Automazione della Cyber Security: beneficio o minaccia?
L'automazione nella sicurezza informatica sta diventando sempre più importante per liberare gli analisti dai compiti ripetitivi, permettendo loro di dedicare tempo all'analisi delle minacce più importanti.
Tuttavia è fondamentale avere il controllo totale sul suo funzionamento e per questo è utile avere una piattaforma SOAR (Security Orchestration Automation and Response) che ne permetta il totale controllo.
Il ruolo dell'automazione in un SOAR è quello di alleviare il peso delle organizzazioni di sicurezza informatica automatizzando i comportamenti ripetitivi di basso valore.
Il grado di automazione deve essere regolato e i team di sicurezza devono determinare quali compiti debbano includere l'interazione umana (estremamente fondamentale in alcuni processi).
Cosa significa automazione in un SOAR?
Il SOAR è un tipo di tecnologia che permette alle organizzazioni di replicare i propri processi operativi di sicurezza in un flusso di lavoro che consenta di orchestrare i tool e le tecnologie esistenti per meglio identificare, tracciare e porre rimedio agli incidenti informatici.
Gli analisti hanno una miriade di compiti e processi che devono svolgere, e l'automazione gioca qui un ruolo vitale nel liberarli dai compiti ripetitivi, permettendo loro di avere più tempo per concentrarsi sull'analisi delle minacce più importanti.
Qual è la differenza tra l'automazione e l'orchestrazione della sicurezza?
Grazie all'Orchestrazione è possibile collegare tutte le tecnologie di cui i SecOps hanno bisogno (attraverso connettori API). Questo permette loro di replicare i processi di risposta alle minacce e di ottenere, in un'unico strumento, tutte le informazioni di cui un esperto ha bisogno per prendere le decisioni.
L'automazione permette di accelerare l'implementazione dei processi perché l'operatore interviene solo dove ci sono decisioni da prendere o valutazioni da fare ed è focalizzata sull'assistenza ai team con compiti ripetitivi, dispendiosi in termini di tempo e di basso livello.
Come può l'automazione migliorare le operazioni di sicurezza?
Il SOAR non sostituisce l'intervento umano, ma aiuta a velocizzare le attività degli analisti concentrandoli sulle attività a valore, essendo uno strumento che permette di far dialogare tra loro più tecnologie gestendole da un'unica consolle.
Quali processi operativi possono essere automatizzati?
Possono essere gestiti dal SOAR non solo gli incidenti di sicurezza informatica ma tutti quelli che hanno delle sequenze ripetitive che devono essere svolte.
Le soluzioni SOAR utilizzano i Runbook/playbook, per automatizzare i processi di triage, indagine e di contenimento (tutto sotto il vigile controllo degli operatori). Inoltre, l'automazione permette di eseguire un arricchimento dei dati, assicurando che nessuna minaccia rimanga senza le corrette informazioni su di essa.
C'è un lato negativo dell'automazione nelle operazioni di sicurezza?
Si, il pensare che possa sostituire l'uomo. Anche se l'automazione gestisce i compiti in modo indipendente, deve comunque essere istruita. Gli analisti grazie a una soluzione SOAR possono replicare i processi di risposta alle minacce e definire quali funzioni devono essere automatizzate e quali no. Il processo di automazione richiede il controllo umano per essere ottimizzato e adattato al modo in cui l'organizzazione vuole che il processo di automazione sia gestito.
Vuoi saperne di più?