Il tema del Security Orchestration and Automation Response (SOAR) è particolarmente caldo nel mondo della cybersecurity a causa del senso di sopraffazione che attualmente affligge la maggior parte dei team di sicurezza (79%). Il volume degli avvisi di minaccia, molti dei quali sono falsi positivi, sta inondando i team SecOps. E se la velocità del business porta a una superficie di attacco in continua espansione, gli aggressori diventano più attivi e le risorse ancora più scarse.
Cos’è il SOAR?
Quindi, cos’è e cosa fa il SOAR? In parole semplici, il SOAR permette a un’organizzazione di creare un processo di lavoro digitale che identifica gli avvisi critici e implementa procedure di risposta automatizzate. Può essere enormemente utile per bypassare la latenza umana, rimuovendo immediatamente un’e-mail dannosa dalla casella di posta di tutti i riceventi o sospendendo l’accesso a una risorsa quando questa si comporta in modo sospetto.
Il SOAR automatizza e di fatto elimina i compiti banali e di basso livello, permettendo al personale di concentrarsi su questioni più importanti e a valore aggiunto, migliorando anche il tempo di azione e la coerenza della risposta. Il vantaggio che offre alle organizzazioni appare quindi evidente, perché quindi la sua adozione è ancora limitata?
Le considerazioni necessarie quando si intraprende un percorso SOAR
Qualsiasi progetto SOAR deve iniziare con una domanda fondamentale: dovremmo automatizzare? Non tutti i processi sono sufficientemente routinari, prevedibili, compresi e documentati per essere candidati all’automazione. Il processo deve anche essere ad alta intensità di tempo per massimizzare il valore.
I team IT hanno imparato a loro spese il rischio di esternalizzare dei processi che non si sono compresi appieno. Il SOAR può condurre le aziende lungo lo stesso percorso di difficoltà. Molti processi di sicurezza sono difficili da contenere all’interno di un processo lineare definito e richiedono l’intuizione umana per funzionare. Tuttavia, i vantaggi del SOAR sono innegabili, quindi si tratta di un viaggio che potrebbe valere la pena intraprendere…
Considerare questi cinque elementi può aumentare le possibilità di successo:
- Investire nella qualità dei dati prima dell’automazione
È essenziale assicurarsi che i processi che si intendono automatizzare siano ben compresi, documentati e ripetibili, anche per i casi limite. E ci si deve assicurare che tutti i dati necessari per guidare la logica e il flusso di lavoro siano disponibili e, cosa più importante, accurati. Quante volte sono stati creati report sulla sicurezza alla fine inutilizzabili a causa di un errore IT, un cambiamento recente o qualche specifico alert su una parte di quei dati. Questo non può accadere se si sta progettando di automatizzare l’azione su quei dati. Quindi, è necessario coinvolgete il dipartimento IT fin dall’inizio e assicurarsi che siano soddisfatti al 100% dei feed di dati.
- Capire che anche i robot hanno bisogno di proprietari
La tecnologia, il flusso di lavoro aziendale e le tecniche di attacco cambieranno nel tempo. Ogni processo automatizzato richiederà un proprietario o un guardiano per garantire che l’ambiente che cambia non infranga quel processo o che un nuovo vettore di attacco non lo renda ridondante.
- Costruire la fiducia nel processo
Per molti anni i sistemi di prevenzione delle intrusioni sono stati lasciati in modalità di solo rilevamento, poiché le aziende non avevano la fiducia necessaria per consentire a questi strumenti di essere proattivi. Si tratta di una sfida che esiste ancora, quindi è consigliabile procedere lentamente con SOAR, abilitando la funzionalità in modo graduale e coinvolgendo gli utenti aziendali rilevanti nel viaggio. Ugualmente necessario è assicurarsi che ogni potenziale impatto aziendale, sia positivo che negativo, sia identificato e concordato con le unità aziendali interessate, ricordando anche che i processi automatizzati possono ancora essere interattivi. Quindi, si può considerare di includere un processo di revisione umana attraverso la messaggistica o un sistema di ticketing per abilitare l’azione finché non si sia instaurata la dovuta fiducia.
- Ridurre il rumore di fondo
I primi passi nell’automazione dovrebbero concentrarsi sulla riduzione del volume di problemi che un SOC (Security Operation Center) deve gestire. La posta elettronica è responsabile della maggior parte degli attacchi informatici, e quindi è un ottimo punto di partenza. Si può cercare di limitare il numero di attacchi che passano attraverso l’analisi e il filtraggio, e poi automatizzare la verifica e il rimedio di tutte le minacce che gli utenti individuano nelle loro caselle di posta. Inoltre, identificare quali sistemi creano gli avvisi più consistenti, eliminando il lavoro a basso valore per permettere alle risorse di concentrarsi sui problemi più importanti e impegnativi.
- Diventare proattivi
Una volta mitigati gli avvisi di basso livello, è il momento di dare la priorità alle opportunità affinché il SOAR possa diventare un cacciatore di minacce proattivo, cercando e reagendo ai segnali di comportamenti sospetti – ad esempio, chiudendo i thread di processo dubbi, mettendo in quarantena gli endpoint o favorendo un’autenticazione utente aggiuntiva. I processi manuali esistenti, come le informazioni sulle minacce, possono essere arricchiti automatizzando la raccolta e la presentazione di informazioni supplementari, in modo che i membri del team SOC ricevano tutto in un unico pacchetto e non debbano perdere tempo a cercare.
Affrontare il percorso SOAR basandosi su strumenti conosciuti
L’implementazione del SOAR può richiedere un investimento significativo di tempo e fondi, e le organizzazioni che ne possono beneficiare spesso hanno poco di entrambi.
Quindi, ecco un suggerimento per il successo di SOAR: esaminare la possibilità di trarre vantaggio dalle funzionalità di automazione di strumenti e fornitori esistenti. Si vedranno già i primi vantaggi, e si potrà investire il tempo risparmiato in un’iniziativa SOAR più ampia.
I servizi gestiti possono alleviare parte della pressione delle risorse senza strumenti; tuttavia, spesso mantengono la “latenza umana” che l’automazione guidata da un SOAR può rimuovere. Detto questo, il SOAR non va concepito come una sostituzione del personale, ma piuttosto come un moltiplicatore di forza per i team che si occupano di gestire la security aziendale in prima linea.