Axitea » Approfondimenti » Le piattaforme SOAR: ecco come rendono più efficiente una difesa cyber

Approfondimenti

Le piattaforme SOAR: ecco come rendono più efficiente una difesa cyber

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

Un’azienda che affida la propria protezione cyber a una società specializzata di servizi gestiti deve verificare che quest’ultima disponga di un Security Operation Center (SOC) dotato di infrastrutture idonee ad affrontare le ultime sfide poste dalle minacce informatiche.

Le più grandi sfide che un SOC deve affrontare oggi sono l’aumento degli incidenti e la gestione & minimizzazione dei falsi positivi: la prima sfida è dovuta al complessificarsi delle tecnologie di sicurezza poste a difesa dei differenti vettori di attacco come l’endpoint, l’esfiltrazione dei dati, la protezione perimetrale, la protezione DNS ecc., mentre la seconda è una sfida nel migliorare sempre di più le metriche di rilevamento di un attacco.

Le aziende dovrebbero dunque affidarsi a professionisti di sicurezza che siano continua ricerca di strumenti che possano migliorare la gestione scalabile degli eventi, misurare la qualità dei servizi e correlare eventi che provengono dalle diverse tecnologie dei propri clienti. Oggi le piattaforme SOAR (Security Orchestration Automation and Response) sono fondamentali per un SOC per raggiungere questi scopi e offrire servizi di sicurezza gestita di qualità. Vediamo insieme perché.

Il SOAR per l’integrazione di sistemi di sicurezza cyber

La piattaforma SOAR permette di integrare tecnologie su cui i propri clienti hanno già investito ricerca e licenze e abilita l’orchestrazione di più attori in un unico processo di gestione degli incidenti informatici, che rimane il concetto chiave al quale un servizio gestito deve far fronte.

Con l’evoluzione dell’industria cyber, infatti, diverse organizzazioni hanno adottato tecnologie siloed di protezione degli asset: ogni tool presenta interfacce di gestione e metriche differenti, difficili da far interfacciare tra loro.

Il SOAR abilita una risposta agli incidenti rapida, efficiente e co-gestita

Nelle prime fasi di un incidente, la risposta è critica e un processo manuale non può competere con l’automazione. Confermare con velocità un attacco, identificando utenti e dispositivi affetti permette di minimizzare o contenere gli impatti dell’attacco.

Servizi gestiti di cyber security come quelli di Axitea aggiungono il concetto di co-design della risposta agli incidenti attraverso flussi di automazione che contattano le tecnologie di sicurezza e gli stakeholder definiti nel minor tempo possibile.

Utilizzo di un processo consistente

La più grande risorsa all’interno di un SOC sono gli analisti che monitorano 24/7 gli eventi per definire i falsi positivi dai veri e propri incidenti. Hanno uno skillset differente in base all’esperienza e potrebbero gestire un evento secondo differenti punti di vista.

La tecnologia SOAR aiuta a definire ‘playbook’ di gestione dei flussi di risposta in seguito ai particolari vettori di attacco. In questo modo, gli analisti sono guidati nell’investigazione della minaccia con un processo standardizzato ed esportato ai clienti.

Si amplia ulteriormente il processo classico di gestione di incidenti in modalità MSSP (Managed Security Service Provider), con la possibilità di richiedere informazioni ai riferimenti coinvolti e a favorire la collaborazione in War Room dedicate alla risoluzione dell’anomalia riscontrata.

Condivisione della conoscenza sulle minacce

Il concetto di Threat Intelligence si basa sull’acquisizione di indicatori che possono attribuire il nome di un file o di un IP o di un qualsiasi artefatto relativo ad un incidente, all’arricchimento degli indicatori con fonti di terze parti e alla possibilità di aggregarli per condividerli esternamente.

Con la tecnologia SOAR si è in grado di arricchire incidenti in modo da portare le giuste evidenze agli analisti, eseguire double-check per validare rilevamenti che si basano su tecnologie dei clienti e per poter collaborare con la community cyber esportando le minacce analizzate.

Ridurre errori e migliorare l’esecuzione di task ripetitivi

Durante l’investigazione è necessario controllare una fonte su più ambienti e dover ricercare stringhe di dati molto complesse, attività che se effettuata manualmente è causa di errori e rallentamenti nella risposta agli incidenti.

La piattaforma di automazione solleva dall’incombenza di dover eseguire manualmente un task ripetitivo come quello di verifica di un analista all’interno di diversi database delle minacce: ciò consente di minimizzare errori in fasi cruciali di investigazione degli eventi per portare le evidenze corrette e comprovate da più fonti.

Esportare metriche di qualità dei servizi gestiti grazie al SOAR

Flussi di risposta alle minacce, metriche di tempi di presa in carico e risoluzione di un incidente, scalabilità e automazione sono elementi utili per valutare la qualità dei servizi che con una piattaforma SOAR vengono esportati ai clienti attraverso report automatizzati ed integrati.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su