SOAR:
significato, funzionamento e vantaggi

In un contesto di cybersecurity in costante evoluzione, le aziende devono fronteggiare una realtà nella quale gli attacchi informatici emergono con rapidità e complessità che lasciano poco margine per una risposta “studiata a tavolino”.

Parliamo di attacchi imprevedibili, che richiedono alle imprese di essere sempre attente, pronte a intervenire con efficacia e tempestività quando il problema si verifica.

La progressione di una minaccia informatica, dall’esplorazione iniziale delle vulnerabilità al recupero completo del sistema, segna un arco temporale che può durare anche mesi. Ed è qui che emerge la necessità di un meccanismo di risposta agile e coordinato.

In questo contesto, la tecnologia SOAR (Security Orchestration, Automation, and Response) rappresenta una svolta strategica. Offre infatti gli strumenti per affinare i processi di rilevazione (Mean Time to Detect) e di ripristino (Mean Time to Recovery) tramite l’automazione e l’orchestrazione delle risposte agli incidenti.

Attraverso l’adozione di SOAR, le aziende possono implementare una strategia proattiva di difesa, ottimizzando la rilevazione delle minacce e la risposta ad esse.

Vediamo come.

Cos'è il SOAR

SOAR, acronimo di Security Orchestration, Automation and Response, è costituito da software progettati per raccogliere dati relativi alle minacce e rispondere in maniera automatizzata. L’obiettivo principale di una piattaforma SOAR è quello di migliorare l’efficienza delle attività di sicurezza, sia fisiche che digitali.

Le piattaforme SOAR si basano su tre componenti principali: l’orchestrazione della sicurezza, l’automazione della sicurezza e la risposta alla sicurezza.

  • Orchestrazione: Funge da collegamento tra vari strumenti di sicurezza interni ed esterni attraverso integrazioni e API. Consente di raccogliere dati da fonti come scanner di vulnerabilità, firewall e sistemi di prevenzione delle intrusioni per rilevare minacce e fornire contesti dettagliati.
  • Automazione: Utilizza i dati raccolti per analizzare le minacce e creare processi automatizzati, come la scansione delle vulnerabilità e l’analisi dei log. Grazie all’intelligenza artificiale e al machine learning, l’automazione in SOAR prioritizza le minacce, suggerisce azioni e automatizza le risposte, richiedendo intervento umano solo quando necessario.
  • Risposta alla Sicurezza: Offre una piattaforma unificata per pianificare, gestire, monitorare e segnalare risposte alle minacce identificate. Facilita la collaborazione, lo scambio di informazioni tra i team di sicurezza e IT e la gestione post-incidente (documentazione dei casi e compilazione di rapporti).
Le 3 componenti del SOAR

Le soluzioni SOAR (Security Orchestration, Automation, and Response) migliorano significativamente l’efficacia dei Security Operations Centers (SOC) nell’affrontare minacce, con un flusso ben definito di azioni.

I SOAR consentono ai SOC di collegare e coordinare gli strumenti di sicurezza, sia hardware che software, presenti nell’ecosistema di sicurezza aziendale.

Attraverso l’utilizzo di API, plugin pre-costruiti e integrazioni personalizzate, un sistema SOAR integra diversi strumenti di sicurezza in un unico flusso di lavoro operativo. Questo facilita la creazione di playbook, sequenze di operazioni predefinite che gli analisti del SOC utilizzano per gestire e rispondere alle minacce in modo standard.

I playbook consentono di delineare i processi di rilevazione, indagine e risposta, offrendo la possibilità di automatizzare completamente o parzialmente queste attività.

Implementando l’automazione, le soluzioni SOAR riducono il carico di lavoro degli analisti automatizzando compiti ripetitivi e a basso valore aggiunto. Tali compiti sono ad esempio la gestione dei ticket di supporto, l’enrichment degli eventi e la prioritizzazione degli allarmi.

Questo non solo migliora l’efficienza ma permette anche agli analisti di concentrarsi su compiti di analisi e decisione più complessi.

Ad esempio, in caso di un laptop compromesso, un SOAR può automaticamente eseguire un playbook predefinito che gestisce l’intero processo di risposta: apertura di un ticket, enrichment con dati da fonti di intelligence integrate, quarantena del dispositivo o rimozione del malware.

Le piattaforme SOAR fungono da console centrale per la gestione degli incidenti all’interno dei SOC, consentendo agli analisti di operare senza passare tra più strumenti.

Aggregando metriche e allarmi da feed esterni e strumenti di sicurezza integrati in un’unica dashboard, i SOAR facilitano l’analisi e la correlazione dei dati. Questo aiuta gli analisti a filtrare i falsi positivi, a prioritizzare gli allarmi e a identificare con precisione le minacce.

Gli analisti possono poi attivare i playbook appropriati per una risposta efficace.

Inoltre, il SOC può utilizzare i dati forniti dai SOAR per condurre audit post-incidente e sviluppare strategie di sicurezza proattive, identificando le cause di una violazione e prevenendo attacchi futuri.

Si rischia spesso di fare confusione tra SOAR, di cui stiamo parlando in questo articolo, e SIEM (Security Information and Event Management).

Va detto che la distinzione non è sempre immediata, tuttavia ci sono differenze sostanziali che rendono di fatto complementari i due strumenti.

I SIEM sono efficaci nell’aggregare e analizzare dati per la segnalazione delle minacce, i SOAR accelerano lindagine e la risoluzione degli incidenti automatizzando i flussi di lavoro.

Ma vediamo in dettaglio.

Entrambi aggregano dati di sicurezza, ma differiscono nel tipo e nella quantità di informazioni raccolte.

I SIEM si concentrano sulla raccolta di log ed eventi da componenti infrastrutturali tradizionali come firewall, sistemi di prevenzione delle intrusioni e server DNS.

I SOAR, invece, estendono la raccolta dati includendo feed di intelligence sulle minacce emergenti, fornendo una visione più ampia e dettagliata del panorama degli attacchi.

La capacità di analizzare dati da molteplici fonti e correlare eventi rende i SIEM essenziali per la rilevazione delle minacce. Il rovescio della medaglia è che spesso generano un numero elevato di allarmi che possono sopraffare i team di SecOps.

I SOAR, dal canto loro, introducono l’uso di AI e automazione per dare priorità agli allarmi e guidare risposte rapide e automatizzate tramite playbook. Questo riduce significativamente il Mean Time to Recovery, ma non è detto che migliori il Mean Time to Detect rispetto ai SIEM.

Un’altra distinzione importante tra SOAR e SIEM risiede nella loro capacità di gestire gli incidenti.

I SIEM possono rilevare e segnalare incidenti, ma la risposta agli allarmi dipende ancora dall’intervento umano.

I SOAR non solo identificano le minacce ma utilizzano anche playbook per intraprendere azioni di risposta senza necessità di intervento diretto da parte degli analisti. Tra queste ad esempio la quarantena di dispositivi compromessi, o il blacklisting di email di phishing,

Qual è il vantaggio principale di SOAR? In poche parole, SOAR è un moltiplicatore di forze che aumenta la qualità e la portata della risposta agli incidenti nel centro operativo del SOC.

  • Miglioramento della produttività del SOC:
    SOAR ottimizza l’efficacia del SOC attraverso l’automazione di compiti ripetitivi e l’operazionalizzazione della conoscenza istituzionale, permettendo così alle risorse del SOC di concentrarsi su attività più strategiche.
    I playbook di SOAR accelerano la rilevazione, mitigazione e contenimento degli incidenti, migliorando la consapevolezza situazionale e consentendo risposte rapide e dirette agli incidenti senza dover alternare tra sistemi diversi.
  • Focus sulle minacce rilevanti: SOAR aiuta a gestire l’elevato volume di allarmi di sicurezza, riducendo i falsi positivi e consolidando gli allarmi, permettendo agli analisti di concentrarsi sugli avvisi più significativi.
    Attraverso l’arricchimento degli allarmi con intelligence sulle minacce e la correlazione con i dati da altri strumenti di sicurezza, SOAR facilita la presa di decisioni informate su come rispondere agli incidenti.
    Automatizzando tali compiti, SOAR aiuta a gestire l’eccesso di allarmi e fornisce contesto sulle minacce serie, permettendo ai team di concentrarsi su compiti più stimolanti e gratificanti.
  • Misurazione dell’efficienza operativa: Le piattaforme SOAR raccolgono e analizzano una vasta gamma di metriche che consentono ai team del SOC di migliorare continuamente l’efficienza delle loro operazioni di sicurezza.
    Le dashboard e i report personalizzati forniscono dati in tempo reale su metriche chiave come il Tempo di Risposta, il Tempo di Contenimento, il Tempo di Rimedio, il Tempo di Risoluzione e il Tempo di Completamento per casi e incidenti, offrendo intuizioni su modelli, tendenze e aree di miglioramento.
  • Miglioramento della postura di cybersecurity: Come effetto secondario dell’efficienza operativa migliorata, SOAR rende l’organizzazione più resiliente e preparata a contrastare gli attacchi informatici, riducendo i tempi di risposta e di permanenza.