automation and response)?

SOAR (Security Orchestration, Automation and Response) è una soluzione software che consente ai team di integrare e coordinare strumenti di sicurezza separati, automatizzare le attività ripetitive e semplificare i workflow di risposta agli incidenti e alle minacce.

Nelle grandi organizzazioni, i Security Operations Centers (SOC) si affidano a numerosi strumenti per tenere traccia e rispondere alle minacce informatiche, spesso manualmente. Questa indagine manuale delle minacce comporta tempi di risposta complessivi più lenti.

Le piattaforme SOAR forniscono ai SOC una console centrale in cui possono integrare tali strumenti in workflow ottimizzati per gestire le minacce e automatizzare le attività ripetitive di basso livello all'interno di tali processi. Questa console consente inoltre ai SOC di gestire tutti gli avvisi di sicurezza generati da questi strumenti in un'unica posizione centrale.

Semplificando il triage degli avvisi e assicurando che i diversi strumenti di sicurezza lavorino insieme, SOAR aiuta i SOC a ridurre il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR), migliorando il livello complessivo della sicurezza. Rilevare e rispondere più rapidamente alle minacce per la sicurezza può attenuare l’impatto degli attacchi informatici. Secondo l'ultimo report di Cost of a Data Breach di IBM, un ciclo di vita della violazione dei dati più breve comporta costi inferiori. Le violazioni risolte in meno di 200 giorni sono costate alle aziende in media 1,02 milioni di dollari in meno, con una differenza del 23%.

Come funziona SOAR?

La tecnologia SOAR è nata dal consolidamento di tre strumenti di sicurezza preesistenti. Secondo Gartner, che per prima ha coniato il termine "SOAR" nel 2015, tali piattaforme combinano le funzioni di piattaforme di risposta agli incidenti di sicurezza, piattaforme di orchestrazione, automazione e risposta alla sicurezza e piattaforme di threat intelligence in un'unica offerta.

Per capire come funzionano le soluzioni SOAR moderne, può essere utile suddividerle nelle funzionalità principali: orchestrazione della sicurezza, automazione della sicurezza e risposta agli incidenti.

Orchestrazione della sicurezza

Per "Orchestrazione della sicurezza" si intende il modo in cui le piattaforme SOAR si connettono e coordinano l'hardware e gli strumenti software nel sistema di sicurezza di un'azienda.

I SOC utilizzano varie soluzioni per monitorare e rispondere alle minacce, come firewall, feed di threat intelligence e strumenti di protezione degli endpoint. Anche i semplici processi di sicurezza possono coinvolgere più strumenti. Prendiamo ad esempio un analista della sicurezza intento a esaminare un'e-mail phishing potrebbe aver bisogno di un gateway e-mail sicuro, di una piattaforma di threat intelligence e di un software antivirus per identificare, comprendere e risolvere la minaccia. Questi strumenti spesso provengono da fornitori diversi e possono non integrarsi facilmente, quindi gli analisti devono passare manualmente da uno strumento all'altro mentre lavorano.

Con una soluzione SOAR, le SOC possono unificare questi strumenti in workflow di sicurezza coerenti e ripetibili (SecOps). Le piattaforme SOAR utilizzano le interfacce di application programming interface (API), plugin preconfigurati e integrazioni personalizzate per collegare gli strumenti di sicurezza (e altri che non rientrano nella sicurezza). Una volta integrati questi strumenti, i SOC possono coordinare le loro attività con i playbook.

I playbook sono mappe dei processi che gli analisti della sicurezza possono utilizzare per delineare le fasi dei processi di sicurezza standard come il rilevamento, l'indagine e la risposta alle minacce. I playbook possono comprendere più strumenti e app. Possono essere completamente automatizzati, manuali o una combinazione di entrambi.

automazione della sicurezza

Le soluzioni di sicurezza SOAR possono automatizzare le attività ripetitive e di basso livello, come l'apertura e la chiusura dei ticket di assistenza, l'arricchimento di eventi e la priorità degli avvisi. I SOAR possono anche attivare le azioni automatizzate degli strumenti di sicurezza integrati. Ciò significa che gli analisti della sicurezza possono utilizzare i workflow del playbook per concatenare più strumenti ed eseguire l'automazione delle operazioni di sicurezza più complesse.

Immagina una piattaforma SOAR in grado di automatizzare un'analisi su un laptop compromesso. La segnalazione iniziale di un'anomalia arriva da una soluzione di rilevamento e risposta degli endpoint (EDR), che rileva attività sospette sul laptop. L'EDR invia un avviso al sistema SOAR, che a sua volta attiva un playbook predefinito. Inizialmente, il SOAR apre un ticket per l'incidente e arricchisce l'avviso con dati provenienti da feed di threat intelligence integrati e da altri strumenti di sicurezza. Successivamente, il SOAR esegue azioni di risposta automatica, come l'attivazione di uno strumento di rilevamento e risposta della rete (NDR) per isolare l'endpoint o la richiesta al software antivirus di individuare e eliminare il malware. Infine, il SOAR trasferisce il ticket a un analista di sicurezza, il quale determina se l'incidente è stato risolto o se necessita l'intervento umano.

Alcune piattaforme SOAR includono l'intelligenza artificiale (AI) e il machine learning che analizzano i dati provenienti dagli strumenti di sicurezza e consigliano modi per gestire le minacce in futuro.

Risposta agli incidenti

Le funzionalità di orchestrazione e automazione di SOAR gli consentono di fungere da console centrale per la risposta agli incidenti di sicurezza (IR). Il report Cost of a Data Breach di IBM ha rilevato che le organizzazioni con un team IR e un piano di IR testing hanno identificato le violazioni 54 giorni prima rispetto a quelle che non dispongono di nessuno dei due elementi.

Gli analisti della sicurezza possono utilizzare SOAR per indagare e risolvere gli incidenti senza passare da uno strumento all'altro. Come le piattaforme di threat intelligence, SOAR aggrega metriche e avvisi provenienti da feed esterni e strumenti di sicurezza integrati in una dashboard centrale. Gli analisti possono correlare i dati provenienti da diverse fonti, filtrare i falsi positivi, dare priorità agli avvisi e identificare le minacce specifiche con cui hanno a che fare. Gli analisti possono quindi rispondere attivando il playbook appropriato.

I SOC possono anche utilizzare gli strumenti SOAR per gli audit post-incidente e per processi di sicurezza più proattivi. I dashboard SOAR possono aiutare i team addetti alla sicurezza a comprendere in che modo una particolare minaccia ha violato la rete e come prevenire minacce simili in futuro. Analogamente, i team possono utilizzare i dati SOAR per identificare le minacce in corso passate inosservate e indirizzare efficacemente i loro sforzi di rilevamento delle minacce nelle aree giuste.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Benefici del SOAR

Integrando gli strumenti di sicurezza e automatizzando le attività, le piattaforme SOAR possono semplificare i workflow comuni per la sicurezza come il case management, la gestione delle vulnerabilità e la risposta agli incidenti. I benefici di questa semplificazione includono:

Elaborazione di un maggior numero di avvisi in meno tempo

I SOC potrebbero dover gestire centinaia o migliaia di avvisi di sicurezza ogni giorno. Ciò può portare a stress da avvisi e gli analisti potrebbero perdere importanti segnali di attività di minaccia. I SOAR possono rendere gli avvisi più gestibili centralizzando i dati di sicurezza, arricchendo gli eventi e automatizzando le risposte. Di conseguenza, i SoC possono elaborare un maggior numero di avvisi, riducendo i tempi di risposta.
Piani di risposta agli incidenti più coerenti

I SOC possono utilizzare i playbook SOAR per definire workflow di risposta agli incidenti standard e scalabili per le minacce comuni. Invece di affrontare le minacce caso per caso, gli analisti della sicurezza possono attivare il playbook appropriato per una correzione efficace.
Miglioramento del processo decisionale SOC

I SOC possono utilizzare le dashboard SOAR per ottenere insight dettagliati sulle proprie reti e sulle minacce che devono affrontare. Queste informazioni possono aiutare i SOC a individuare i falsi positivi, a dare una migliore priorità agli avvisi e a selezionare i processi di risposta corretti.
Miglioramento della collaborazione SOC

I SOAR centralizzano i dati di sicurezza e i processi di risposta agli incidenti in modo che gli analisti possano collaborare alle indagini. I SOAR possono anche consentire ai SOC di condividere le metriche di sicurezza con parti esterne, come le risorse umane, l'ufficio legale e le forze dell'ordine.
Mixture of Experts | 28 agosto, episodio 70

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda gli ultimi episodi del podcast

SOAR, SIEM e XDR

Gli strumenti SOAR, SIEM e XDR condividono alcune funzioni principali, ma ognuno ha caratteristiche e casi d'uso unici.

Le soluzioni di gestione delle informazioni di sicurezza e degli eventi (SIEM) raccolgono informazioni da strumenti di sicurezza interni, le aggregano in un registro centrale e segnalano le anomalie. Gli SII vengono utilizzati principalmente per registrare e gestire grandi volumi di dati degli eventi di sicurezza.

La tecnologia SIEM è emersa per la prima volta come strumento di reporting della conformità. I SOC hanno adottato SIEM quando si sono resi conto che questi dati potevano fornire informazioni per le operazioni di cybersecurity. Le soluzioni SOAR sono nate per implementare le funzionalità orientate alla sicurezza che mancano alla maggior parte delle soluzioni SIEM standard, come orchestrazione, automazione e funzioni di console.

Le soluzioni di rilevamento e risposta estesa (XDR) raccolgono e analizzano i dati di sicurezza provenienti da endpoint, reti e cloud. Come nel caso di SOAR, possono rispondere automaticamente agli incidenti di sicurezza. Tuttavia, le soluzioni XDR sono in grado di gestire automazioni di risposta agli incidenti più complesse e complete. XDR può, inoltre, semplificare le integrazioni di sicurezza e, nella maggior parte dei casi, richiede meno competenze o spese rispetto alle integrazioni SOAR. Alcune soluzioni XDR sono pre-integrate per vendor specifici, mentre altre possono collegare strumenti di sicurezza di più vendor. La tecnologia XDR è spesso utilizzata per il rilevamento delle minacce in tempo reale, il triage degli incidenti e la ricerca automatica delle minacce.

I team SecOps nelle grandi aziende spesso utilizzano tutti questi strumenti insieme. Tuttavia, i provider stanno sfumando i confini tra di loro, implementando soluzioni SIEM in grado di rispondere alle minacce e XDR con una registrazione dei dati simile a SIEM. Alcuni esperti di sicurezza ritengono che XDR un giorno potrebbe assorbire gli altri strumenti, in modo analogo a come SOAR ha incorporato i suoi predecessori.
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Prossimi passi

    Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

     

         Esplora le soluzioni di rilevamento delle minacce Esplora IBM Verify