Indice dei contenuti

Come si distribuisce l'automazione SecOps?

Indice dei contenuti

Per distribuire l'automazione SecOps in modo efficace, occorre seguire i seguenti passi per garantire un'integrazione fluida e di successo della Security Orchestration, Automation and Response (SOAR) nelle sue operazioni esistenti:

  1. Valutare la sua attuale posizione di sicurezza
  2. Definire gli obiettivi e i requisiti.
  3. Selezionare la giusta piattaforma SOAR
  4. Piano per l'integrazione
  5. Costruire e testare i Playbook
  6. Addestrare il suo team SecOps.
  7. Distribuire gradualmente e monitorare.
  8. Misurabile e Ottimizzabile
  9. Stabilire la manutenzione e gli aggiornamenti continui

 

Preparazione per l'automazione SecOps

Quando si prepara all'automazione SecOps, è essenziale considerare i seguenti passi che possono aiutare ad ottimizzare la transizione verso l'automazione sia per lei che per la sua organizzazione:

Passo 1: Comprendere le politiche e i processi esistenti.

Valutare le politiche e i processi attuali è fondamentale per identificare le aree che possono essere semplificate attraverso l'automazione. Ciò include la comprensione del modo in cui gli incidenti vengono attualmente gestiti e delle fasi manuali coinvolte nel processo.

Passo 2: Identificare gli strumenti e le piattaforme quotidiane

Faccia un bilancio degli strumenti e delle piattaforme che il suo team utilizza quotidianamente. La comprensione del panorama tecnologico esistente e delle fonti di dati è fondamentale per identificare i potenziali punti di integrazione e le aree in cui l'automazione può avere il massimo impatto.

Passo 3: Determinare gli stakeholder chiave per la risoluzione dell'incidente

Chiarisca chi deve essere coinvolto nella risoluzione degli incidenti di sicurezza. Questo può includere il team di sicurezza e altri stakeholder rilevanti all'interno dell'organizzazione.

Passo 4: Standardizzare e rendere ripetibili i processi

Consideri la possibilità di standardizzare i suoi processi per assicurarsi che siano ripetibili e coerenti. Ciò comporta l'identificazione delle aree in cui l'automazione può portare coerenza e affidabilità alle operazioni di sicurezza.

Passo 5: Stabilire le politiche e le procedure per l'assegnazione degli incidenti.

Come può standardizzare i suoi processi in modo che siano ripetibili e coerenti?

Quali sono le sue politiche e procedure per l'assegnazione degli incidenti?

Come comunica gli incidenti internamente?

Valutare il modo in cui gli incidenti vengono comunicati all'interno.

La valutazione del modo in cui gli incidenti vengono comunicati internamente è fondamentale. L'automazione dei processi di comunicazione può aiutare a semplificare la diffusione delle informazioni e a migliorare i tempi di risposta.

Analizzare i flussi di lavoro

  • Valutare se è necessario un esperto per interpretare o fare il triage dei dati e come l'automazione può supportare o aumentare questi compiti.
  • Identifica i compiti del flusso di lavoro che sono ripetibili e standardizzabili, in quanto sono i primi candidati per l'automazione.
  • Determinare se l'automazione di un flusso di lavoro specifico possa accelerare drasticamente la risposta agli incidenti e come questo si allinei con gli obiettivi organizzativi.
  • Consideri se l'intervento umano è necessario per testare i flussi di lavoro automatizzati e il livello di coinvolgimento necessario durante la fase di implementazione.

CONSIGLIO: È importante definire chiaramente l'ambito per facilitare l'allocazione delle risorse, determinare le competenze necessarie e garantire che il team riceva una formazione adeguata per l'iniziativa di automazione.

 

Iniziare in modo semplice con attività ad alto impatto.

Per iniziare il viaggio nell'automazione, le organizzazioni dovrebbero concentrarsi sui compiti che offrono un valore significativo e sono semplici da automatizzare. La cosa migliore è iniziare con compiti ripetitivi come la raccolta di informazioni, la generazione di report sandbox, l'invio di comunicazioni agli utenti, l'esecuzione di query su vari strumenti e il coordinamento con altri team. Assegnare un proprietario a ciascun compito assicura la responsabilità e un progresso costante.

Le organizzazioni devono prendere in considerazione:

  • Ci sono attività che consumano molto tempo all'interno di un flusso di lavoro più ampio?
  • Ci sono compiti che potrebbero interrompere le operazioni se vengono trascurati?

È essenziale dare priorità all'automazione di queste attività più piccole e ad alto impatto, prima di tentare di automatizzare un intero flusso di lavoro dall'inizio alla fine.

Iniziare con playbook e integrazioni precostituite è consigliabile per chi non ha esperienza di codifica. Soluzioni come Cortex XSOAR offrono un'ampia gamma di playbook già pronti che coprono i casi d'uso quotidiani. Il suo editor visuale facilita la personalizzazione di questi playbook senza dover ricorrere alla codifica. I blocchi di costruzione come l'arricchimento delle entità, il blocco degli indicatori e i playbook di caccia possono essere riutilizzati in diversi scenari, fornendo rapidamente valore alle operazioni di sicurezza.

Cosa frena l'automazione della sicurezza?
Il 50% degli intervistati si trattiene perché non sa da dove cominciare. La mancanza di budget e di competenze sono stati ostacoli all'automazione per il 21%. Il 14% ha dichiarato che la direzione non comprende l'esigenza, e il 29% afferma di gestire bene i processi attuali.

Facilità nell'automazione della cybersecurity

Adotti un approccio graduale - il metodo crawl-walk-run - per costruire gradualmente la fiducia nell'automazione della cybersecurity. Inizi con le attività di base e automatizzi progressivamente i processi più complessi, man mano che acquisisce familiarità con la piattaforma.

La scelta dello strumento giusto è fondamentale quando si implementano soluzioni di orchestrazione, automazione e risposta della sicurezza (SOAR). Iniziare con una prova di concetto (PoC) per convalidare i vantaggi dell'automazione in un ambiente controllato. Utilizzi il PoC per testare compiti specifici, come il triage degli avvisi o il rilevamento minacce, e raccolga informazioni per una distribuzione più ampia.

Sviluppa e testa i playbook di automazione per definire le azioni per i diversi eventi di sicurezza. Cominci con l'automatizzare le attività ripetitive, come l'arricchimento dei dati o la correlazione degli avvisi, e integri questi playbook con i suoi strumenti di sicurezza esistenti.

Man mano che il suo team acquisisce fiducia, espande gradualmente l'automazione per coprire flussi di lavoro più complessi, passando all'automazione delle operazioni di sicurezza end-to-end. Questo approccio misurato aiuta ad ottimizzare i processi e a sfruttare appieno i vantaggi dell'automazione della cybersecurity.

 

Vantaggi dell'automazione per le organizzazioni di tutte le dimensioni

L'automazione offre vantaggi significativi alle organizzazioni di tutte le dimensioni, dalle piccole imprese alle grandi aziende. Anche se i processi di sicurezza maturi possono migliorare gli sforzi di automazione, sono facoltativi per iniziare. Le organizzazioni più piccole, in particolare, possono trarre vantaggio dall'automazione delle attività di routine, per liberare risorse per sfide più complesse.

Le organizzazioni dovrebbero iniziare a sfruttare i playbook e le integrazioni out-of-the-box per automatizzare le attività semplici e ripetitive. Man mano che i team acquisiscono esperienza e fiducia, possono gradualmente passare all'automazione di flussi di lavoro completi e di casi d'uso più complessi. Questo approccio graduale assicura che l'automazione offra il massimo valore in ogni fase, indipendentemente dalle dimensioni o dal livello di maturità dell'organizzazione.

Vantaggi dei flussi di lavoro automatizzati e coerenti

I flussi di lavoro automatizzati garantiscono risultati coerenti, seguendo sempre gli stessi processi. Questa uniformità standardizza le risposte e accelera l'inserimento di nuovi analisti dei centri operativi di sicurezza (SOC), incorporando le best practice direttamente nei playbook.

I flussi di lavoro coerenti semplificano anche la sostituzione dei prodotti mirati, riducendo i tempi di inattività operativa. Indipendentemente dalla presenza o meno dell'automazione, i processi di sicurezza ben documentati e standardizzati sono essenziali per migliorare l'efficienza del team e gestire efficacemente gli incidenti.

 

Revisione e approvazione da parte dei pari

La revisione tra pari è un passo fondamentale per garantire l'efficacia dei suoi casi d'uso. Coinvolgendo i colleghi e gli altri team della sua organizzazione, può identificare i problemi e i passaggi mancati, migliorando l'automazione.

Approvazione manageriale e distribuzione della produzione.

Prima di distribuire i suoi flussi di lavoro automatizzati in produzione, deve sottoporli all'approvazione manageriale. Prenda in considerazione un flusso di lavoro dallo sviluppo alla produzione e tenga traccia dei compiti sensibili al tempo, come necessario. Determinare se gli accordi sul livello di servizio (SLA) devono essere monitorati per i follow-up o le azioni di riparazione.

Approvazione manageriale e preparazione alla produzione

Prima di distribuire i flussi di lavoro automatizzati in un ambiente di produzione, devono essere sottoposti a revisione e approvazione manageriale. Implementazione di un flusso di lavoro dallo sviluppo alla produzione che includa il monitoraggio delle attività sensibili al tempo e considerare se gli accordi sul livello di servizio (SLA) devono essere monitorati per azioni di follow-up o di riparazione.

Definire i criteri di chiusura dell'incidente

Stabilisca chiaramente i criteri per considerare chiuso un incidente e si assicuri che questo sia incorporato nei suoi playbook di automazione. Se gli incidenti vengono chiusi su sistemi esterni, lo includa come fase finale. Identifica i punti del flusso di lavoro in cui l'analista potrebbe dover intervenire e prendere decisioni, e inserisce questi punti decisionali nel processo di automazione.

 

Assicurarsi un campione per l'automazione

Sebbene iniziare in piccolo possa dare risultati rapidi che giustificano gli investimenti iniziali, per ottenere una trasformazione digitale significativa nel suo SOC è necessario un forte sostegno da parte degli stakeholder. Gli utenti XSOAR di successo che trasformano i loro SOC dedicano risorse per potenziare i loro team, guidare le iniziative di automazione e identificare le aree chiave in cui l'automazione può fungere da fattore strategico di business. Ottenere un campione all'interno della sua organizzazione aiuta a creare lo slancio, ad assicurarsi il necessario consenso e a sostenere i progressi a lungo termine nel suo percorso di automazione.

Investa nella formazione sull'automazione SecOps.

Investire nella formazione sull'automazione della cybersecurity è necessario per le organizzazioni che navigano nell'attuale panorama digitale in rapida evoluzione. Poiché gli approcci tradizionali e manuali alla cybersecurity diventano sempre più inadeguati, i professionisti della sicurezza devono essere dotati di competenze e conoscenze per sfruttare appieno i vantaggi dell'automazione.

L'automazione offre vantaggi significativi, tra cui:

  • Rilevamento e risposta alle minacce più veloce
  • Maggiore precisione
  • Riduzione dell'errore umano
  • Diminuzione del carico di lavoro complessivo per i team di cybersecurity

Questo è particolarmente critico dato il crescente divario di competenze nella cybersecurity. Con una carenza di professionisti qualificati, l'automazione aiuta ad alleviare la tensione delle risorse, consentendo al personale esistente di gestire una gamma più ampia di compiti in modo più efficiente ed efficace, evitando così il burnout e massimizzando la produttività.

Che cos'è l'automazione?

"È una cosa molto difficile da rispondere. Voglio dire, ovviamente si prende cura di qualcosa in modo automatico, ma [non] vive in un unico luogo. Ed è questo che rende difficile rispondere. Quindi, molte persone pensano alla pipeline degli avvisi o al processo di IR [incident response] come a una fase molto lineare di passi, giusto? L'automazione svolge un ruolo in questo senso, in più punti ... E poi stiamo anche automatizzando i processi all'interno e intorno al SOC stesso, in modo che alcune procedure vengano gestite dietro le quinte e non debbano essere gestite dai nostri analisti SOC. Può trattarsi di notifiche e avvisi relativi alla governance o all'audit, alla salute del programma o della piattaforma. Per noi l'automazione è generalmente al servizio dell'accelerazione dei tempi di risoluzione e dell'aumento della chiarezza e della fiducia nelle conclusioni che raggiungiamo".

- Kyle Kennedy, Ingegnere senior per la sicurezza del personale, Palo Alto Networks

 

Definire i casi d'uso dell'automazione

Casi d'uso chiari e ben definiti sono essenziali per un'automazione efficace. Questo processo inizia con l'identificazione delle attività ripetitive, la comprensione dei processi aziendali critici e l'individuazione dei punti critici specifici in cui l'automazione può fornire il massimo valore.

Coinvolgere le parti interessate e analizzare i dati

Coinvolga i principali stakeholder dei vari reparti, come i team addetti alla sicurezza, alle operazioni e alla conformità, per fornire input sui processi esistenti e identificare le aree mature per l'automazione. Analizzare i dati per dare priorità ai casi d'uso in base al loro impatto potenziale e alla facilità di integrazione.

Consideri i requisiti di sicurezza e conformità.

Valutare le implicazioni di sicurezza e conformità di ogni caso d'uso. Selezionare strumenti di automazione che siano in linea con i requisiti normativi e gli standard di sicurezza dell'organizzazione, assicurando che la soluzione soddisfi le esigenze operative e di conformità.

Progettare e testare i prototipi

Sviluppare e testare prototipi per convalidare la fattibilità di ogni caso d'uso. Calcolare il ritorno sull'investimento (ROI) valutando il potenziale risparmio di tempo, la riduzione dei costi e l'aumento di efficienza. Utilizzi queste informazioni per creare una tabella di marcia per un'implementazione su larga scala.

Documenta i casi d'uso e ottimizza continuamente.

Mantenere una documentazione approfondita per ogni caso d'uso, delineando obiettivi, processi e risultati attesi. Monitorare continuamente le prestazioni dei flussi di lavoro automatizzati, apportando le modifiche necessarie per ottimizzare l'efficacia e mantenere l'allineamento con gli obiettivi organizzativi.

Definire i casi d'uso dell'automazione significa identificare strategicamente dove l'automazione può migliorare l'efficienza e l'efficacia, garantendo l'allineamento con gli obiettivi organizzativi e i requisiti di conformità. Questo approccio strutturato aiuta a garantire che le iniziative di automazione producano benefici tangibili e contribuiscano all'eccellenza operativa complessiva.

Prevenire lo Scope Creep con chiare definizioni dei casi d'uso

Per evitare lo scope creep - una sfida comune nei progetti di automazione - è fondamentale stabilire una definizione chiara e precisa per ogni caso d'uso. Ciò comporta la definizione di obiettivi e confini specifici fin dall'inizio, come ad esempio l'automazione della risposta agli incidenti per minacce mirate come le e-mail di phishing. Un ambito di casi d'uso ben definito mantiene gli sforzi di automazione focalizzati, gestibili ed efficaci, evitando inutili complessità e aggiunte di funzionalità.

Inoltre, un ambito chiaro consente una migliore valutazione e gestione del rischio. Comprendendo i confini di ciascun caso d'uso, è possibile identificare precocemente i rischi potenziali e pianificare di conseguenza le strategie di mitigazione.

Questo approccio aiuta a prevenire l'introduzione involontaria di vulnerabilità di sicurezza o di problemi di conformità, assicurando che l'automazione migliori piuttosto che compromettere la postura di sicurezza dell'organizzazione.

L'automazione della risposta agli incidenti sta avvenendo

 

Esempi di casi d'uso: Phishing e malware

Il phishing e il malware sono due delle minacce alla sicurezza più diffuse, e sono quindi punti di partenza ideali per sviluppare casi d'uso dell'automazione. Le organizzazioni possono personalizzare i playbook per questi scenari in base ai loro requisiti specifici, utilizzandoli come modelli per costruire soluzioni su misura.

Intuizione: Secondo il Rapporto sulla risposta agli incidenti dell'Unit 42 del 2022, si sospetta che il 77% delle intrusioni provenga da tre vettori di accesso primari: il phishing, lo sfruttamento di vulnerabilità software note e gli attacchi di forza bruta alle credenziali, che hanno come obiettivo principale il protocollo desktop remoto (RDP).

Utilizzo del Mercato di Cortex XSOAR

Il Cortex Marketplace offre oltre 1.000 pacchetti di contenuti di playbook precostituiti e integrazioni con strumenti di sicurezza e non utilizzati nel SOC. Queste risorse sono frutto di un'ampia ricerca, dell'esperienza pratica, del feedback dei clienti e dei dati di utilizzo, e offrono un'ampia gamma di opzioni in grado di soddisfare le esigenze della sua organizzazione.

I contenuti del Cortex Marketplace vengono continuamente aggiornati per riflettere le tendenze emergenti del settore e il feedback degli utenti. Condividendo intuizioni ed esperienze, le organizzazioni possono contribuire all'evoluzione dell'automazione della sicurezza, aiutando a dare forma a strumenti e playbook futuri che affrontino le minacce e le sfide più recenti.

 

Selezione della giusta piattaforma SOAR

La scelta della giusta piattaforma SOAR è fondamentale per ottenere un'automazione efficiente della sicurezza. La piattaforma ideale dovrebbe consentire una rapida implementazione con playbook pronti all'uso e supportare la scalabilità in base all'evoluzione delle esigenze di sicurezza della sua organizzazione. Ciò include l'integrazione di funzionalità avanzate come l'intelligence sulle minacce e l'orchestrazione di flussi di lavoro senza soluzione di continuità tra l'intero set di strumenti di sicurezza, i vari team funzionali e le reti distribuite.

Inoltre, la piattaforma dovrebbe integrarsi con fonti esterne di intelligence sulle minacce per fornire una visibilità in tempo reale sulle minacce, aiutando la sua organizzazione ad anticipare i rischi emergenti.

Come Cortex XSOAR semplifica la vita dei team SecOps

  • Accelera la risposta agli incidenti: Cortex XSOAR riduce i tempi di risposta agli incidenti sostituendo le attività manuali ripetitive e di basso livello con processi automatizzati. Questo accelera la risposta, migliora l'accuratezza e aumenta la soddisfazione degli analisti.
  • Standardizza e scala i processi: Fornendo flussi di lavoro replicabili passo dopo passo, l'automazione di sicurezza aiuta a standardizzare i processi per l'arricchimento e la risposta agli incidenti, garantendo una qualità di risposta coerente e la capacità di scalare in modo efficiente.
  • Unifica l'infrastruttura di sicurezza: Cortex XSOAR è un hub centrale, che collega strumenti e prodotti di sicurezza precedentemente disparati. Questo approccio unificato consente agli analisti di gestire la risposta agli incidenti da un'unica console integrata.
  • Aumenta la produttività degli analisti: Con l'automazione dei compiti di basso livello e la standardizzazione dei processi, gli analisti possono concentrarsi su attività di maggior valore, come la ricerca di minacce e la pianificazione di strategie di sicurezza future, anziché impantanarsi in compiti di routine.
  • Sfrutta gli investimenti esistenti: Automatizzando le azioni ripetitive e riducendo al minimo la necessità di passare da una console all'altra, Cortex XSOAR massimizza il valore dei suoi investimenti in sicurezza e migliora il coordinamento tra i diversi strumenti.
  • Streamlines Incident Handling: L'automazione semplifica la gestione degli incidenti integrandosi con i principali strumenti di gestione dei servizi IT (ITSM) come ServiceNow, Jira e Remedy, nonché con piattaforme di comunicazione come Slack. Questo accelera la gestione e la risoluzione degli incidenti, distribuendo automaticamente gli incidenti agli stakeholder appropriati in base ai tipi di incidenti predefiniti.
  • Migliora la sicurezza generale: Questi vantaggi contribuiscono a rafforzare la postura di sicurezza complessiva, riducendo i rischi di sicurezza e i potenziali impatti aziendali.

 

Distribuzione e casi d'uso di SOAR - FAQ

Una piattaforma SOAR raccoglie dati e può intraprendere azioni automatizzate per rimediare alle minacce e/o inviare avvisi ai team addetti alla sicurezza con informazioni contestuali sulla sicurezza per supportare l'intervento umano. Alcuni sistemi SIEM raccolgono solo i dati e inviano avvisi, ma non automatizzano la riparazione.
Altri strumenti che si trovano comunemente distribuiti accanto ad una piattaforma SOAR includono la gestione delle informazioni e degli eventi di sicurezza (SIEM), il rilevamento minacce e risposta agli endpoint (EDTR), il cloud access security broker (CASB) e l'analisi del comportamento di utenti ed entità (UEBA).

Le piattaforme SOAR si integrano con gli strumenti di sicurezza esistenti attraverso API e connettori precostituiti. Le fasi includono in genere:

  • Configurazione API: Impostazione delle connessioni API tra la piattaforma SOAR e gli strumenti di sicurezza (ad esempio, SIEM, firewall, protezione endpoint).
  • Distribuzione del connettore: Distribuire e configurare i connettori che facilitano lo scambio di dati e l'esecuzione di comandi tra gli strumenti.
  • Integrazioni personalizzate: Le integrazioni personalizzate possono essere sviluppate utilizzando le funzionalità di scripting e API della piattaforma SOAR per gli strumenti che non dispongono di connettori precostituiti.

Le sfide comuni nella distribuzione di SOAR includono:

  • Complessità dell'integrazione: Si può mitigare con una pianificazione accurata, utilizzando API standardizzate e sfruttando il supporto dei fornitori.
  • Progettazione del flusso di lavoro: Superare coinvolgendo analisti di sicurezza esperti nella definizione e nel test dei flussi di lavoro.
  • Gestione del cambiamento: Affrontato attraverso una formazione completa e una comunicazione chiara con gli stakeholder.
  • Scalabilità: Garantito selezionando una piattaforma SOAR scalabile ed espandendo gradualmente il suo utilizzo.
  • Qualità dei dati: Migliorata garantendo un inserimento dei dati accurato e coerente dagli strumenti integrati.

Il successo di una distribuzione SOAR può essere misurato con diverse metriche chiave:

  • Riduzione dei tempi di risposta: Misurabile la diminuzione del tempo necessario per rilevare, indagare e rispondere agli incidenti.
  • Aumento della capacità di gestione degli incidenti: Traccia gli incidenti gestiti prima e dopo la distribuzione.
  • Efficienza del flusso di lavoro: Valutare l'efficacia e l'efficienza dei flussi di lavoro automatizzati.
  • Soddisfazione dell'utente: Raccogliere il feedback degli analisti di sicurezza e degli stakeholder sull'usabilità e l'impatto della piattaforma SOAR.
  • ROI (Ritorno sull'investimento): Calcolate i risparmi sui costi derivanti dalla riduzione dell'impegno manuale e dal miglioramento dell'efficienza della risposta agli incidenti.
  • Mantenimento degli analisti: Aiutare a prevenire il burnout degli analisti, offrendo un migliore equilibrio tra vita privata e lavoro e opportunità di sviluppo della carriera, con la possibilità di concentrarsi su compiti complessi e critici.

Queste metriche aiutano a quantificare i miglioramenti e a giustificare l'investimento in una piattaforma SOAR.

Contenuti correlati
Che cos'è il SOAR rispetto al SIEM?
SOAR (orchestrazione, automazione e risposta della sicurezza) e SIEM (gestione delle informazioni e degli eventi di sicurezza) sono strumenti di cybersecurity indispensabili che si...
Cortex XSOAR
Lasci che l'automazione riduca il rumore e gestisca le attività ripetitive e che richiedono tempo, in modo da potersi concentrare su ciò che è critico e sul miglioramento della pos...
Scheda tecnica di Cortex XSOAR
Ridefinire l'orchestrazione, l'automazione e la risposta alla sicurezza
Rapporto Radar di GigaOm: SOAR
Scopra perché Cortex XSOAR è stato un Leader nel 2023.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce