SOAR, anche nota come Security Orchestration, Automation and Response, è una funzione o soluzione che automatizza la risposta agli attacchi informatici e le operazioni di sicurezza. In base alle regole predefinite dal venditore o dai playbook definiti dall’utente, riduce il workload degli operatori, elaborando automaticamente i workflows in determinate condizioni.
SOAR esegue elaborazioni in base alle regole definite dal venditore o ai playbook definiti dall’utente (un elenco di flows che eseguono una serie di azioni specificate in uno script a determinate condizioni). Supporta gli addetti alla sicurezza, eseguendo automaticamente azioni in risposta a situazioni presunte. Ad esempio, blocca le comunicazioni, se si verificano comunicazioni in numero non specificato, in un dato periodo di tempo, a un server in cui sono archiviate informazioni importanti. Agisce inoltre automaticamente, ad esempio bloccando terminali colpiti da malware o escludendo server di comando e controllo (C&C) dalla rete.
SOAR è utile per rispondere immediatamente ai segnali rilevati di cyberattack e ai workload crescenti degli addetti alla sicurezza.
Riducendo il livello di "eventi non significativi", gli operatori possono concentrarsi sui casi in cui occorre intervenire manualmente; inoltre gli addetti inesperti possono facilmente eseguire azioni predefinite nei playbook, aspetto fondamentale a causa della attuale carenza di operatori esperti.
Gli attacchi informatici si verificano 24 ore su 24 e non esistono indicazioni su quando possano avvenire.
Gli attacchi informatici si verificano 24 ore su 24, 365 giorni all’anno e non esistono indicazioni su quando possano avvenire. Alcune organizzazioni aziendali dispongono di SOC che controllano i segnali di cyberattack, ma è preferibile dal punto di vista della sicurezza e del funzionamento rispondere automaticamente ai segnali rilevati. Ad esempio, la prassi di arresto dei terminali affetti da malware o di esclusione dalla rete dei server di comando e controllo (C&C) riduce il rischio di successiva diffusione dei problemi nell’organizzazione. Inoltre, creando e automatizzando un playbook basato sui segnali di precedenti attacchi informatici all’azienda, si possono evitare più rapidamente tali problemi.
Secondo una ricerca di Trend Micro, il workload degli addetti alla sicurezza è in aumento.
In soli sette giorni* si possono raccogliere 1,25 miliardi di log da 1000 dispositivi, ma alcuni di questi log sono simili agli attacchi informatici subiti da altre aziende o avvenuti nello stesso settore, o simili agli attacchi subiti dalla tua azienda nel passato. Ad esempio, se si trovano circa 10 endpoint affetti da malware in circa un mese, gli addetti alla sicurezza avranno bisogno di molto tempo e impegno per decidere come rispondere e come agire ogni volta. Automatizzando la risposta ai successivi incidenti in base ai primi eventi, si può ridurre il workload degli addetti alla sicurezza.
* Calcolo basato su dati campione di 1000 dispositivi/7 giorni, verificati da Trend Micro.
In questo contesto, in che modo possiamo migliorare l’efficienza delle attività relative alla sicurezza con le risorse esistenti? SOAR è una tecnologia emersa con l’intento di migliorare l’efficienza delle attività relative alla sicurezza con le risorse esistenti.
SIEM è un prodotto che aggrega log ed eventi provenienti da PC, server, proxi, firewall, prodotti per la sicurezza, ecc. e li visualizza in modo comprensibile. SOAR è un prodotto che agisce automaticamente quando avvengono determinate azioni (ad esempio molti accessi a uno specifico server entro un certo periodo di tempo) in base a regole predefinite, usando informazioni raccolte da SIEM. XDR è un prodotto che rileva e visualizza le tracce di attacchi per indagare, individuare la causa e rispondere agli incidenti a seguito di attacchi informatici che hanno violato l’ambiente dell’utente. Recentemente SOAR ha attirato l’attenzione per la sua capacità di elaborare meccanicamente enormi quantità di informazioni di registro al fine di eliminare quelle non significative e individuare solo quei segnali di allarme a seguito dei quali occorre effettivamente agire.
SOAR è efficace nei casi in cui c’è un’ampia serie di prodotti e servizi che possono essere utilizzati insieme alle API e alle condizioni dettagliate per le impostazioni di script, e in cui gli operatori esperti di sicurezza possono mantenere continuamente le impostazioni. XDR può inoltre essere integrato con SOAR, al fine di aggiungere competenza nel rilevamento degli attacchi informatici, mentre SOAR può essere usato per integrare un’ampia serie di prodotti e per automatizzare le risposte.
Articoli correlati