SOAR (Security Orchestration, Automation and Response), in italiano, l'orchestrazione, l'automazione e la risposta alla sicurezza, è una soluzione software che consente ai team di integrare e coordinare strumenti di sicurezza separati, automatizzare le attività ripetitive e semplificare i workflow di risposta agli incidenti e alle minacce.
Nelle grandi organizzazioni, i Security Operations Centers (SOC) si affidano a numerosi strumenti per tenere traccia e rispondere alle minacce informatiche, spesso manualmente.
Le piattaforme SOAR forniscono ai SOC una console centrale in cui possono integrare tali strumenti in workflow ottimizzati per gestire le minacce e automatizzare le attività ripetitive di basso livello all'interno di tali processi. Questa console consente inoltre ai SOC di gestire tutti gli avvisi di sicurezza generati da questi strumenti in un'unica posizione centrale.
Semplificando il triage degli avvisi e assicurando che i diversi strumenti di sicurezza lavorino insieme, le SOAR aiutano i SOC a ridurre il tempo medio di rilevamento (MTTD) e il tempo medio di risposta (MTTR), migliorando il livello complessivo della sicurezza. Rilevare e rispondere più rapidamente alle minacce per la sicurezza può attenuare l’impatto degli attacchi informatici. Secondo l'ultimo report di Cost of a Data Breach di IBM, un ciclo di vita della violazione dei dati più breve comporta costi inferiori. Le violazioni risolte in meno di 200 giorni sono costate alle aziende in media 1,02 milioni di dollari in meno, con una differenza del 23%.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
La tecnologia SOAR è nata dal consolidamento di tre strumenti di sicurezza preesistenti. Secondo Gartner, che per prima ha coniato il termine "SOAR" nel 2015, tali piattaforme combinano le funzioni di piattaforme di risposta agli incidenti di sicurezza, piattaforme di orchestrazione, automazione e risposta alla sicurezza e piattaforme di threat intelligence in un'unica offerta.
Per capire come funzionano le soluzioni SOAR moderne, può essere utile suddividerle nelle funzionalità principali: orchestrazione della sicurezza, automazione della sicurezza e risposta agli incidenti.
Per "Orchestrazione della sicurezza" si intende il modo in cui le piattaforme SOAR si connettono e coordinano l'hardware e gli strumenti software nel sistema di sicurezza di un'azienda.
I SOC utilizzano varie soluzioni per monitorare e rispondere alle minacce, come firewall, feed di threat intelligence e strumenti di protezione degli endpoint. Anche i semplici processi di sicurezza possono coinvolgere più strumenti. Prendiamo ad esempio un analista della sicurezza intento a esaminare un'e-mail phishing potrebbe aver bisogno di un gateway e-mail sicuro, di una piattaforma di threat intelligence e di un software antivirus per identificare, comprendere e risolvere la minaccia. Questi strumenti spesso provengono da fornitori diversi e possono non integrarsi facilmente, quindi gli analisti devono passare manualmente da uno strumento all'altro mentre lavorano.
Con una soluzione SOAR, le SOC possono unificare questi strumenti in workflow di sicurezza coerenti e ripetibili (SecOps). Le piattaforme SOAR utilizzano le interfacce di application programming interface (API), plugin preconfigurati e integrazioni personalizzate per collegare gli strumenti di sicurezza (e altri che non rientrano nella sicurezza). Una volta integrati questi strumenti, i SOC possono coordinare le loro attività con i playbook.
I playbook sono mappe dei processi che gli analisti della sicurezza possono utilizzare per delineare le fasi dei processi di sicurezza standard come il rilevamento, l'indagine e la risposta alle minacce. I playbook possono comprendere più strumenti e app. Possono essere completamente automatizzati, manuali o una combinazione di entrambi.
Le soluzioni di sicurezza SOAR possono automatizzare le attività ripetitive e di basso livello, come l'apertura e la chiusura dei ticket di assistenza, l'arricchimento di eventi e la priorità degli avvisi. I SOAR possono anche attivare le azioni automatizzate degli strumenti di sicurezza integrati. Ciò significa che gli analisti della sicurezza possono utilizzare i workflow del playbook per concatenare più strumenti ed eseguire l'automazione delle operazioni di sicurezza più complesse.
Immagina una piattaforma SOAR in grado di automatizzare un'analisi su un laptop compromesso. La segnalazione iniziale di un'anomalia arriva da una soluzione di rilevamento e risposta degli endpoint (EDR), che rileva attività sospette sul laptop. L'EDR invia un avviso al sistema SOAR, che a sua volta attiva un playbook predefinito. Inizialmente, il SOAR apre un ticket per l'incidente e arricchisce l'avviso con dati provenienti da feed di threat intelligence integrati e da altri strumenti di sicurezza. Successivamente, il SOAR esegue azioni di risposta automatica, come l'attivazione di uno strumento di rilevamento e risposta della rete (NDR) per isolare l'endpoint o la richiesta al software antivirus di individuare e eliminare il malware. Infine, il SOAR trasferisce il ticket a un analista di sicurezza, il quale determina se l'incidente è stato risolto o se necessita l'intervento umano.
Alcune piattaforme SOAR includono l'intelligenza artificiale (AI) e il machine learning che analizzano i dati provenienti dagli strumenti di sicurezza e consigliano modi per gestire le minacce in futuro.
Le funzionalità di orchestrazione e automazione di SOAR gli consentono di fungere da console centrale per la risposta agli incidenti di sicurezza (IR). Il report di Cost of a Data Breach di IBM ha rilevato che le organizzazioni con un team IR e un piano IR testing hanno identificato le violazioni 54 giorni prima rispetto a quelle che non dispongono di nessuno dei due elementi.
Gli analisti della sicurezza possono utilizzare le SOAR per indagare e risolvere gli incidenti senza passare da uno strumento all'altro. Come le piattaforme di threat intelligence, le SOAR aggregano metriche e avvisi da feed esterni e strumenti di sicurezza integrati in una dashboard centrale. Gli analisti possono correlare i dati provenienti da fonti diverse, filtrare i falsi positivi, assegnare priorità agli avvisi e identificare le minacce specifiche che stanno affrontando. Gli analisti possono quindi rispondere attivando i playbook appropriati.
I SOC possono anche utilizzare gli strumenti SOAR per gli audit post-incidente e per processi di sicurezza più proattivi. I dashboard SOAR possono aiutare i team addetti alla sicurezza a comprendere in che modo una particolare minaccia ha violato la rete e come prevenire minacce simili in futuro. Analogamente, i team possono utilizzare i dati SOAR per identificare le minacce in corso passate inosservate e indirizzare efficacemente i loro sforzi di rilevamento delle minacce nelle aree giuste.
Integrando gli strumenti di sicurezza e automatizzando le attività, le piattaforme SOAR possono semplificare i workflow comuni per la sicurezza come il case management, la gestione delle vulnerabilità e la risposta agli incidenti. I benefici di questa semplificazione includono:
I SOC potrebbero dover gestire centinaia o migliaia di avvisi di sicurezza ogni giorno. Ciò può portare a stress da avvisi e gli analisti potrebbero perdere importanti segnali di attività di minaccia. I SOAR possono rendere gli avvisi più gestibili centralizzando i dati di sicurezza, arricchendo gli eventi e automatizzando le risposte. Di conseguenza, i SoC possono elaborare un maggior numero di avvisi, riducendo i tempi di risposta.
I SOC possono utilizzare i playbook SOAR per definire workflow di risposta agli incidenti standard e scalabili per le minacce comuni. Invece di affrontare le minacce caso per caso, gli analisti della sicurezza possono attivare il playbook appropriato per una correzione efficace.
I SOC possono utilizzare le dashboard SOAR per ottenere insight dettagliati sulle proprie reti e sulle minacce che devono affrontare. Queste informazioni possono aiutare i SOC a individuare i falsi positivi, a dare una migliore priorità agli avvisi e a selezionare i processi di risposta corretti.
I SOAR centralizzano i dati di sicurezza e i processi di risposta agli incidenti in modo che gli analisti possano collaborare alle indagini. I SOAR possono anche consentire ai SOC di condividere le metriche di sicurezza con parti esterne, come le risorse umane, l'ufficio legale e le forze dell'ordine.
Gli strumenti SOAR, SIEM e XDR condividono alcune funzioni principali, ma ognuno ha caratteristiche e casi d'uso unici.
Le soluzioni di gestione delle informazioni di sicurezza e degli eventi (SIEM) raccolgono informazioni da strumenti di sicurezza interni, le aggregano in un registro centrale e segnalano le anomalie. Gli SII vengono utilizzati principalmente per registrare e gestire grandi volumi di dati degli eventi di sicurezza.
La tecnologia SIEM è emersa per la prima volta come strumento di reporting della conformità. I SOC hanno adottato i SIEM quando si sono resi conto che tali dati potevano fornire informazioni cruciali per le operazioni di cybersecurity. Le soluzioni SOAR sono nate per implementare le funzionalità incentrate sulla sicurezza che mancano alla maggior parte dei SIEM standard, come l'orchestrazione, l'automazione e le funzioni della console.
Le soluzioni di rilevazione e risposta estesa (XDR) raccolgono e analizzano i dati di sicurezza provenienti da endpoint, reti e cloud. Come le SOAR, possono rispondere automaticamente agli incidenti di sicurezza. Tuttavia, gli XDR sono in grado di gestire automazioni di risposta agli incidenti più complesse e complete. Gli XDR possono, inoltre, semplificare le integrazioni di sicurezza e, nella maggior parte dei casi, richiedono meno competenze o spese rispetto alle integrazioni SOAR. Alcuni XDR sono soluzioni pre-integrate per fornitori singoli, mentre altri possono collegare strumenti di sicurezza di più fornitori. Gli XDR sono spesso utilizzati per rilevare le minacce in tempo reale, il triage degli incidenti e il rilevamento automatico delle minacce.
I team SecOps nelle grandi aziende spesso utilizzano tutti questi strumenti insieme. Tuttavia, i provider stanno sfumando i confini tra di loro, implementando soluzioni SIEM in grado di rispondere alle minacce e XDR con una registrazione dei dati simile a SIEM. Alcuni esperti di sicurezza ritengono che XDR un giorno potrebbe assorbire gli altri strumenti, in modo analogo a come SOAR ha incorporato i suoi predecessori.
IBM® Security QRadar SOAR è progettato per aiutare il tuo team di sicurezza a rispondere alle minacce informatiche con la massima precisione, automatizzare con intelligence e collaborare con coerenza.
La suite IBM Security QRadar XDR offre un unico workflow unificato tra gli strumenti per rilevare ed eliminare le minacce più rapidamente.
Migliora il piano di risposta agli incidenti e riduci al minimo i danni dovuti alle violazioni, preparando i team di risposta agli incidenti, i processi e i controlli.
Ottieni gli insight più recenti sul landscape delle minacce in espansione e consigli su come risparmiare tempo e limitare le perdite.
SIEM aiuta le organizzazioni a riconoscere potenziali minacce e vulnerabilità di sicurezza prima che possano interrompere le operazioni aziendali.
Crea una piattaforma di analytics e operazioni di sicurezza strettamente integrata che acceleri le attività di sicurezza e consenta al personale di concentrarsi su questioni ad alta priorità.