L'automazione intelligente sta avendo un impatto sui mercati tecnologici. E a causa di una enorme carenza di manodopera in uno di questi mercati—la cybersecurity—l'automazione è diventata incredibilmente importante.
Le aziende stanno incontrando difficoltà di assunzione, utilizzando personale poco qualificato e gestendo dozzine di strumenti contemporaneamente—queste difficoltà hanno implicazioni reali. Il personale poco qualificato e a corto di personale è più propenso a esporre informazioni e utilizzare strumenti in modo improprio; questo si aggiunge al rischio e alle potenziali conseguenze di lasciare posizioni di sicurezza aperte e non presidiate per mesi.
Una soluzione potenziale: software di sicurezza dei sistemi specializzati. Sebbene non risponda completamente alla questione del divario di competenze, le piattaforme di orchestrazione, automazione e risposta della sicurezza (SOAR) sono progettate per semplificare e automatizzare enormi quantità di compiti di sicurezza, rendendo i team più snelli, efficaci ed efficienti.
Cos'è SOAR?
Piattaforma SOAR
In sostanza, una piattaforma SOAR è un motore di automazione collegato a ogni strumento di sicurezza in esecuzione su una rete o in un ambiente. SOAR diventa il centro di un team di operazioni di sicurezza, poiché gestisce e automatizza le attività di rimedio fornendo visibilità su reti, ambienti cloud e risorse on-premises.
Le aziende integrano le piattaforme SOAR con le soluzioni di sicurezza esistenti, dove i team definiscono e stabiliscono logiche operative specifiche e politiche di sicurezza. La piattaforma utilizza quindi informazioni contestuali dallo strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) di un'azienda per identificare anomalie e malfunzionamenti. Le piattaforme SOAR si integrano anche con software firewall, strumenti di risposta agli incidenti, software CASB e praticamente qualsiasi altro strumento di sicurezza disponibile per le aziende.
SOAR vs. SIEM: Più di un complemento al SIEM
Le aziende utilizzano soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) per raccogliere e memorizzare informazioni su endpoint, reti e altri asset IT. I team tipicamente fanno questo posizionando un agente su ogni dispositivo per raccogliere dati e monitorare l'attività. Queste informazioni vengono utilizzate per identificare attività anomale, incidenti di sicurezza e qualsiasi altro tipo di attacco.
SOAR compie il passo operativo successivo. Dopo aver integrato la soluzione SOAR con un SIEM e aver elaborato le informazioni memorizzate, lo strumento SOAR può integrarsi con ulteriori strumenti di sicurezza per automatizzare i compiti del flusso di lavoro. Ad esempio, gli utenti SOAR aggiungeranno tipicamente uno strumento di risposta agli incidenti alla piattaforma per automatizzare il rimedio quando si verificano incidenti. Possono anche integrare strumenti di analisi della sicurezza o delle vulnerabilità per aggiungere informazioni contestuali ai motori di rischio. Ci sono infinite possibilità, ma tutte ruotano attorno alla logica impostata dai team di sicurezza e alle operazioni che desiderano automatizzare. Ad esempio, possono essere impostati trigger per isolare automaticamente un dispositivo se viene rilevato un malware. I sistemi possono scansionare continuamente alla ricerca di anomalie e automatizzare l'indagine e il rimedio una volta scoperte.
SOAR non è un sostituto delle soluzioni SIEM; in realtà, SIEM alimenta SOAR. Il SIEM fornisce tutti i dati contestuali e le informazioni di sicurezza necessarie per addestrare la piattaforma SOAR a identificare anomalie e automatizzare il loro rimedio.
Cosa sta guidando l'adozione di SOAR?
Ci sono numerosi vantaggi di questa tecnologia emergente, descritta per la prima volta nel 2017. Mentre i prodotti SOAR specifici vantano caratteristiche diverse, le somiglianze tra i loro vantaggi includono un aumento dell'efficienza e della visibilità per i team di operazioni di sicurezza—attraverso sia l'integrazione che l'automazione.
Efficienza Operativa
In parole povere, l'automazione rende il lavoro dei dipendenti più facile. Le piattaforme SOAR consentono ai team di stabilire priorità e costruire un flusso di lavoro per eventi di sicurezza che richiedono uno sforzo umano minimo. I team stabiliscono norme operative attraverso logiche e politiche, che i prodotti SOAR confrontano e consultano costantemente per rilevare anomalie. Se il rilevamento e il rimedio sono automatizzati, i team hanno più tempo per trovare la causa principale di un problema e prevenirne il ripetersi. Inoltre, in caso di un grave incidente di sicurezza, questi prodotti possono avvisare istantaneamente i team per una risposta rapida.
Efficacia della Risposta
Prima i team di sicurezza possono rilevare un problema, più facilmente possono risolverlo. I sistemi legacy possono avere la capacità di avvisare un individuo di un evento, inviare un'email a un altro per l'indagine e avvisare un altro per il rimedio. Le soluzioni SOAR consentono di rilevare e risolvere automaticamente problemi semplici. Altri problemi più complessi possono essere indagati utilizzando strumenti integrati e informazioni forensi aggregate raccolte dal software SIEM. Una volta analizzate le informazioni, i team di indagine possono presentare i dati al personale di risposta agli incidenti prima che siano persino a conoscenza dell'incidente, riducendo drasticamente il tempo trascorso dalla scoperta al rimedio.
Riduzione del Rischio
La riduzione del rischio viene raggiunta con SOAR semplificando il processo di prioritizzazione degli incidenti e delle vulnerabilità. La gestione delle vulnerabilità è uno dei processi più grandi che SOAR può influenzare. Le aziende possono avere centinaia di configurazioni da esaminare, ma la prioritizzazione intelligente basata sul rischio aiuta le aziende a affrontare i problemi con il maggiore impatto identificando risorse critiche potenzialmente colpite da problemi importanti. I problemi semplici possono essere risolti automaticamente (o salvati per dopo) mentre i team di sicurezza affrontano i problemi che riguardano i sistemi critici per il business.
Novità nel mercato SOAR
Sebbene la tecnologia SOAR sia presente solo da pochi anni, si prevede che il settore supererà i 2 miliardi di dollari entro il 2025, espandendosi a un tasso di crescita annuale composto (CAGR) del 16% durante il periodo, secondo KBV Research.
Immagine per gentile concessione di: MarketsandMarkets
Quell'attività si è manifestata in molte forme.
Alcune di esse si sono manifestate sotto forma di nuovi prodotti da parte di grandi attori nel mondo della sicurezza. E mentre un certo numero di fornitori SIEM sono emersi organicamente, l'adesione da parte di giganti tecnologici come Rapid7 e FireEye negli ultimi anni ha dato credibilità al mercato.
Le acquisizioni hanno aggiunto legittimità al mercato. Negli ultimi anni, le startup legate a SOAR sono state acquisite da fornitori di sicurezza:
- Oltre a lanciare la sua piattaforma SOAR InsightConnect nel 2018, Rapid7 ha rafforzato la sua tecnologia con l'acquisizione di tre startup legate a SOAR: NetFort, tCell e Komand.
- Splunk ha acquisito VictorOPs e Phantom nel 2019 per costruire Splunk Enterprise Security e automatizzare le operazioni di sicurezza attraverso Splunk Phantom Security Orchestration.
- Palo Alto Networks ha acquisito Demisto, un Leader nella categoria SOAR di G2, e Fortinet ha acquistato Cybersponse nel 2019.
L'elenco continua. Le acquisizioni possono rubare i titoli, ma i fornitori SOAR che collaborano con istituzioni tecnologiche, di consulenza e finanziarie hanno guidato molta crescita del mercato. La maggior parte di queste collaborazioni si è manifestata in due forme: studi di casi di servizi cloud aziendali e accordi con fornitori di servizi gestiti (MSP).
LogRythm ha iniziato una partnership con Dell EMC nel 2016 per integrare soluzioni aggiungendo automazione e analisi della sicurezza ai prodotti Dell EMC. L'anno successivo, ThreatConnect ha iniziato a collaborare con CenturyLink; Rapid7 ha collaborato con Microsoft; e Demisto ha lavorato con AWS; tutti hanno aggiunto automazione della sicurezza ai loro prodotti e servizi.
Splunk ha iniziato le partnership MSP nel 2016 mentre lavorava con Accenture per automatizzare la sicurezza per i servizi applicativi di Accenture. LogRythm ha seguito l'esempio nel 2017 per fare lo stesso per Deloitte. Da allora, un certo numero di altri fornitori di consulenza, assicurazioni e servizi, hanno collaborato con fornitori di soluzioni SOAR per espandere la funzionalità dei loro prodotti o esternalizzare parti dei loro servizi.
Il futuro delle operazioni di sicurezza
Queste tendenze della sicurezza continueranno nel 2020 e oltre.
Per le imprese, questo significa un lavoro più collaborativo tra fornitori di sicurezza e fornitori di servizi per migliorare l'automazione della sicurezza per le loro attività e clienti.
Per i team di sicurezza, l'impatto maggiore sarà un lavoro più facile: raggiungere automazione e visibilità, eseguire soluzioni di sicurezza in sincronia e sviluppare flussi di lavoro di risposta. Questo consente ai team di sicurezza di identificare e prioritizzare i problemi in base ai propri obiettivi o esigenze unici. Inoltre, possono sprecare meno tempo su problemi minori e valutare i rischi di conseguenza per ottimizzare l'impatto di ogni secondo che trascorrono lavorando.
Questo dovrebbe influenzare una quantità sostanziale di team di sicurezza aziendali. Entro il 2022, quasi un terzo delle organizzazioni aziendali sarà composto da cinque o più professionisti della sicurezza. Quel numero aumenterà vertiginosamente dal 5% di oggi, secondo Gartner.
I futuri team di sicurezza alimentati da SOAR saranno meglio attrezzati che mai per analizzare i rischi, scoprire problemi di sicurezza e rimediare rapidamente alle minacce.
Vuoi saperne di più su Software di gestione delle vulnerabilità? Esplora i prodotti Gestione delle Vulnerabilità.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
