All’interno di un SOC è ormai sempre più frequente trovare un SOAR o essere in procinto di vederne l’adozione. Esistono infatti dei vantaggi e delle modalità nel suo utilizzo che, se sfruttati a dovere, possono portare un beneficio importante alle dinamiche del SOC.
Incident Management Centralizzato
Avere a disposizione un SIEM consente già di accentrare in un unico punto le notifiche provenienti dalle varie tecnologie di cui un SOC si avvale, come per esempio l’EDR, il tool di Mail Security, la sonda Network, e altri.
L’adozione di un SOAR offre le stesse possibilità, ma in una veste nuova e potenziata. Nello stesso strumento è infatti possibile integrare anche i workflow operativi del SOC, riuscendo ad ottenere un connubio tra attività che restano manuali ed altre che vengono automatizzate. A seconda dei livelli di maturità nell’utilizzo del SOAR, questo grado di automazione può variare e può essere potenziato nel tempo.
L’integrazione e l’adeguata configurazione delle varie tecnologie nel SOAR permettono ad esempio di:
- Accorpare allarmi in casi singoli, correlando fra loro segnalazioni simili, con una logica di raggruppamento personalizzabile e automatizzabile. Questo riduce il numero di notifiche da lavorare e permette all’analista di avere una visione più ampia all’interno del singolo caso.
- Normalizzare gli eventi su un modello uniforme, in modo da avere dati ricercabili in maniera semplice e univoca, indipendentemente dalle tecnologie sottostanti.
- Sviluppare logiche di riduzione del rumore ed effettuare filtering avanzato avente visibilità cross-prodotto.
- Effettuare Business Intelligence su metriche e KPI, avendo visibilità sia delle performance dei prodotti utilizzati, sia degli analisti che ne lavorano le segnalazioni. Un’adeguata comprensione di come gli analisti interagiscono con il SOAR e le relative tecnologie permette di aumentare la maturità del SOC.
Tutto questo si traduce in una maggiore efficienza nella lavorazione delle segnalazioni da parte degli analisti, che hanno un solo prodotto da dover monitorare attivamente con dei casi cross-tecnologici basati sulla minaccia effettiva.
Automatizzare la fase di Triage
Le operazioni iniziali, solitamente eseguite da analisti di primo livello, sono spesso molto ripetitive e meccaniche. Effettuare questa fase di Triage attraverso le funzionalità di automazione del SOAR ha un triplice vantaggio:
- Velocizzare e ridurre il margine di errore di molte di queste operazioni, come ad esempio:
- Il triage degli IOC su fonti di Intelligence come VirusTotal, MISP, o altre fonti.
- Il download e la detonazione di file o di URL sospetti in una o più sandbox.
- La raccolta di informazioni circa asset, user o IP coinvolti dalle inventory.
Il tutto grazie all’integrazione con le varie tecnologie/sorgenti e la relativa possibilità di sfruttarne le funzionalità attraverso azioni automatiche.
- Effettuare il match con casi passati già risolti, i cui risultati della lavorazione possono venire integrati come ulteriori evidenze del caso in esame. Una buona configurazione del SOAR permette di ricercare dei casi simili, magari fornendo uno score di similitudine in base a quanti elementi i due casi condividono, come ad esempio la presenza della stessa minaccia/pattern d’attacco, stesso host o stesso user, o altro.
- Collezionare in modo ordinato ed esaustivo tutte le evidenze, siano esse raccolte in modo automatico o aggiunte manualmente dagli analisti. Link a pagine esterne possono consentire di approfondire velocemente le analisi di maggiore interesse.
Prendere decisioni in maniera automatica: l’approccio RAD
Un SOAR offre la possibilità di ideare dei workflow che permettono di prendere decisioni automatiche sulla risoluzione di un caso, sia esso malevolo oppure falso positivo.
Stabilire questo in maniera automatica è un’operazione critica ed è possibile farlo solo quando si è ragionevolmente sicuri, lasciando invece le altre casistiche all’approfondimento e alla decisione manuale.
Per massimizzare la precisione della decisione e migliorare la gestione del caso, RAD ha adottato un approccio avanzato basato su alcune linee guida:
- Anziché definire un caso “bianco” o “nero”, definirlo come una “scala di grigi”. Nello specifico, è possibile definire una metrica di affidabilità con cui si rappresenta il livello di pericolosità di un caso.
A questa metrica partecipano, fra gli altri, i seguenti elementi, ciascuno col relativo peso:
- La tipologia di allarmi o detection che compongono il caso, tenendo in considerazione l’affidabilità della tecnologia e/o la regola in questione. Ad esempio, una detection EDR basata su signature malevola ha una affidabilità maggiore rispetto ad una detection basata su regole Machine Learning.
- Gli esiti del triage effettuati nella fase precedente.
- Il fattore storico, che risponde alla domanda “qual è stato l’esito dei casi precedenti simili a questo?”.
- Il fattore temporale e/o geografico, con pesi maggiori a operazioni fatte in orari e giorni considerati non usuali oppure da paesi non previsti.
- In alcune casistiche viene previsto il coinvolgimento diretto dell’utente finale, che può fornire un riscontro in tempi brevi relativamente al riconoscimento delle attività sospette, attraverso il canale chat oppure mail.
- Dato che non è possibile assumere la decisione come infallibile, viene prevista la possibilità di andare a ritroso nelle decisioni. Questo si traduce nel prevedere dei playbook con opzione “undo”, che lasciano la possibilità di azionare manualmente, per un certo lasso di tempo, un workflow di annullamento automatico di tutte le azioni attuate fino a quel punto.
Automatizzare la fase di Response e Notification
Dopo aver stabilito l’esito di un caso è possibile predisporre degli automatismi per effettuare le azioni di contenimento e/o remediation direttamente sui sistemi coinvolti. Il vantaggio in questo caso è che l’analista può utilizzare un’unica interfaccia, quella del SOAR, per attuare azioni su più tecnologie.
Non solo: è anche possibile sfruttare tutte le informazioni già contenute in un caso per generare in maniera automatica un feedback di notifica fine lavorazione, per uso interno o da inoltrare a terzi interessati.
Informazioni quali la priorità, gli elementi coinvolti (asset, user, IP, …) o i dati provenienti da arricchimenti esterni sono già presenti sul SOAR e sono quindi integrabili automaticamente nel template di notifica. L’analista deve dedicarsi solo all’eventuale stesura di un testo di dettaglio sul caso e sulle azioni da intraprendere.
Come ultimo step di notifica, nel caso l’utente finale abbia accesso direttamente all’interfaccia del SOAR, può analizzare il report con la lavorazione del caso avendo visibilità su tutte le azioni eseguite e le relative note/segnalazioni. Viceversa, un’automazione potrebbe procedere all’invio del report via e-mail (o altri canali) selezionando il destinatario corretto in base ai dati di contesto presenti nel caso, minimizzando il rischio di errori manuali.
RAD ha maturato una grande esperienza sulla tecnologia SOAR e sulla sua integrazione nell’ecosistema delle tecnologie di sicurezza. Se vuoi approfondire la tematica scrivici a info@radsec.it o scopri il nostro Competence center di Incident Response