L’automazione è in grado di migliorare l’efficacia delle attività di SOAR security e di generare valore aggiunto tangibile per le organizzazioni. Vediamo come.
La richiesta di automazione nella cybersecurity è oggi più elevata che mai. Questa necessità nasce da diversi elementi, come la crescente complessità delle infrastrutture e l’incremento continuo degli attacchi, che hanno conseguenze importanti in termini di costi e risorse. In questa prospettiva, l’automazione della sicurezza è definita come il processo con cui le attività operative di sicurezza vengono eseguite senza intervento umano.
Su questi trend si innesta la SOAR security. SOAR è l’acronimo di Security Orchestration, Automation and Response e indica un insieme di funzionalità utilizzate per la protezione dei sistemi aziendali dalle minacce esterne. Si basa su tre attività principali:
- La gestione degli scenari e dei flussi di lavoro
- L’automazione delle attività
- La risposta alle minacce
Il termine è stato coniato dalla società di consulenza strategica Gartner, che ha individuato quattro driver sui quali si basa una piattaforma SOAR:
- Flusso di lavoro e collaborazione: riguarda la documentazione dei flussi di lavoro, che abilita la creazione di processi coerenti e condivisi con tutto il team di sicurezza
- Gestione dei ticket: riguarda la capacità di gestire gli incidenti, attraverso la definizione di funzionalità adeguate e la documentazione dei processi
- Orchestrazione e automazione: definisce i flussi di gestione e automazione finalizzati al miglioramento dell’efficienza dell’infrastruttura
- Gestione dell’intelligence sulle minacce: si occupa delle attività tradizionali di organizzazione e condivisione delle informazioni
Le attività SOAR sono generalmente implementate all’interno dei Security Operations Center delle organizzazioni. Attraverso le piattaforme SOAR è possibile monitorare i feed delle informazioni relative alle minacce e automatizzare le risposte ai problemi di sicurezza. In questo modo i team dedicati alla sicurezza possono rispondere alle minacce in modo rapido ed efficiente.
SOAR e automazione
L’automazione è un processo complesso, che deve partire da un’analisi approfondita delle caratteristiche di sicurezza dell’azienda e deve rispondere a domande precise. Ad esempio, se l’attività di automatizzare è un’attività di routine che viene eseguita regolarmente. Oppure se si tratta di un’attività ripetitiva, che prevede un insieme di azioni specifiche. O ancora se si tratta di un’attività time-consumino per il team di sicurezza.
Quando viene applicata ai processi di sicurezza, l’automazione permette di identificare, convalidare ed eseguire l’escalation delle minacce in maniera più rapida e senza l’intervento umano. In questo modo è possibile utilizzare l’automazione per applicare in modo simultaneo le correzioni a tutti i sistemi interessati, migliorando così i tempi di risposta.
I vantaggi dell’automazione
L’automazione delle attività SOAR permette di generare diversi benefici:
- Riduzione dell’errore umano: l’automazione di per sé permette di ridurre i potenziali errori umani, migliorando così l’efficienza generale
- Efficienza delle risorse: l’automazione delle risposte di primo livello a minacce ed emergenze libera i team di sicurezza da compiti semplici e ripetitivi, che possono così dedicarsi a mansioni a elevato valore aggiunto strategico
- Specializzazione dei team: in un mondo come quello della sicurezza, caratterizzato da scarsità di professionisti, l’automazione permette di creare team più piccoli e altamente specializzati
- Miglioramento della sicurezza dei processi: la sicurezza delle organizzazioni si basa su un ampio numero di prodotti e strumenti diversi, dai software EDR (Endpoint Detection and Reponse) ai firewall. La gestione manuale di questi strumenti può portare a inefficienze e a errori nella configurazione dei diversi tool. L’automazione, in questa direzione, permette di semplificare le operazioni di routine in modo rapido ed efficace
- Maggiore velocità di intervento: l’automazione delle attività SOAR si traduce in una riduzione del tempo medio di rilevamento e del tempo medio di risposta, con una conseguente maggiore velocità di reazione agli attacchi esterni
- Riduzione dei costi: il rilevamento rapido delle minacce può potenzialmente ridurre le violazioni di sicurezza, migliorando in questo modo l’impatto economico del sistema di sicurezza nel suo totale
Conclusioni
La sicurezza è oggi più che mai strategica per il business delle organizzazioni. Non si tratta solo di rispondere alle minacce esterne. Si tratta di creare un’architettura di protezione solida, coerente e condivisa. In questa direzione, l’automazione è un asset fondamentale, che permette di migliorare la resilienza delle organizzazioni in modo efficiente ed efficace.
