Cosa significa SOAR?

SOAR è l'acronimo di Security Orchestration, Automation and Response (SOAR) e descrive un insieme di funzionalità utilizzate per proteggere i sistemi IT dalle minacce.

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione degli scenari e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce. Il termine è stato utilizzato per la prima volta dalla società di analisi Gartner. Gli analisti della sicurezza definiscono l'acronimo SOAR con altri termini. IDC, ad esempio, fa riferimento ai concetti di Security Analytics, Intelligence, Response, e Orchestration (AIRO), mentre Forrester descrive le stesse funzionalità come Security Automation e Orchestration (SAO).

Le funzionalità SOAR vengono in genere implementate nel centro per la sicurezza dei sistemi informativi (SOC, Security Operations Center) dell'organizzazione. Le piattaforme SOAR monitorano i feed delle informazioni sulle minacce e attivano le risposte automatiche ai problemi di sicurezza, aiutando così i team IT a contenere le minacce in modo rapido ed efficiente, anche su più sistemi complessi.

Che la tua azienda disponga di un SOC funzionale e consolidato o che abbia appena avviato un percorso di trasformazione della sicurezza, le procedure consigliate per la gestione delle vulnerabilità prescrivono che ogni incidente venga documentato e gestito come un caso. La procedura per la gestione dei casi rappresenta la modalità con cui gli incidenti vengono documentati e con cui si acquisiscono le informazioni sulla minaccia. Essa garantisce l'identificazione delle minacce alla sicurezza, l'assegnazione delle priorità in base al rischio e la successiva indagine. Consente inoltre di documentare e condividere con l'organizzazione e le community le conoscenze acquisite nella fase di risposta agli incidenti. 

Spesso la tecnologia SOAR è abbinata a flussi di lavoro preconfigurati per gli scenari di utilizzo comuni. Qualora questi non corrispondano alle esigenze specifiche dell'organizzazione, possono essere adattati tramite processi di sviluppo personalizzati.

L'automazione della sicurezza è il processo con cui le attività operative di sicurezza vengono eseguite senza intervento umano. In ambito di sicurezza, l'esigenza di automazione è molto elevata, considerata la complessità dell'infrastruttura e la scarsa integrazione tra i suoi diversi componenti. Come capire quali sono le attività da automatizzare? Ecco alcune domande da porsi:

1. Si tratta di un'attività di routine? Deve essere eseguita regolarmente?
2. Si tratta di un'attività ripetitiva? Prevede un insieme di azioni specifiche da completare con precisione? 
3. È un'attività che richiede tempo? Il team dedica un tempo significativo a questo insieme di azioni?

Una risposta affermativa a una qualsiasi delle domande precedenti suggerisce un'esigenza di automazione. In ogni caso l'automazione incide positivamente su vari aspetti dell'organizzazione tra cui: riduzione dell'errore umano, efficienza e rapidità migliorate e una maggiore coerenza nelle reazioni agli incidenti di sicurezza.

Uno dei vantaggi principali dell'automazione delle attività è la maggiore efficienza dei team che si occupano della sicurezza, che otterranno più tempo da dedicare a compiti strategici. Un altro aspetto è la scarsità di professionisti della sicurezza in grado di soddisfare ogni esigenza dell'organizzazione; in questo senso, l'automazione può contribuire a colmare la scarsità di talenti permettendo ai team di fare di più con meno.

I team della sicurezza devono inoltre fare i conti con l'elevato numero di strumenti e prodotti differenti e in genere non integrati tra loro, come i software EDR (Endpoint Detection and Response), i firewall e le soluzioni SIEM (Security Information and Event Management). La gestione manuale di queste attività può causare rallentamenti nell'individuazione e nella risoluzione dei problemi, errori nella configurazione delle risorse e applicazioni di policy incoerenti, rendendo i sistemi vulnerabili ad attacchi e problemi di conformità. L'automazione può aiutare a semplificare le operazioni quotidiane integrando, sin da subito, la sicurezza nei processi, nelle applicazioni e nell'infrastruttura, con un approccio DevSecOps.

Secondo il Ponemon Institute, il rilevamento e il contenimento delle violazioni di sicurezza entro 200 giorni o meno consentono di ridurre il costo medio di una violazione di circa 1,22 milioni di dollari. La rapida individuazione delle minacce può ridurre le probabilità di violazione della sicurezza e i costi associati, ma ciò non toglie che la correzione su più piattaforme e strumenti può essere complicata, dispendiosa in termini di tempo e soggetta a errori.

Mentre le procedure manuali possono ritardare l'identificazione delle minacce negli ecosistemi IT più complessi, l'automazione applicata ai processi di sicurezza consente di identificare, convalidare ed eseguire l'escalation delle minacce più rapidamente e senza interventi manuali. I team responsabili della sicurezza possono utilizzare l'automazione per applicare simultaneamente le correzioni a tutti i sistemi interessati, migliorando i tempi di risposta.

Mentre l'orchestrazione si basa sui processi, l'automazione si basa sulle attività. Con orchestrazione della sicurezza intendiamo un approccio mediante il quale strumenti e sistemi di sicurezza diversi vengono connessi e integrati con la finalità di ottimizzare i workflow di reazione. Questa operazione, e i processi che a questa sottendono, consentono di sfruttare l'automazione nei diversi ambienti aziendali.

Se l'automazione può semplificare i workflow, le persone restano indispensabili per ottenere il valore più importante di una tecnologia SOAR, ovvero l'orchestrazione della sicurezza ad alto livello, con la quale i team IT definiscono il processo per l'esecuzione delle attività automatizzate. L'orchestrazione dei processi di sicurezza si affida alle persone che compongono questi team per determinare perché, quando e per quali aspetti implementare l'automazione della sicurezza.

L'intelligence sulle minacce indica l'insieme di conoscenze relative alle minacce esistenti ed emergenti alle risorse dell'azienda. Esistono numerosi database delle vulnerabilità che costituiscono fonti di intelligence sulle minacce. Alcuni metodi di riferimento, come l'elenco CVE, facilitano l'identificazione e la condivisione delle vulnerabilità tra database e piattaforme. Queste ultime acquisiscono le conoscenze da una grande varietà di feed. Gli strumenti SOAR utilizzano tutti i feed di intelligence sulle minacce a loro disposizione per identificare i potenziali rischi. I feed vengono raggruppati in una sorgente unificata alla quale i team possono inviare query, e che può essere utilizzata per l'avvio di attività automatizzate.

A livello organizzativo, il SOC è il nucleo da cui partono le risposte di sicurezza; ciò non toglie che sia difficile ordinare e comunicare con i tanti reparti che costituiscono un'azienda. In questo senso, l'automazione può rappresentare una forza unificatrice e un linguaggio comune tra i reparti. Una soluzione di automazione che coinvolga tutte le piattaforme e i reparti è in grado di definire chiari canali di interazione, facilitando quindi l'identificazione delle minacce di sicurezza e la loro priorità.

I software open source di livello enterprise utilizzano un modello di sviluppo che migliora le procedure di test e ottimizzazione delle prestazioni (in genere con il supporto di un team di sicurezza), i processi per rispondere alle nuove vulnerabilità di sicurezza e i protocolli per notificare agli utenti i problemi di sicurezza e le procedure di correzione. È una sorta di versione migliorata dell'open source web of trust che, in ambito di sicurezza informatica, colma qualsiasi lacuna.

Red Hat® Ansible® Automation Platform consente di automatizzare e integrare soluzioni di sicurezza diverse, semplificando l'indagine e la reazione alle minacce in tutta l'azienda, secondo modalità coordinate e unificate e con l'impiego di una raccolta idonea di moduli, ruoli e playbook. Diventa inoltre possibile integrare le applicazioni esterne mediante API, SSH, WinRM e altri metodi di accesso standard o preesistenti.

Ansible Automation Platform abilita processi per l'intero stack, dall'infrastruttura alle applicazioni, facendo sì che ogni aspetto sia coordinato con uno specifico livello di tecnologie di sicurezza. I team operativi della sicurezza possono avvalersi della piattaforma per gestire le altre applicazioni aziendali, ad esempio le soluzioni SOAR.