Le tecnologie SOAR sono destinate a cambiare una volta per tutte il modo in cui le aziende si approcciano alla protezione delle loro infrastrutture di rete. La continua evoluzione del panorama della cybersecurity, infatti, mette i responsabili IT aziendali di fronte a sfide sempre più complesse. In particolare, gli attacchi -che assumono sempre più le sembianze di veri e propri assalti “militarizzati”- sono cresciuti per intensità e frequenza, costringendo a controlli serrati 24 ore su 24, 7 giorni su 7.
Ed è a questo punto che entrano in gioco le tecnologie SOAR. Così come sono stati descritti per la prima volta dagli esperti di Gartner, questi strumenti di sicurezza informatica consentono di automatizzare molte delle azioni e dei controlli ripetitivi che, sino a non molto tempo fa, dovevano essere svolti manualmente da uno o più operatori. Ciò ha ovviamente consentito di migliorare la qualità delle operazioni di controllo e verifica, aumentando così il livello di sicurezza dell’intera infrastruttura informatica aziendale.
Cosa sono le tecnologie SOAR
Acronimo di Security Orchestration, Automation and Response, le tecnologie SOAR sono uno strumento a supporto degli addetti alla sicurezza informatica. Questo modello, in particolare, si basa su un approccio tripartito:
- Gestione dei rischi e delle vulnerabilità (Threat and Vulnerability Management);
- Risposta agli incidenti (Incident Response);
- Automazione delle operazioni di sicurezza (Security Operations Automation).
In questo modo, la gran parte delle operazioni legata alla sicurezza e alla protezione della rete e delle risorse informatiche dell’azienda possono essere automatizzate, consentendo ai membri del team IT e di sicurezza informatica di concentrarsi sulle minacce più sofisticate.
Come funzionano le tecnologie SOAR
Sfruttando algoritmi di intelligenza artificiale e machine learning, le tecnologie SOAR mettono in correlazione tra loro tre settori altrimenti distinti: la Security Orchestration and Automation (SAO), le Threat Intelligence platform (TIP) e le Security Incident Response Platform (SIRP).
In particolare, le piattaforme di intelligence si occupano di raccogliere dati e informazioni sul comportamento di virus, malware, attacchi hacker e altre minacce informatiche, così da individuare tratti comuni e “regolarità” nel loro modus operandi.
Le evidenze che emergono da questa analisi preliminare vengono utilizzate dagli altri sistemi per effettuare dei controlli automatizzati su ciò che accade all’interno della rete e dei sistemi informatici. Nel caso in cui dovessero esserci delle corrispondenze tra eventi in atto nella LAN e quelli presenti in memoria, i sistemi TIP interverrebbero per bloccarli e mettere il tutto in sicurezza. A sovrintendere le operazioni troviamo il SAO, che si occupa di orchestrare l’intera infrastruttura difensiva e di automatizzare la risposta degli agenti “difensivi”.
I vantaggi delle tecnologie SOAR
Come detto inizialmente, i continui sviluppi nel mondo del cybercrime costringono gli esperti di sicurezza informatica ad adottare tecniche difensive sempre nuove e sempre più evolute. Le tecnologie SOAR, secondo moltissimi analisti, rappresentano il futuro del settore perché consentono di creare routine operative che permettono di proteggere rete e sistemi informatici dagli attacchi più comuni. I Security Operator possono così concentrarsi sulle minacce più sofisticate, contro le quali l’intelligenza artificiale e il machine learning non possono (almeno per ora) nulla.
Ma i vantaggi che le piattaforme SOAR garantiscono sono anche molti altri. Ciò rende questo approccio adatto sia per le piccole imprese, sia per le aziende di dimensioni maggiori, che possono godere di benefici economici, organizzativi e operativi.
- Ottimizzazione delle risorse. L’approccio SOAR nasce dalla necessità di offrire una risposta efficace al crescente aumento di minacce informatiche senza che il budget – economico e temporale – dei team di sicurezza cresca a dismisura. Le varie piattaforme utilizzate in queste operazioni, infatti, non permettono solamente di contenere l’aumento dei costi, ma anche di ottimizzare le risorse umane e migliorare la produttività;
- Consolidamento dei workflow. La Security Orchestration può essere utilizzata anche per connettere tra loro diversi sistemi di sicurezza, consentendo così di consolidare flussi di lavoro altrimenti scollegati l'uno dall'altro. Un approccio che torna particolarmente utile quando è necessario dare una risposta veloce in caso di incidenti di sicurezza. I responsabili della sicurezza aziendale possono infatti avere una visione olistica degli eventi in corso e automatizzare i processi di risposta. In questo modo, operazioni che solitamente richiedono decine di minuti e l'intervento di vari addetti, possono essere gestiti in parallelo e con un risparmio sulle tempistiche di intervento anche dell'80%;
- Gestione efficiente degli incidenti. A questo, si unisce un riscontro più veloce ed efficace a eventuali minacce “intercettate” dalla piattaforma TIP. La risposta, inoltre, diventa anche più accurata e consente una risoluzione della problematica in tempi più brevi;
- Flessibilità. Le tecnologie SOAR garantiscono ai team IT un certo grado di flessibilità, in modo da poterle adattare alle necessità “particolari” dell’infrastruttura da salvaguardare. Le modalità di tracciamento dei dati e delle informazioni, così come la loro analisi e il loro utilizzo, possono essere scelte e modificate dai responsabili della sicurezza informatica aziendale, così da poter fronteggiare situazioni anche molto diverse l’una dall’altra.