Perché le organizzazioni hanno bisogno dell'orchestrazione della sicurezza
Gli ambienti aziendali stanno diventando sempre più complessi. Le organizzazioni oggi hanno un'ampia varietà di sistemi sparsi tra data center on-premise e cloud-based deployment. L'aumento del lavoro a distanza complica ulteriormente la questione, in quanto i dipendenti lavorano da dispositivi personali e mobili.
La sicurezza dell'ambiente aziendale moderno richiede soluzioni di sicurezza in grado di difendere più piattaforme da un'ampia gamma di vettori di attacco. Nella maggior parte dei casi, le organizzazioni hanno scelto di implementare soluzioni di sicurezza standalone per affrontare casi d'uso specifici.
Il problema di questo approccio è che i team di sicurezza sono sommersi da una marea di avvisi di sicurezza e faticano a gestire e monitorare in modo efficace le loro complesse architettureCyber Security . L'orchestrazione della sicurezza aiuta a risolvere questo problema semplificando e automatizzando il rilevamento e la risposta alle minacce.
SOAR vs. SIEM vs. XDR
Tra i molti strumenti diversi utilizzati nei tipici centri operativi di sicurezza, tre dei principali sono i SIEM e i SOAR tradizionali e gli strumenti XDR, di recente tendenza.
Uno strumento di gestione delle informazioni e degli eventi di sicurezza (SIEM) combina i dati provenienti da diverse fonti e utilizza l'analisi per rilevare le minacce più probabili.
Le soluzioni SOAR sono costruite per incorporare molti moduli, regolarmente di fornitori diversi. Consentono alle aziende di razionalizzare le operazioni di sicurezza in alcune aree: gestione degli attacchi, risposta e automazione delle operazioni di sicurezza.
Gli strumenti di Extended Detection and Response (XDR) assimilano la visibilità della sicurezza nell'intera organizzazione aziendale, compresi i gateway, gli endpoint, il cloud, il mobile e l'IoT, per identificare le minacce avanzate e distribuite, sfruttare l'analitica dei dati e threat intelligencee rispondere automaticamente agli attacchi riconosciuti. XDR crea il contesto e i flussi per l'analista, per supportare il triage degli incidenti, le indagini e la rapida riparazione.
Dove il SIEM fallisce
Nonostante i loro vari vantaggi, i SIEM non sono la soluzione ideale alle sfide che gli analisti dei centri operativi di sicurezza (SOC) devono affrontare. Tra le limitazioni più evidenti dei SIEM, c'è la necessità di dedicare molto tempo alla configurazione e all'integrazione di una soluzione SIEM con l'attuale architettura di sicurezza. Le capacità di rilevamento delle minacce sono principalmente basate su regole, che non permettono di individuare nuovi attacchi o quelli che non seguono un modello stabilito. Inoltre, gli avvisi vengono generati in base ai dati aggregati da diverse soluzioni in tutta l'organizzazione. Tuttavia, la convalida non viene eseguita, creando rilevamenti falsi positivi.
Lo svantaggio principale di un SIEM è la sua mancanza di capacità di realizzare la "storia dell'attacco" completa e di visualizzarla in modo agile per l'analista. Invece, i registri vengono semplicemente correlati, lasciando all'analista il compito di determinare perché gli eventi sono stati correlati e cosa è successo.
I benefici e i limiti di SOAR
Le soluzioni SOAR sono progettate per integrare più componenti di sicurezza, spesso di fornitori diversi. Una serie di strumenti di sicurezza compatibili consente alle aziende di raccogliere dati sugli attacchi e di rispondere ad essi senza l'intervento umano. L'obiettivo principale dello strumento SOAR è aumentare l'efficacia delle operazioni di sicurezza. I meccanismi principali degli strumenti SOAR sono l'orchestrazione della sicurezza, l'automazione e la risposta.
A prescindere dai loro vantaggi, gli strumenti SOAR mancano di API disponibili e presentano alcuni problemi di unificazione dei dati e un flusso di lavoro distaccato dall'azione di rilevamento. SOAR riceve input da molti dispositivi, ma non ha il punto di applicazione - un endpoint, un gateway, una soluzione e-mail, ecc. Inoltre, gli utenti testimoniano che è necessario un lavoro serio per raggiungere il pieno potenziale di SOAR attraverso molti fornitori.
Passare all'XDR
Per le organizzazioni di medie dimensioni, XDR offre un'alternativa al costoso e complicato stack SIEM/SOAR utilizzato dalle grandi aziende. XDR è ben posizionato come alternativa alle soluzioni limitate disponibili oggi.
Per queste organizzazioni che cercano un approccio pratico, XDR è una piattaforma unica che può fare tutto: a partire da un approccio di prevenzione, rilevamento, indagine, caccia alle minacce, risposta e bonifica.
Per le organizzazioni mature che dispongono già di soluzioni di sicurezza multi-vendor, tra cui SIEM, eccetera, XDR fornirà delle API per utilizzare le sue capacità e i suoi vantaggi in aggiunta allo stack esistente. Una soluzione SOAR può funzionare per le organizzazioni più importanti, se dispongono di risorse per l'integrazione, lo sviluppo di playbook, ecc.
Implementazione delle operazioni di sicurezza con Check Point
With Check point’s Infinity XDR/XPR you will be able to use a single application across all vectors to maximize ROI and operational efficiency. It allows you to use a single SaaS solution to detect, investigate, hunt, respond to attacks across all threat vectors, and leverage your existing Check Point security stack by reusing the infrastructure for detection and response.
Inoltre, è semplice da integrare con il suo attuale ecosistema, compresa qualsiasi piattaforma SIEM/SOAR. Le soluzioni Check Point Security Operations offrono una serie di API ai clienti SIEM e SOAR. Inoltre, vengono forniti playbook automatizzati per ottimizzare e velocizzare la risposta agli incidenti e applicare una riparazione efficace con un solo clic, integrati con le principali piattaforme SOAR per un flusso di processo end-to-end senza problemi.
Feedback