Sebbene alcune soluzioni, come i vari strumenti di rilevamento e risposta, possano migliorare notevolmente la postura di sicurezza di qualsiasi azienda (oltre alla sicurezza degli endpoint), c'è da dire che bisogna alzare ulteriormente l'asticella della risposta e della bonifica.
Per un Security Operations Center (SOC), il Security Information and Event Management (SIEM) e il Security Orchestration, Automation, and Response (SOAR) sono due opzioni complete che esistono per fare proprio questo: elevare il livello di sicurezza informatica. Tuttavia, ognuna di esse offre una serie di strumenti e approcci diversi, che devono essere presi in considerazione prima di scegliere l'una o l'altra.
Che cos'è il Security Information and Event Management (SIEM)?
Uno dei compiti che migliorano notevolmente il lavoro di qualsiasi amministratore della sicurezza informatica è la raccolta dei log e l'analisi dei dati , che è quasi esattamente ciò che il SIEM è in grado di fare meglio. Raccoglie dati da tutte le parti della rete aziendale, segnalando potenziali incidenti e problemi di sicurezza e facilitando la gestione dell'infrastruttura di sicurezza da parte degli operatori.
Sebbene non sia strettamente uno strumento di risposta e bonifica degli incidenti, fornisce informazioni aggiuntive su incidenti ed eventi, svolgendo il ruolo di una sorta di osservatore o monitor dei dati. Tuttavia, questo è anche un aspetto negativo del SIEM: manca l'automazione; quindi, a parte la raccolta dei dati, non può fare molto di più, richiedendo al team IT di utilizzare i dati come meglio crede. Questo potrebbe essere un problema, in quanto le notifiche possono facilmente accumularsi e sovraccaricare i team di sicurezza, mettendo a dura prova e indebolendo la postura di sicurezza di un'azienda. È qui che SOAR ci aiuta.
Che cos'è la Security Orchestration, Automation and Response (SOAR)?
SOAR è una soluzione più moderna che può migliorare notevolmente le capacità dei team di sicurezza quando cercano di proteggere i loro clienti e partner, poiché è un'evoluzione delle capacità del SIEM, anche se non lo sostituisce tecnicamente.
Latecnologia SOAR raccoglie molti più dati rispetto al SIEM, non solo dalla rete aziendale, ma anche da altri feed di sicurezza aggiunti, come le informazioni sulle minacce, e inoltre stabilisce meglio le priorità degli avvisi e dei log. Tuttavia, il suo più grande punto di forza è l'automazione dell'intelligenza artificiale, in quanto è in grado di creare risposte automatiche agli incidenti secondo quanto stabilito dal team IT. Si tratta di un aspetto che manca al SIEM e che rende molto più semplice l'indagine sulle minacce e sugli incidenti.
Tuttavia, non è detto che SOAR possa sostituire completamente il SIEM; la realtà è ben diversa.
Quale soluzione è migliore?
Come accennato in precedenza, sebbene SOAR sembri tecnicamente più impressionante di SIEM, non è un sostituto assoluto. SOAR funziona meglio quando è supportato da molti dati, e SIEM può fornirli in quanto è più che altro uno strumento di aggregazione dei dati, a cui SOAR può dare priorità, evidenziando la risposta e il rimedio migliori, oltre ad automatizzare alcune parti del processo, scaricando alcuni compiti dagli operatori della sicurezza. Si tratta di un processo in due parti, con il SIEM che fornisce la maggior parte dei dati e il SOAR che ne aggiunge altri ed esegue la risposta.
Migliorare la cassetta degli attrezzi di un SOC
I centri operativi per la sicurezza possono disporre di molte tecnologie e strumenti diversi per proteggere adeguatamente i loro datori di lavoro o i loro clienti, e sia il SIEM che il SOAR offrono qualcosa di più del normale software di protezione degli endpoint, in quanto si basano su di esso.
I SOC possono anche scegliere di utilizzare l'Extended Detection and Response (XDR) per ottenere un tipo di protezione simile a quella offerta da SIEM e SOAR, ma non è un sostituto di nessuno dei due, in quanto non offre tecnicamente le stesse funzionalità e gli stessi casi d'uso (SIEM esegue meglio i log, mentre SOAR stabilisce meglio le priorità e automatizza). Tuttavia, è in grado di fornire un rilevamento e una risposta completi alle minacce.
Un'altra opzione potrebbe essere quella di utilizzare il Managed Detection and Response (MDR). In questo caso, il team SOC esternalizza una parte del proprio lavoro a un fornitore di sicurezza, il che può avere il vantaggio di migliorare le capacità di rilevamento e risposta grazie all'aggiunta di un maggior numero di esperti di sicurezza con una buona conoscenza del panorama delle minacce e della soluzione di sicurezza utilizzata dal centro operativo di sicurezza.
La chiave è essere preparati
Per un SOC, il compito principale è quello di essere preparato a qualsiasi evenienza, poiché il mondo delle minacce informatiche è in continua evoluzione. Grazie al SIEM, il SOC può disporre di molti dati e con SOAR può rispondere più facilmente alle minacce e agli incidenti, mantenendo la comprensione delle informazioni sulle minacce a un livello elevato grazie a varie integrazioni di feed di dati esterni.
Esistono anche altre soluzioni, come le già citate XDR o MDR, e tutte hanno casi d'uso diversi. Ciò è dovuto in gran parte al fatto che non esiste una soluzione "jack of all trades" in grado di coprire tutto. Tuttavia, combinare strumenti distinti in una strategia di difesa della cybersecurity a più livelli è il modo migliore per coprire e colmare le lacune che ciascuna soluzione da sola presenterebbe, innalzando il livello di sicurezza per chiunque voglia ottenere una protezione completa.