Red Hat SummitPanoramica
SOAR è l'acronimo di Security Orchestration, Automation and Response (SOAR) e descrive un insieme di funzionalità utilizzate per proteggere i sistemi IT dalle minacce.
L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza informatica: gestione degli scenari e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce. Il termine è stato utilizzato per la prima volta dalla società di analisi Gartner. Gli analisti della sicurezza definiscono l'acronimo SOAR con altri termini. IDC, ad esempio, fa riferimento ai concetti di Security Analytics, Intelligence, Response e Orchestration (AIRO), mentre Forrester descrive le stesse funzionalità come Security Automation e Orchestration (SAO).
Le funzionalità SOAR vengono in genere implementate nel centro per la sicurezza dei sistemi informativi (SOC, Security Operations Center) dell'organizzazione. Le piattaforme SOAR monitorano i feed delle informazioni sulle minacce e attivano le risposte automatiche ai problemi di sicurezza, aiutando così i team IT a contenere le minacce in modo rapido ed efficiente, anche su più sistemi complessi.
Automazione e orchestrazione delle attività
L'automazione della sicurezza è il processo con cui le attività operative di sicurezza vengono eseguite senza intervento umano. In ambito di sicurezza, l'esigenza di automazione è molto elevata, considerata la complessità dell'infrastruttura e la scarsa integrazione tra i suoi diversi componenti. Come capire quali sono le attività da automatizzare? Ecco alcune domande da porsi:
- Si tratta di un'attività di routine? Deve essere eseguita regolarmente?
- Si tratta di un'attività ripetitiva? Prevede un insieme di azioni specifiche da completare con precisione?
- È un'attività che richiede tempo? Il team dedica un tempo significativo a questo insieme di azioni?
Una risposta affermativa a una qualsiasi delle domande precedenti suggerisce un'esigenza di automazione. In ogni caso l'automazione incide positivamente su vari aspetti dell'organizzazione tra cui: riduzione dell'errore umano, efficienza e rapidità migliorate e una maggiore coerenza nelle reazioni agli incidenti di sicurezza.
Perché automatizzare i processi di sicurezza?
Uno dei vantaggi principali dell'automazione delle attività è la maggiore efficienza dei team che si occupano della sicurezza, che otterranno più tempo da dedicare a compiti strategici. Un altro aspetto è la scarsità di professionisti della sicurezza in grado di soddisfare ogni esigenza dell'organizzazione; in questo senso, l'automazione può contribuire a colmare la scarsità di talenti permettendo ai team di fare di più in meno tempo.
I team della sicurezza devono inoltre fare i conti con l'elevato numero di strumenti e prodotti differenti e in genere non integrati tra loro, come i software EDR (Endpoint Detection and Response), i firewall e le soluzioni SIEM (Security Information and Event Management). La gestione manuale di queste attività può causare rallentamenti nell'individuazione e nella risoluzione dei problemi, errori nella configurazione delle risorse e applicazioni di policy incoerenti, rendendo i sistemi vulnerabili ad attacchi e problemi di conformità. L'automazione può aiutare a semplificare le operazioni quotidiane integrando, sin da subito, la sicurezza nei processi, nelle applicazioni e nell'infrastruttura, con un approccio DevSecOps.
Secondo il Ponemon Institute, il rilevamento e il contenimento delle violazioni di sicurezza entro 200 giorni o meno consentono di ridurre il costo medio di una violazione di circa 1,22 milioni di dollari. La rapida individuazione delle minacce può ridurre le probabilità di violazioni della sicurezza e i costi associati, ma ciò non toglie che la correzione su più piattaforme e strumenti può essere complicata, dispendiosa in termini di tempo e soggetta a errori.
Mentre le procedure manuali possono ritardare l'identificazione delle minacce negli ecosistemi IT più complessi, l'automazione applicata ai processi di sicurezza consente di identificare, convalidare ed eseguire l'escalation delle minacce più rapidamente e senza interventi manuali. I team responsabili della sicurezza possono utilizzare l'automazione per applicare simultaneamente le correzioni a tutti i sistemi interessati, migliorando i tempi di risposta.
Differenze tra automazione e orchestrazione
Mentre l'orchestrazione si basa sui processi, l'automazione si basa sulle attività. Con orchestrazione della sicurezza intendiamo un approccio mediante il quale strumenti e sistemi di sicurezza diversi vengono connessi e integrati con la finalità di ottimizzare i workflow di reazione. Questa operazione, e i processi che a questa sottendono, consentono di sfruttare l'automazione nei diversi ambienti aziendali.
Se l'automazione può semplificare i workflow, le persone restano indispensabili per ottenere il valore più importante di una tecnologia SOAR, ovvero l'orchestrazione della sicurezza ad alto livello, con la quale i team IT definiscono il processo per l'esecuzione delle attività automatizzate. L'orchestrazione dei processi di sicurezza si affida alle persone che compongono questi team per determinare perché, quando e per quali aspetti implementare l'automazione della sicurezza.
Intelligence sulle minacce centralizzata
L'intelligence sulle minacce indica l'insieme di conoscenze relative alle minacce esistenti ed emergenti alle risorse dell'azienda. Esistono numerosi database delle vulnerabilità che costituiscono fonti di intelligence sulle minacce. Alcuni metodi di riferimento, come l'elenco CVE, facilitano l'identificazione e la condivisione delle vulnerabilità tra database e piattaforme. Queste ultime acquisiscono le conoscenze da una grande varietà di feed. Gli strumenti SOAR utilizzano tutti i feed di intelligence sulle minacce a loro disposizione per identificare i potenziali rischi. I feed vengono raggruppati in una sorgente unificata alla quale i team possono inviare query, e che può essere utilizzata per l'avvio di attività automatizzate.
A livello organizzativo, il SOC è il nucleo da cui partono le risposte di sicurezza; ciò non toglie che sia difficile ordinare e comunicare con i tanti reparti che costituiscono un'azienda. In questo senso, l'automazione può rappresentare una forza unificatrice e un linguaggio comune tra i reparti. Una soluzione di automazione che coinvolga tutte le piattaforme e i reparti è in grado di definire chiari canali di interazione, facilitando quindi l'identificazione delle minacce di sicurezza e la loro priorità.
Anticipa l'implementazione delle misure di sicurezza nei processi DevOps
La protezione può essere migliorata anticipando l'implementazione della sicurezza nel processo di sviluppo. Il termine "DevOps" descrive gli approcci da adottare per accelerare i processi che consentono a un'idea di passare dallo sviluppo al deployment in un ambiente di produzione. In passato, il ruolo della sicurezza interessava prettamente la fase finale dello sviluppo affidata a un team specifico. Quando i cicli di sviluppo duravano mesi o persino anni, questo non aveva troppo importanza, ma oggi le app vengono distribuite nel giro di alcune settimane. Nel framework DevOps collaborativo, la sicurezza è una responsabilità di tutti, integrata dall'inizio alla fine, e diventa "DevSecOps".
Al pari di DevOps, anche DevSecOps è un modello culturale, in cui la gestione del rischio è fondamentale durante l'intero processo di sviluppo. Spesso, le aziende che danno grande importanza alla sicurezza sono le prime ad adottare i metodi DevSecOps, in base ai quali gli sviluppatori collaborano strettamente con i team di sicurezza e ne implementano prima le misure nel ciclo di sviluppo.
L'implementazione di DevSecOps parte dalla cultura aziendale, ma per essere davvero efficace richiede l'adozione dell'automazione. Quest'ultima può comprendere repository di controllo della sorgente, registri di container, pipeline CI/CD, gestione delle API, monitoraggio e gestione operativa.
Perché scegliere Red Hat?
Si tratta di un software open source di livello enterprise basato su un modello di sviluppo che potenzia i test e l'ottimizzazione delle prestazioni, solitamente grazie al supporto di un team dedicato alla sicurezza. Migliora i processi di risposta alle nuove vulnerabilità di sicurezza e i protocolli che comunicano agli utenti le procedure di correzione da seguire in caso di eventi di sicurezza. È una sorta di versione migliorata dell'open source web of trust che, in ambito di sicurezza informatica, colma qualsiasi lacuna.
Le sottoscrizioni Red Hat® Ansible® Automation Platform consentono di automatizzare, orchestrare e integrare soluzioni di sicurezza diverse, semplificando l'indagine e la reazione alle minacce in tutta l'azienda, secondo modalità coordinate e unificate e con l'impiego di una raccolta idonea di moduli, ruoli e playbook. Diventa inoltre possibile integrare le applicazioni esterne mediante API, SSH, WinRM e altri metodi di accesso standard o preesistenti.
Ansible Automation Platform abilita processi per l'intero stack, dall'infrastruttura alle applicazioni, facendo sì che ogni aspetto sia coordinato con uno specifico livello di tecnologie di sicurezza. I team operativi della sicurezza possono avvalersi della piattaforma per gestire le altre applicazioni aziendali, ad esempio le soluzioni SOAR.
Inoltre, l'esperienza di Red Hat nell'ambito del cloud ibrido open source ci consente di avere una prospettiva unica sull'implementazione della sicurezza, come difesa dalle minacce e dagli attacchi informatici. L'adozione di un modello zero trust può trasformare la prospettiva di un'organizzazione sulla sicurezza e portare a una modifica delle rispettive policy.
