Le aziende che puntano a far crescere le proprie capacità di protezione e le Security Operations, sanno che oggi un tema importante è la flessibilità, ossia, poter modificare le priorità sulla base di cambiamenti che investono infrastrutture e processi IT, oltre che nuove vulnerabilità ed evoluzione delle minacce cyber. Il consolidamento continuo nell’ambito delle Security Operation ha portato ad una sempre maggiore integrazione tra i diversi, numerosi, strumenti e ambiti: capacità analitiche e visibilità estesa, correlazione di alert, playbook automatici per la gestione degli incidenti sono aspetti che promettono di ridurre la complessità di gestione della security, aumentarne l’efficacia e ridurne i tempi, adottando una security service automation reale e preventiva con una strategia di orchestration e reaction.
Oggi le evoluzioni delle Security operations sono ricondotte, soprattutto nelle organizzazioni più grandi e complesse, ad alcuni temi emergenti: la Security orchestration automation e response (SOAR), l’Extended detection e response (XDR) e l’Attack surface management (ASM, ricerca delle vulnerabilità sul perimetro esterno dell’azienda). Questi strumenti potranno in futuro agire sempre più in sinergia (sulla base di quanto i vendor stanno annunciando sugli sviluppi futuri): ad esempio, l’XDR verificando dinamiche sugli asset e sulla rete, permetterà alla SOAR di creare playbook e metterli in service automation, e, qualora si ripresentino dinamiche simili, andare ad agire direttamente sull’XDR. Con l’Attack surface management, infine, individuando una vulnerabilità dall’esterno, si potrà richiamare in automatico sia XDR sia SOAR, con un ulteriore incremento di efficienza per le Security operations.
In tutti i casi, si tratta però di soluzioni che presentano specifiche complessità e punti di attenzione nell’implementazione. Ne abbiamo parlato in questo articolo con Vittorio Baiocco, Responsabile Sicurezza ICT e Team SOC, Inail e con Fabio Gianotti, CISO di Banca Mediolanum.
Cos’è la Security orchestration, automation e response (SOAR)
Gli strumenti SOAR sono utilizzati nel SOC (security operation center) per ottimizzarne i processi, la consistenza e l’efficacia nelle attività di monitoraggio, rilevamento e gestione degli incidenti: aiutano ad ottimizzare e orchestrare la risposta, introducendo automazione ove possibile. Aiutano quindi a ridurre il carico di lavoro legato alle persone della security, rendono tutta una serie di attività ripetitive molto più veloci, liberando quindi le persone dai task meno critici. Soprattutto in contesti molto complessi, SOAR aiuta a ridurre il “rumore di fondo” che tiene impegnato il team SOC e gli impedisce di focalizzarsi sugli aspetti più importanti.
Il valore di una soluzione SOAR
Per comprendere come SOAR potrà aiutare le aziende a ridurre la complessità di gestione della sicurezza, abbiamo intervistato su questi temi Vittorio Baiocco, Responsabile Sicurezza ICT e Team SOC, Inail.
“L’utilizzo di SOAR è già iniziato da qualche tempo” commenta Vittorio Baiocco. “Si tratta di strumenti che consentono di raccogliere grandi quantità di dati, avvisi su minacce ed alert, da fonti disomogenee tra loro. Le Security operation hanno il problema di un gran numero di apparati da integrare: SOAR aiuta in questo, consente di automatizzare procedure quotidiane standard, velocizza la risposta in caso di eventuali incidenti, e, pur non sostituendosi agli analisti, offre una condivisione di informazioni che dà risultati importanti.
In aggiunta, le ultime soluzioni SOAR comprendono al loro interno un machine learning piuttosto avanzato, un apprendimento automatico che integra tutte le funzioni SOAR. In questo modo, fornisce al software i mezzi per adattarsi a qualsiasi cambiamento, non si basa più su sole regole statiche.
Riunendo tutti gli strumenti di sicurezza, il SOC riesce ad orchestrare bene le attività da un’unica piattaforma. Automatizzando attività di routine come controlli quotidiani e procedure standard, si riducono i tempi della risposta. Risolve anche la carenza di competenze: su un SOC di primo livello, il SOAR aiuta a gestire eventi meno critici, e passare agli analisti, in un SOC di secondo livello, quelli più pericolosi. Rende anche più standard il processo di analisi delle minacce, evitando approcci diversificati anche all’interno dello stesso team”.
I punti di attenzione nell’implementazione di SOAR
Naturalmente il SOAR non è la soluzione a tutti i mali … in alcuni casi funziona bene, ma solo se i processi che automatizza sono ben noti e documentati. Prima di essere implementato serve quindi un certo lavoro di razionalizzazione nel SOC. C’è da notare però che oggi è lo stesso SOAR a dare la possibilità di capire cosa è fuori dall’ambito dei playbook, a far emergere tutti i processi esterni al modello di service automation, per aggiungerli e migliorare quindi nel complesso.
Altro aspetto, va segnalato che queste soluzioni vanno gestite e mantenute opportunamente, perché se ne possa trarre il massimo valore. Per farlo, servono – di nuovo – competenze specifiche, la capacità di effettuare aggiornamenti, garantire performance, gestire workflow e playbook.
“Come punti di attenzione nell’uso di strumenti SOAR, segnalo che serve una governance forte e dei processi ben definiti, se no è difficile automatizzarli – ha commentato Vittorio Baiocco -. Non è facile scegliere una soluzione SOAR, deve essere allineata alle risorse a disposizione del SOC, e bisogna considerare le funzionalità offerte anche in base al prezzo. O si hanno a disposizione moduli funzionali ben precisi, oppure è difficile capire quale SOAR sarà il migliore per il proprio caso. Servono poi risorse con skill adeguati a configurarlo, con competenze sui playbook per correlare gli eventi, sui form per scrivere gli script, in quanto le regole personalizzate sono scritte a mano”.
Cosa è l’Extended detection e response (XDR)
L’XDR è una soluzione vendor-specific, che impianta un nuovo modello di raccolta di informazioni strategiche sul target dove è installata, estendendo le capacità di prevenzione, azione e segnalazione di eventi anomali.
Ci spiega Fabio Gianotti: “Ha come scopo quello di fornire funzionalità analitiche, correlazione di alert, ereditare playbook automatici per la gestione degli incidenti, e, non ultimo, ha il compito di “eradicare“ le potenziali minacce e, soprattutto, di definire i vettori di attacco all’interno dell’ecosistema dove viene attivata. Si può osservare quindi che l’XDR ha un posizionamento apparentemente simile a quello occupato finora da SIEM, ma profondamente diverso per come sono espletate le funzioni di sicurezza. Il vantaggio di una soluzione XDR rispetto alle tecnologie di sicurezza oggi viste come standard de facto (firewall IPS Antivirus EDR etc..) è che viene fornita con un livello elevato di integrazione, automazione, facilità di utilizzo, rilevamento delle minacce e risposta, facendo leva anche sulle piattaforme di Threat Intelligence presenti sul mercato e in alcuni casi fornite dai vendor XDR stessi, via API per l’integrazione realt time e end-to-end in alcuni casi”.
“Oggi ogni vendor ha sviluppato la sua strategia XDR” commenta Fabio Gianotti. “La scelta di una specifica soluzione deve dipendere quindi dal contesto specifico in cui viene applicata. Inoltre, va capito bene la diversità dell’XDR rispetto al SIEM. L’XDR raccoglie il dato direttamente sul target, mentre il SIEM fa le correlazioni dopo aver raccolto tutte le informazioni legate ai rischi. L’XDR riconosce quindi direttamente l’evento sul singolo asset che gestisce. L’informazione, presa direttamente dalla fonte, può essere poi correlata con altri strumenti di Threat Intelligence o Machine Learning. A questo punto, è possibile anche fare a meno del SIEM, perché con XDR si ragiona sul vettore di attacco in modo diverso: il SIEM raccoglie tutte le informazioni, ma con l’XDR sono più efficiente, vedo il vettore di attacco sui target, li correlo e non storicizzo l’evento, ma direttamente il vettore di attacco. Di conseguenza, mentre il SOC” vecchia maniera” ha un costo importante legato a un volume importante di dati, a IoC (indicatori di compromissione) che, se non utilizzati, sono solo un peso, una soluzione XDR invece riesce a trovare prima il problema, a identificare il dato in ottica di correlazione dei vari livelli dello stack di servizio, isolati per visione verticale e trasversale. Tanti XDR messi in parallelo danno anche la percezione del Lateral Movement, e infine, l’eradication, e questo fa la vera differenza tra EDR e XDR. In definitiva, il futuro (almeno per il settore enterprise) mi aspetto che sarà tutto costruito su un modello basato su XDR, Attack surface management e SOAR, con le varie correlazioni”.
Il valore di una soluzione XDR
Il valore che l’XDR offre quindi nella riduzione del TCO della gestione di incidenti rende questa tecnologia molto appealing, soprattutto in situazioni in cui mancava finora un approccio integrato (dalla detection alla risposta) alla gestione dei rischi cyber, ad esempio in aziende mid market.
“Il valore dell’XDR sta nella possibilità di prendere le informazioni direttamente dal target – commenta Fabio Gianotti –, e di averle già sintetizzate per attivare le azioni di risposta, o con un playbook, agire quando un evento viene intercettato, con la remediation automatica. Ad esempio, durante l’emergenza Log4J noi abbiamo avuto pochissimi impatti, perché avendo messo, all’interno del nostro concetto di service automation, il WAF all’esterno in cloud e L’Attack Surface Management (ASM) in continuo monitoraggio, arrivati i CVE di Log4J, il WAF è stato aggiornato immediatamente in modo autonomo dall’operation. Molti attacchi, quindi, sono stati rimbalzati fin all’inizio, e abbiamo preso tempo per attivarci sulle altre attività di remediation fino alle protezioni sugli end point. Questo ha dimostrato che con la service automation si è ridotta l’interazione con l’operation IT, e lo zero-day è stato gestito grazie al front end di protezione in cloud, dall’esterno, dandoci il tempo di fare le attività interne con più calma”.
Punti di attenzione invece nell’utilizzo di strumenti XDR?
“Un punto di attenzione è fare i Playbook e il setup in modo corretto rispetto al tessuto aziendale – ha aggiunto Fabio Gianotti –. La service automation poi va gestita, perché non si creino problemi per il business. L’XDR impara, dà informazioni, si fissano alcune regole di base, poi il funzionamento della tecnologia migliora via via che il learning diventa consistente. Altra notazione: non è detto che il migliore XDR in assoluto vada bene in tutte le aziende. Ad esempio, dove bisogna coesistere con ambienti legacy (es. Linux 5, o alcune versioni di Microsoft) non è detto che questi siano supportati da tutti i vendor di XDR.
In ogni modo, l’aiuto che fornisce è importante: tra l’altro, evito il patching massivo indiscriminato con impatti alle applicazioni e piattaforme aziendali, riuscendo a programmarlo come impatto di rischio sui target, attivando gli XDR in modo ragionato e puntuale e dimostrando ad un eventuale regulator e/o auditor che l’asset è protetto. Con l’aggiunta dell’Attack surface management, sincronizzato alla parte XDR e a quella SOAR, con un’intelligence e un continuous read teaming, si arriva ad avere la visione complessiva del tessuto di sicurezza in azienda in tempo reale, cosa che in passato è sempre stata molto più complicata e onerosa oltre che meno puntuale”.
A cura di:
Elena Vaciago, @evaciago