SOAR è un acronimo che significa Security Orchestration, Automation, and Response.
Ma perché è importante sapere di cosa si tratta e come realizzarlo? La definizione di un sistema SOAR Security SAP è strategica.
SOAR, cosa vuol dire?
Significa l'insieme di tutti gli strumenti, policy/procedure che concorrono nel gestire la sicurezza dei sistemi, in particolare:
- Gestione delle minacce e delle vulnerabilità
- Gestione degli incident (Incident response)
- Automatizzazione delle azioni security
In altre parole, avere una orchestra di strumenti che lavora nel modo migliore, per quanto riguarda la gestione degli aspetti di security.
SIEM e SOAR che differenza c'è?
Può essere utile identificare le differenze tra un sistema SIEM (Security Information and Event Management) e SOAR.
- Il SIEM permette, maggiormente a livello di rete ed infrastruttura, di correlare analizzare e gestire gli eventi che sono generati principalmente da firewall, router etcc..
Sono strumenti che gestiscono enormi mole di dati, e spesso chi riceve eventi generati da questi strumenti non sempre riesce ad analizzarli tutti (escludendo falsi positivi, che comunque devono essere analizzati).
- L'obiettivo dei sistemi SOAR è simile (a quello del SIEM) ma consente di avere una unica vista centralizzata che permette agli operatori di analizzare le sole casistiche critiche ed indirizzarle di conseguenza.
Sono quindi concetti che possono essere declinati in uno o più strumenti tecnologici che devono essere utilizzati in maniera complementare.
Qual è la visione di SAP (SIEM e SOAR) sull'argomento al momento?
SAP ha creato un proprio strumento SIEM chiamato SAP Enterprise Threat Detection (SAP ETD). Questo strumento basato su SAP HANA permette di ricevere, correlare e gestire moltissimi eventi, tra cui anche quelli specifici di SAP.
Spesso i SIEM sul mercato hanno una vista molto tecnica e richiedono sforzi non sempre indifferenti per poter integrare le logiche di SAP e costruire delle regole per identificare casi/pattern rilevanti anche per questi strumenti.
Capita spesso infatti che pur essendo presenti in azienda dei sistemi SIEM, questi non siano collegati a SAP. Oppure lo siano ma in maniera molto superficiale, ad esempio per tenere conto dei login o logoff effettuati da determinate utenze.
Solitamente le persone prettamente IT (o IT Security), conoscono perfettamente l'infrastruttura di rete aziendale, i sistemi operativi, gli apparati di rete etcc ma non hanno alcuna visibilità sugli aspetti di sicurezza dei sistemi SAP.
Quanto sopra vale anche al contrario, dove le persone che si occupano di SAP, spesso non conoscono o non si integrano con strumenti di IT security già presenti in azienda.
Ed è anche per questo motivo che SAP ha deciso di costruire il sistema SAP Enterprise Threat Detection (ovvero per avere un strumento SIEM in grado di raccogliere i dati generati da SAP) e permettere a strumenti come SIEM di Splunk delle integrazioni native in modo da completare il disegno SOAR che questi strumenti offrono.