SOAR è l’acronimo di Security Orchestration, Automation, and Response. Si tratta di una soluzione software, ovvero di un insieme di programmi progettati per consentire ai team di Sicurezza (i famosi SOC – Security Operation Center), di integrare e coordinare gli strumenti separati dell’intera infrastruttura informatica e di rete, in flussi di lavoro semplificati e gestiti per la detection and response nei confronti delle minacce informatiche.
Le piattaforme SOAR offrono ai SOC:
Orchestration: utilizzare una console di direzione centrale dove è possibile ingegnerizzare procedure ottimizzate.
Automation: automatizzare attività ripetitive di basso livello in flussi di lavoro organizzati.
Response: gestire tutti gli avvisi di sicurezza generati da questi strumenti in un unico luogo centrale, da dove parte la risposta sia della parte tecnologica che di quella umana del SOC alle minacce reali.
Nel SOAR i dati vengono gestiti tramite un playbook (un insieme di procedure, linee guida e istruzioni predefinite) che permette al SOC di performare molto più rapidamente ed efficacemente, riducendo il tempo e ottimizzando la qualità di risposta delle azioni intraprese nei confronti delle più disparate minacce informatiche.
Il SOAR è anche la piattaforma nella quale confluiscono tutti gli allarmi dei vari prodotti di sicurezza dei clienti di un fornitore all’avanguardia di Servizi Gestiti di Cybersecurity.
Ovviamente, per poter espletare tutta la sua forza nel fronteggiare il costante aumento quantitativo e, purtroppo, anche qualitativo delle minacce informatiche, il SOAR si serve di una serie di soluzioni tecnologiche all’avanguardia.
Soluzioni tecnologiche alla base del SOAR
- SIEM (Security Information and Event Management)
Il SIEM è la tecnologia nella quale confluiscono i log (essenziali per monitorare, diagnosticare e analizzare il comportamento di sistemi e applicazioni) di tutti i prodotti di sicurezza di un cliente e dove vengono create le regole di sicurezza per andare a identificare i comportamenti sospetti che generano un alert, il quale viene automaticamente inviato al SOAR per la gestione.
Si tratta di una soluzione di sicurezza fondamentale, che aiuta le aziende a riconoscere e affrontare potenziali minacce e vulnerabilità, prima che esse possano mettere KO le sempre maggiori attività del business legate all’uso dell’informatica.
- EDR (Endpoint Detection and Response)
Gli EDR sono dei programmi di sicurezza progettati per rilevare, rispondere e indagare su attività sospette o minacce avanzate, raccogliendo continuamente i dati da tutti gli endpoint della rete: computer desktop e laptop, server, dispositivi mobili e altro ancora.
Un EDR è come un guardiano molto intelligente, che non si basa solo su un elenco di malware noti, ma che osserva anche le caratteristiche e il comportamento di ciò che entra nel tuo dispositivo. In altre parole, un EDR riconosce la minaccia non solo dalla sua impronta (firma) ma anche dal suo modo di comportarsi e dalle sue molteplici sfaccettature. Come gli antivirus, gli EDR eseguono scansioni del sistema, monitorandolo in real-time, ma, grazie all’analisi del comportamento, riescono a rilevare con molta più precisione le minacce informatiche – anche quelle che gli antivirus non riescono a identificare!
- Sonde di Rete (Network Monitoring Probes)
Le Sonde di Rete sono dispositivi utilizzati, come esplicitato dal nome stesso, per monitorare il traffico della rete in tempo reale. Questi dispositivi sono progettati per raccogliere informazioni sulle attività di rete, come il flusso di dati, i protocolli utilizzati, le prestazioni della rete e, ovviamente, anche eventuali anomalie o attività sospette. Le sonde di rete giocano un ruolo di precisione nella rilevazione di tentativi di intrusioni, malware o attacchi informatici, consentendo al SOC di identificare e rispondere prontamente alle minacce di sicurezza, con ovvi vantaggi per l’azienda che incappa in queste ormai consuete pratiche di cybercrime.
- Mail Security
La Mail Security racchiude un insieme di tecniche utilizzate per mantenere le informazioni sensibili scambiate nelle comunicazioni via e-mail, che rimangono tutt’oggi una delle brecce più preferite dagli hacker, attraverso tecniche di #Phishing, che a sua volta veicola malware, tra cui anche i famigerati e giustamente temuti #ransomware. Nella procedura di Mail Security le e-mail sospette vengono intercettate da un Gateway di Sicurezza e inviate al SIEM che le esamina, per poi procedere all’eventuale generazione di un alert. Questo processo automatico protegge proattivamente da accessi non autorizzati, da cancellazioni accidentali o da compromissioni degli account.
“Un’orchestra, se sta funzionando nel migliore dei modi, è un’unità creativa. Un gruppo di uomini e donne arrivano al punto di ri-creare insieme qualcosa che è bello.” HERBERT VON KARAJAN
Restando fermo il punto che la prima difesa è sempre la consapevolezza e la prudenza di tutto il personale d’azienda (da richiedere con costanza e da portare con azioni di formazione nella Cyber Security Awareness), queste tecnologie risultano via via sempre più indispensabili anche per la PMI e non solo per le grandi aziende. Soluzioni indispensabili per chi desidera affidare l’armonia del proprio business a un valido direttore d’orchestra informatico, chiamato SOAR.
