Home » News » Cybersecurity

Piattaforme SOAR: integrazione e cooperazione delle tecnologie di security

Piattaforme SOAR integrazione cooperazione tecnologie security

In uno scenario di cybersecurity sempre più complesso e in cui le minacce sono in continuo aumento, l’importanza di una strategia unificata di sicurezza informatica si fa sempre più incalzante, soprattutto in Italia, in cui le aziende utilizzano tecnologie con interfacce e metriche diverse tra loro. Le piattaforme SOAR (Security Orchestration, Automation and Response) potrebbero contribuire in questo senso, secondo Andrea Lambiase, Chief Digital Strategy & Innovation Officer di Axitea.

Una situazione complessa

“L’ultima fotografia del Clusit sulla sicurezza informatica – sottolinea Lambiase – ci restituisce uno scenario sempre più complesso che, anche per effetto degli avvenimenti geopolitici, presenta novità interessanti nei targets, nelle modalità e negli obiettivi degli attacchi cyber, con una complessità che probabilmente continuerà ad acuirsi nei prossimi mesi. Nel primo semestre del 2022, si è registrato un +8,4% di attacchi cyber a livello globale, di cui +5% in Europa, ma soprattutto sono cresciuti in maniera predominante gli attacchi di sabotaggio e information warfare (18,5% del totale) e verso bersagli multipli (+108,3% rispetto al 2021), evidenziando come l’obiettivo principale dei cybercriminali sia generare quanto più danno possibile, fare “rumore”, anche senza un obiettivo preciso. La conseguenza è che, allo stato attuale, tutti sono potenziali bersagli, in ogni momento.

In Italia, purtroppo, siamo ancora in ritardo nell’adozione di una strategia unificata di cybersecurity. Certo, le organizzazioni si stanno dotando di tecnologie di protezione degli assets, ma spesso si tratta di tecnologie specifiche, con interfacce di gestione e metriche differenti tra loro, difficili da porre a fattor comune. In questo scenario, l’aumento degli incidenti dovuto alla crescente complessità delle tecnologie di sicurezza poste a difesa dei differenti vettori di attacco, come l’endpoint, l’esfiltrazione dei dati, la protezione perimetrale, la protezione DNS, tra gli altri, e la necessità di migliorare sempre di più le metriche di rilevamento di un attacco rappresentano due sfide predominanti e pressanti per la security.

Processo di gestione unico degli incidenti informatici e piattaforme SOAR

L’urgenza per le organizzazioni, come evidenziato anche dal rapporto Clusit, è implementare una architettura di sicurezza “state-of-art”, in cui sistemi di monitoraggio e controllo della sicurezza sono integrati tra di loro in una soluzione unica, basata su automatismi e cooperazione, in grado di eliminare la complessità e apportare un reale beneficio alla gestione della security a livello enterprise.

In questo contesto, le piattaforme SOAR consentono di integrare tecnologie di cui le organizzazioni sono già in possesso, con investimenti continui in ricerca e licenze, per abilitare l’orchestrazione di più attori in un unico processo di gestione degli incidenti informatici. Vediamo quali sono i pilastri di questo processo di gestione e come le piattaforme SOAR contribuiscono al loro funzionamento.

Abilitare una risposta agli incidenti rapida, efficiente e co-gestita

Nelle prime fasi di un incidente, i tempi di risposta sono un fattore critico: rilevando tempestivamente un attacco, si identificano utenti e dispositivi affetti e si può minimizzare o contenere l’impatto dell’attacco stesso. Appare chiaro che un intervento manuale non potrà mai competere con l’automazione. In questo scenario, il concetto di co-design della risposta agli incidenti è fondamentale: un servizio gestito che si basi sul co-design consente di rispondere agli incidenti attraverso flussi di automazione che contattano le tecnologie di sicurezza e gli stakeholders definiti nel minor tempo possibile.

Utilizzare un processo coerente

La più grande risorsa all’interno di un SOC (Security Operation Center) non sono le tecnologie, ma le persone: l’ambito ICT e la cybersecurity in particolare sono quelli che risentono maggiormente della carenza di risorse. Gli analisti che intraprendono un percorso di crescita in questo ambito riescono, in soli 10 anni, ad accumulare esperienze che consentono loro di essere il primo punto di riferimento per l’individuazione e l’analisi degli incidenti, in grado di fornire skillsets e punti di vista differenti che consentono di isolare i falsi positivi e definire in velocità le azioni di risposta.

La tecnologia SOAR supporta gli analisti nel definire ‘playbooks’ di gestione dei flussi di risposta in seguito ai particolari vettori di attacco; in questo modo, gli analisti sono guidati nell’investigazione della minaccia con un processo standardizzato ed esportato alle organizzazioni vittime di attacco. Con il SOAR, si amplia ulteriormente il processo classico di gestione di incidenti in modalità MSSP con la possibilità di richiedere informazioni ai riferimenti coinvolti e a favorire la collaborazione in War Rooms dedicate alla risoluzione dell’anomalia riscontrata.

Condivisione della conoscenza sulle minacce

Il concetto di Threat Intelligence si basa sull’acquisizione di indicatori che possono attribuire il nome di un file o di un IP o di un qualsiasi artefatto relativo ad un incidente, all’arricchimento degli indicatori con fonti di terze parti e alla possibilità di aggregarli per condividerli esternamente.

Con la tecnologia SOAR è possibile arricchire le informazioni relative agli incidenti in modo da portare le giuste evidenze agli analisti ed eseguire double-checks per validare rilevamenti che si basano su tecnologie già in possesso delle organizzazioni vittime e per poter collaborare con la Community Cyber esportando le minacce analizzate.

Ridurre errori e migliorare l’esecuzione di tasks ripetitivi

Durante l’investigazione, è molto probabile dover controllare una fonte su più ambienti e dover ricercare stringhe di dati molto complesse, un processo manuale che è facilmente soggetto ad errori e può rallentare la risposta agli incidenti.

Intervenendo per evitare l’esecuzione di tasks ripetitivi, come può essere quello di verifica delle minacce all’interno di diversi database, la piattaforma di automazione supporta ulteriormente gli analisti concedendo loro di dedicarsi meglio all’investigazione degli eventi, minimizzando gli errori in fasi cruciali di analisi e portando evidenze corrette e comprovate da più fonti.

Esportare metriche di qualità dei servizi gestiti

Flussi di risposta alle minacce, metriche di tempi di presa in carico e risoluzione di un incidente, scalabilità e automazione sono tutti elementi che, con una piattaforma SOAR, possono essere esportati verso le organizzazioni attraverso reports automatizzati ed integrati per le diverse tecnologie che sono nel perimetro dei servizi di gestione della sicurezza” conclude Lambiase.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.