Giacomo Lanzi
SOAR: coordinazione per la cyber security
Tempo di lettura: 5 min
La tecnologia SOAR (Security Orchestration, Automation and Response) aiuta a coordinare, eseguire e automatizzare le attivita’ tra persone e strumenti, consentendo alle aziende di rispondere rapidamente agli attacchi alla sicurezza informatica. Lo scopo e’ quello di migliorare la loro posizione complessiva in materia di sicurezza. Gli strumenti SOAR utilizzano playbook (strategie e procedure) per automatizzare e coordinare i flussi di lavoro che possono includere strumenti di sicurezza e mansioni manuali.
In che modo SOAR aiuta nel campo della sicurezza?
1. Combinando in un’unica soluzione l’orchestrazione della sicurezza, l’automazione intelligente, la gestione degli incidenti e le indagini interattive.
2. Facilitando la collaborazione dei team e consentendo agli analisti della sicurezza di intraprendere azioni automatiche sugli strumenti in tutto il loro stack di sicurezza.
3. Fornendo ai team un’unica console centralizzata per gestire e coordinare tutti gli aspetti della sicurezza della loro azienda.
4. Ottimizzando la gestione dei casi, incrementando l’efficienza con l’apertura e la chiusura dei ticket per investigare e risolvere gli incidenti.
Perche’ le aziende necessitano di un SOAR?
Le compagnie moderne devono affrontare regolarmente molte sfide e ostacoli, quando di tratta di lotta contro i cyber threat.
Una prima sfida e’ rappresentata da un volume sempre crescente di minacce complesse per la sicurezza. Inoltre, gli strumenti di sicurezza coinvolti molto spesso faticano a parlare tra loro, il che e’ di per se’ un ostacolo fastidioso.
Un cosi’ grande numero di dati e software, non puo’ che significare un numero elevato di allarmi di sicurezza. Infatti, sono troppi i dati di intelligence sulle minacce per consentire ai team di classificare manualmente, assegnare priorita’, indagare e indirizzare le minacce. Inoltre, il lavoro degli addetti alla sicurezza comporta competenze molto specifiche e con l’aumentare della richiesta e’ sempre piu’ complicato trovare un numero sufficiente di addetti alla sicurezza per svolgere il lavoro.
Implementazione del sistema
SOAR aiuta le aziende ad affrontare e superare queste sfide consentendo loro di:
– Unificare i sistemi di sicurezza esistenti e centralizzare la raccolta dei dati per ottenere piena visibilita’.
– Automatizzare le attivita’ manuali ripetitive e gestire tutti gli aspetti del ciclo di vita degli incidenti.
– Definire l’analisi degli incidenti e le procedure di risposta, oltre a sfruttare i playbook di sicurezza per dare priorita’, standardizzare e scalare i processi di risposta in modo coerente, trasparente e documentato.
– Identificare e assegnare in modo rapido e preciso i livelli di gravita’ degli incidenti agli allarmi di sicurezza e supportare la riduzione degli allarmi.
– Identificare e gestire meglio le potenziali vulnerabilita’ in modo proattivo e reattivo.
– Indirizzare ogni incidente di sicurezza all’analista piu’ adatto a rispondere, fornendo al contempo funzioni che supportino una facile collaborazione e il monitoraggio tra i team e i loro membri.
Applicazioni pratiche
Qui di seguito ho voluto elencare qualche esempio pratico di come un SOAR entra in azione in determinate situazioni.
Gestione degli allarmi
Arricchimento e risposta del phishing: attivazione di un playbook. Automazione ed esecuzione di attivita’ ripetibili come il triage e il coinvolgimento degli utenti interessati. Applicare un’estrazione e il controllo degli indicatori per l’identificazione di falsi positivi, in seguito richiedere l’attivazione del SOC per una risposta standardizzata su scala.
Infezione da malware degli endpoint: estrazione dei dati di alimentazione delle minacce dagli strumenti degli endpoint e arricchimento di tali dati. Riferimenti incrociati tra i file recuperati e gli hash con una soluzione SIEM, notifica agli analisti, pulizia degli endpoint e aggiornamento del database degli strumenti.
Login utente non riuscito: dopo un numero predefinito di tentativi di login utente non riusciti, valutando se un login non riuscito e’ autentico o dannoso, un SOAR puo’ attivarsi in vari modi. Innanzi tutto mettendo in pratica un playbook, coinvolgendo gli utenti e in seguito analizzando le loro risposte, poi anche le password in scadenza e infine chiudendo il processo.
Caccia alle minacce
Indicatori di compromesso (IOC): prendere ed estrarre gli indicatori dai file, rintracciare gli indicatori attraverso gli strumenti di intelligence e aggiornare i database.
Analisi del malware: verifica di dati da fonti multiple, estrazione ed eliminazione dei file dannosi. Successivamente viene generato un rapporto e controllata la presenza di malizia.
Risposta agli incidenti cloud: questo avviene attraverso l’utilizzo di dati provenienti da strumenti di rilevamento delle minacce e di registrazione degli eventi focalizzati sul cloud. I dati vengono poi unificati tra le infrastrutture di sicurezza cloud e on-premises, messi in correlazione grazie a un SIEM. Gli indicatori sono poi estratti e arricchiti, per poi controllare la presenza di malizia. Un ultimo passaggio di controllo umano agli analisti che fanno una loro revisione delle informazioni aggiornano il database e chiudono il caso.
I benefici di un SOAR
In sostanza un SOAR implementa metodi di lavoro e protocolli di azione nel sistema di lotta alle minacce informatiche di un azienda. In questo modo migliora notevolmente l’efficienza operativa e accelera il rilevamento degli incidenti cosi’ come i tempi di risposta, che vengono, di fatto, standardizzati.
Un SOAR aumenta la produttivita’ degli analisti e consente loro di concentrarsi sul miglioramento della sicurezza invece che sull’esecuzione di attivita’ manuali.
Sfruttando e coordinando gli investimenti tecnologici di sicurezza esistenti in un’azienda e’ possibile davvero fare la differenza.
Link utili:
Cos’e’ un Network Lateral Movement e come difendersi
Il SOCaaS è utile per la tua azienda?
SOAR: cos’e’ e come puo’ essere utile per le aziende
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile
- Esempi di phishing: le ultime campagne menzionate dal CSIRT
- Event Overload? Il nostro SOCaaS può aiutare!
- Schemi di business email compromise (BEC)
- XDR come approccio alla sicurezza
- Cos’è la threat intelligence?
- Data Loss Prevention: definizione e utilizzi
- Prevenire il shoulder surfing e il furto di credenziali aziendali
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (12)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (8)
- Ethical Phishing (5)
- SOCaaS (16)
- Vulnerabilita' (82)
- Web Hosting (15)
Tags
CSIRT
- Rilevate vulnerabilità in .NET e Visual Studio
(AL02/210518/CSIRT-ITA) Maggio 18, 2021Microsoft rilascia aggiornamenti per una vulnerabilità “importante” che interessa .NET e Visual Studio 2019.
- Campagna malevola impatta le utenze di Banca Mediolanum
(AL01/210518/CSIRT-ITA) Maggio 18, 2021Individuata una campagna mirata agli utenti di Banca Mediolanum finalizzata al furto di credenziali e di OTP per l’accesso ai servizi online.
- La Settimana Cibernetica del 16 maggio 2021 Maggio 17, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 10 al 16 maggio 2021.
- Vulnerabilità “FragAttacks” nei dispositivi WiFi
(AL02/210513/CSIRT-ITA) Maggio 13, 2021Individuate 12 vulnerabilità che interessano i dispositivi WiFi (standard 802.11) e potrebbero consentire a un attaccante di esfiltrare dati sensibili falsificando i frame crittografati.
- Variante di Lemon Duck diffonde miner XMRig su Server Microsoft Exchange vulnerabili
(AL01/210513/CSIRT-ITA) Maggio 13, 2021Gli attaccanti sfrutterebbero la CVE-2021-27065 (cd ProxyLogon) utilizzando varianti della webshell China Chopper.
- Vulnerabilità critiche in Adobe Acrobat
(AL01/210512/CSIRT-ITA) Maggio 12, 2021L’aggiornamento corregge 10 vulnerabilità critiche e 4 importanti in diverse versioni di Adobe Acrobat.
- TsuNAME: attacchi DDoS tramite DNS Circular Dependencies
(BL01/210510/CSIRT-ITA) Maggio 10, 2021Identificata nuova modalità di attacco, nota come TsuNAME, che sfrutta il traffico generato da alcuni “DNS recursive server” per effettuare DDoS contro authoritative server.
- La Settimana Cibernetica del 9 maggio 2021 Maggio 10, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 3 al 9 maggio 2021.
- Rilevata vulnerabilità in un plugin Wordpress
(AL01/210507/CSIRT-ITA) Maggio 7, 2021Disponibile l’aggiornamento del plugin Wordpress “Spam protection, AntiSpam, FireWall” di CleanTalk per la CVE-2021-24295.
- Vulnerabilità nei modem Qualcomm utilizzati nei dispositivi Android
(AL02/210507/CSIRT-ITA) Maggio 7, 2021La CVE-2020-11292, che risiede nell'interfaccia QMI (Qualcomm MSM Interface), sarebbe sfruttabile solo localmente e avrebbe impatto su circa il 30% dei dispositivi mobili nel mondo.
Dark Reading:
- Latest Security News From RSAC 2021 Maggio 17, 2021Check out Dark Reading's updated, exclusive coverage of the news and security themes that are dominating RSA Conference 2021.
- DarkSide Ransomware Variant Targets Disk Partitions Maggio 17, 2021A newly discovered DarkSide ransomware variant can detect and compromise partitioned hard drives, researchers report.
- 47% of Criminals Buying Exploits Target Microsoft Products Maggio 17, 2021Researchers examine English- and Russian-language underground exploits to track how exploits are advertised and sold.
- DDoS Attacks Up 31% in Q1 2021: Report Maggio 17, 2021If pace continues, DDoS attack activity could surpass last year's 10-million attack threshold.
- Rapid7 Is the Latest Victim of a Software Supply Chain Breach Maggio 17, 2021Security vendor says attackers accessed some of its source code using a previously compromised Bash Uploader script from Codecov.
- RSAC 2021: What Will SolarWinds' CEO Reveal? Maggio 17, 2021In a keynote conversation with Forrester analyst Laura Koetzle, Sudhakar Ramakrishna will get candid about the historic breach.
- Agility Broke AppSec. Now It's Going to Fix It. Maggio 17, 2021Outnumbered 100 to 1 by developers, AppSec needs a new model of agility to catch up and protect everything that needs to be secured.
- Name That Toon: Road Trip Maggio 17, 2021Feeling creative? Submit your caption in the comments, and our panel of experts will reward the winner with a $25 Amazon gift card.
- Rapid7 Source Code Accessed in Supply Chain Attack Maggio 14, 2021An investigation of the Codecov attack revealed intruders accessed Rapid7 source code repositories containing internal credentials and alert-related data.
- How Faster COVID-19 Research Is Being Made Possible by Secure Silicon Maggio 14, 2021When Intel and Leidos set up a "trusted execution environment" to enable a widespread group of researchers to securely share and confidentially compute real-world data, it was no small achievement.
Full Disclosure
- Backdoor.Win32.Delf.zho / Authentication Bypass RCE Maggio 14, 2021Posted by malvuln on May 13Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6b9f5a0512af3ab33c26eaa4bdf94f1f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Delf.zho Vulnerability: Authentication Bypass RCE Description: The malware listens on TCP port 21 and TCP ports 14920 to 14923. Third-party attackers who can reach the system can logon using any username/password […]
- [CFP]: 2nd Joint Workshop on CPS&IoT Security and Privacy (CPSIoTSec 2021) Maggio 14, 2021Posted by Call For Papers CPSIOTSEC21 on May 13--------------------------------------------------------------------------------------------------------------- C a l l F o r P a p e r s 2nd Joint Workshop on CPS&IoT Security and Privacy (CPSIoTSec 2021) Seoul, South Korea, November 15 (Monday), 2021 URL: https://cpsiotsec.github.io co-located with the ACM Conference on Computer and Communications Security (ACM CCS 2021)...
- Trovent Security Advisory 2103-02 / Multiple XSS vulnerabilities in ERPNext 13.0.0/12.18.0 Maggio 11, 2021Posted by Stefan Pietsch on May 11# Trovent Security Advisory 2103-02 # ##################################### Multiple XSS vulnerabilities in ERPNext 13.0.0/12.18.0 ###################################################### Overview ######## Advisory ID: TRSA-2103-02 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2103-02 Affected product: ERPNext Tested versions: 12.18.0 and 13.0.0 beta Vendor: Frappé Technologies...
- Trovent Security Advisory 2103-01 / Authenticated SQL injection in ERPNext 13.0.0/12.18.0 Maggio 11, 2021Posted by Stefan Pietsch on May 11# Trovent Security Advisory 2103-01 # ##################################### Authenticated SQL injection in ERPNext 13.0.0/12.18.0 ##################################################### Overview ######## Advisory ID: TRSA-2103-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2103-01 Affected product: ERPNext Tested versions: 12.18.0 and 13.0.0 beta Vendor: Frappé Technologies https://frappe.io...
- CVE-2021-32051 Hexagon G!nius Auskunftsportal before 5.0.0.0 allows SQL injection via the GiPWorkflow/Service/DownloadPublicFile id parameter. Maggio 11, 2021Posted by Marcel Keiffenheim on May 11
- Backdoor.Win32.Antilam.13.a / Unauthenticated Remote Command Execution Maggio 11, 2021Posted by malvuln on May 11Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/1ef711b34cc278449f1997e4ed06334a.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Antilam.13.a Vulnerability: Unauthenticated Remote Command Execution Description: The malware drops an executable named "scandisk.exe" that listens on TCP ports 47891 and 29559. Third party attackers who can reach infected...
- Backdoor.Win32.MotivFTP.12 / Authentication Bypass RCE Maggio 11, 2021Posted by malvuln on May 11Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/88785a093b8fa00893214dd220ac255d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.MotivFTP.12 Vulnerability: Authentication Bypass RCE Description: The malware listens on TCP port 21. Third-party attackers who can reach the system can logon using any username/password combination. Attackers may then upload...
- Re: Three vulnerabilities found in MikroTik's RouterOS Maggio 11, 2021Posted by Gynvael Coldwind on May 11Got it! Thank you for the explanation!
- Four vulnerabilities found in MikroTik's RouterOS Maggio 11, 2021Posted by Q C on May 11Advisory: four vulnerabilities found in MikroTik's RouterOS Details ======= Product: MikroTik's RouterOS Vendor URL: https://mikrotik.com/ Vendor Status: only CVE-2020-20227 is fixed CVE: CVE-2020-20220, CVE-2020-20227, CVE-2020-20245, CVE-2020-20246 Credit: Qian Chen(@cq674350529) of Qihoo 360 Nirvan Team Product Description ================== RouterOS is the operating system used on the MikroTik's devices, such as […]
- Re: Three vulnerabilities found in MikroTik's RouterOS Maggio 11, 2021Posted by Q C on May 11Hi, In Mikrotik RouterOs, each user is assigned to a user group, which denotes the rights of this user. A group policy is a combination of individual policy items, and provides a convenient way to assign different permissions and access rights to different user classes. (Reference: https://help.mikrotik.com/docs/display/ROS/User) Some common […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura: 4 minIntroduzioneAlla luce del crescente numero di attacchi ransomware in cui i cryptolocker inte… https://t.co/ubv6OcMrVW
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Cyber Threat Hunting is a proactive security search across networks, endpoin… https://t.co/afEZYKrnAK
-
SecureOnlineDesktop
Estimated reading time: 5 minutes A Zero-Day attack (also known as 0-day) exploits a software vulnerability unkno… https://t.co/tdRF7a7zOa
-
SecureOnlineDesktop
Tempo di lettura: 4 minAttraverso il servizio di cloud storage ownCloud puoi collaborare con i tuoi colleghi ai con… https://t.co/gLk003kzxV
-
SecureOnlineDesktop
A common definition of data exfiltration is the theft, removal, or unauthorized movement of any data from a device.… https://t.co/cuUyQtUoah
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile Maggio 17, 2021
- Esempi di phishing: le ultime campagne menzionate dal CSIRT Maggio 10, 2021
- Event Overload? Il nostro SOCaaS può aiutare! Maggio 3, 2021
- Schemi di business email compromise (BEC) Aprile 28, 2021
- XDR come approccio alla sicurezza Aprile 26, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications