Accedi / Registrati Account

SICUREZZA

Sicurezza informatica: Cosa si intende con SOAR?

Jump to section

SOAR è l'acronimo di Security Orchestration, Automation and Response (SOAR) e descrive un insieme di funzionalità utilizzate per proteggere i sistemi informatici dalle minacce.

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce. Il termine è stato utilizzato per la prima volta dalla società di analisi Gartner. Lo stesso concetto è espresso dagli analisti anche con altri termini. IDC, ad esempio, indica il concetto con AIRO (Security Analytics, Intelligence, Response, and Orchestration), mentre Forrester descrive le stesse funzionalità con l'acronimo SAO (Security Automation and Orchestration). 

Le funzionalità SOAR vengono in genere implementate nel centro per la sicurezza dei sistemi informativi (SOC, Security Operations Center) dell'organizzazione. Le piattaforme SOAR monitorano i feed di intelligence sulle minacce e attivano risposte automatizzate per mitigare i problemi di sicurezza.

SOAR per la gestione delle minacce alla sicurezza informatica

Che la tua azienda disponga di un SOC funzionale e consolidato o che abbia appena avviato un percorso di trasformazione della sicurezza, le procedure ottimali prescrivono che ogni incidente venga documentato e gestito come un caso. La procedura per la gestione dei casi rappresenta la modalità con cui gli incidenti vengono documentati e con cui si acquisiscono le informazioni sulla minaccia. Essa garantisce l'identificazione delle minacce alla sicurezza, l'assegnazione delle priorità in base al rischio e la successiva indagine. Consente inoltre di documentare e condividere con l'organizzazione e le community le conoscenze acquisite nella fase di risposta agli incidenti. 

Spesso la tecnologia SOAR è abbinata a flussi di lavoro preconfigurati per gli scenari di utilizzo comuni. Qualora questi non corrispondano alle esigenze specifiche dell'organizzazione, possono essere adattati tramite processi di sviluppo personalizzati.

Sicurezza per l'automazione e l'orchestrazione delle attività

L'automazione della sicurezza è il processo con cui le attività operative di sicurezza vengono eseguite senza intervento umano. In ambito di sicurezza, l'esigenza di automazione è molto elevata, considerata la complessità dell'infrastruttura e la scarsa integrazione tra i suoi componenti. Come capire quali sono le attività da automatizzare? Ecco alcune domande da porsi:

  1. Si tratta di un'attività di routine? Deve essere eseguita regolarmente?
  2. Si tratta di un'attività ripetitiva? Prevede un insieme di azioni specifiche da completare con precisione? 
  3. È un'attività che richiede tempo? Il team dedica un tempo significativo a questo insieme di azioni?

Una risposta affermativa a una qualsiasi delle domande precedenti suggerisce un'esigenza di automazione. In ogni caso l'automazione incide positivamente su vari aspetti dell'organizzazione tra cui: riduzione dell'errore umano, efficienza e rapidità migliorate e una maggiore coerenza nelle reazioni.

Perché automatizzare i processi di sicurezza?

Uno dei vantaggi principali dell'automazione delle attività è la maggiore efficienza dei team che si occupano della sicurezza, che otterranno più tempo da dedicare a compiti strategici. L'automazione può aiutare le organizzazioni a ridurre la carenza di esperti nel settore. In sostanza, i professionisti della sicurezza non sono sufficienti a soddisfare le esigenze di ogni organizzazione. In questo senso, l'automazione delle attività di sicurezza aiuta i team a fare di più in meno tempo.

 

Migliore gestione della sicurezza

I reparti di sicurezza condividono numerosi strumenti e prodotti, spesso non integrati uno con l'altro. La gestione manuale di queste attività può causare rallentamenti nell'individuazione e nella risoluzione dei problemi, errori nella configurazione delle risorse e applicazioni di policy incoerenti, rendendo i sistemi vulnerabili ad attacchi e problemi di conformità. L'automazione può aiutare a semplificare le operazioni quotidiane integrando, sin da subito, la sicurezza nei processi, nelle applicazioni e nell'infrastruttura, con un approccio DevOps. Il deployment completo dell'automazione della sicurezza può arrivare a ridurre del 95% il costo medio di una violazione.

 

Rilevamento rapido delle minacce

Un rilevamento delle minacce più rapido può ridurre la probabilità che la tua organizzazione incorra in violazioni della sicurezza, nonché i costi associati a tali violazioni. Il rilevamento e il contenimento delle violazioni di sicurezza entro 200 giorni o meno consentono di ridurre il costo medio di una violazione di circa 1,22 milioni di dollari. I processi manuali possono ritardare l'identificazione delle minacce in ambienti IT complessi, rendendo la tua azienda vulnerabile. L'automazione applicata ai processi di sicurezza consente di identificare, convalidare e far passare le minacce al livello superiore in maniera più rapida, senza intervenire manualmente.

Tuttavia, la correzione su più piattaforme e strumenti può essere complicata, dispendiosa in termini di tempo e soggetta a errori. I team responsabili della sicurezza possono utilizzare l'automazione per applicare simultaneamente le correzioni a tutti i sistemi interessati, reagendo agli incidenti in meno tempo.

Differenze tra automazione e orchestrazione della sicurezza

Con orchestrazione della sicurezza intendiamo un approccio mediante il quale strumenti e sistemi di sicurezza diversi vengono connessi e integrati con la finalità di ottimizzare i processi. L'operazione consente di sfruttare l'automazione nei diversi ambienti aziendali. Mentre l'orchestrazione si basa sui processi, l'automazione si basa sulle attività. Sono quindi le persone che costituiscono la differenza principale tra orchestrazione e automazione. Il valore più importante di una tecnologia SOAR è dato dall'orchestrazione della sicurezza ad alto livello, con la quale i team definiscono il processo per l'esecuzione delle attività automatizzate. L'orchestrazione dei processi di sicurezza si affida alle persone che compongono questi team per determinare perché, quando e per quali aspetti implementare l'automazione della sicurezza.

Intelligence centralizzata sulle vulnerabilità

L'intelligence sulle minacce indica l'insieme di conoscenze relative alle minacce esistenti ed emergenti alle risorse dell'azienda. Esistono numerosi database delle vulnerabilità che costituiscono fonti di intelligence sulle minacce. Alcuni metodi di riferimento, come l'elenco CVE, facilitano l'identificazione e la condivisione delle vulnerabilità tra database e piattaforme. Queste ultime acquisiscono le conoscenze da una grande varietà di feed. Gli strumenti SOAR utilizzano tutti i feed di intelligence sulle minacce a loro disposizione per identificare i potenziali rischi. I feed vengono raggruppati in una fonte unificata alla quale i team possono inviare query, e che può essere utilizzata per l'avvio di attività automatizzate.

A livello organizzativo, il SOC è il nucleo da cui partono le risposte di sicurezza; ciò non toglie che sia difficile ordinare e comunicare con i tanti reparti che costituiscono un'azienda. In questo senso, l'automazione può rappresentare una forza unificatrice e un linguaggio comune tra i reparti. Per quanto riguarda le minacce alla sicurezza, una soluzione di automazione che coinvolga tutte le piattaforme e i reparti è in grado di definire chiari canali di interazione.

Scegli Red Hat per un ambiente più sicuro

I software open source di livello enterprise utilizzano un modello di sviluppo che migliora le procedure di test e ottimizzazione delle prestazioni (in genere con il supporto di un team di sicurezza), i processi per rispondere alle nuove vulnerabilità di sicurezza e i protocolli per notificare agli utenti i problemi di sicurezza e le procedure di correzione. È una sorta di versione migliorata dell'open source web of trust che, in ambito di sicurezza informatica, colma qualsiasi lacuna.

Red Hat® Ansible® Automation Platform consente di automatizzare e integrare soluzioni di sicurezza diverse, semplificando l'indagine e la reazione alle minacce in tutta l'azienda, secondo modalità coordinate e unificate e con l'impiego di una raccolta idonea di moduli, ruoli e playbook. Diventa inoltre possibile integrare le applicazioni esterne mediante API, SSH, WinRM e altri metodi di accesso standard o preesistenti.

Red Hat Ansible abilita processi per l'intero stack, dall'infrastruttura alle applicazioni, facendo sì che ogni aspetto sia coordinato con uno specifico livello di tecnologie di sicurezza. I team della sicurezza possono avvalersi di Red Hat Ansible per gestire le altre applicazioni aziendali, ad esempio le soluzioni SOAR.

Soluzioni Red Hat per la sicurezza informatica

Red Hat Ansible Automation Platform

Piattaforma agentless per l'automazione.

Red Hat Insights

Identifica ed elimina i rischi per sicurezza, conformità e configurazione negli ambienti Red Hat® Enterprise Linux®.