Security Automation: cosa significa e quali vantaggi per le aziende

20 Gennaio 2021

Per comprendere appieno la centralità della Security Automation nel contesto aziendale odierno bisogna tornare indietro di qualche anno e, in particolare, a quando l’automazione dei processi di security iniziò a farsi sentire come una vera esigenza: nel 2016, infatti, Phantom ed ESG Research dichiararono che il 74% delle aziende coinvolte nella loro ricerca stesse ignorando gli eventi/alert di sicurezza a causa della loro crescita esponenziale e dell’impossibilità per i team di security di gestirli manualmente uno ad uno. Il motivo è peraltro semplice da comprendere: tra il cloud, uno smart working che iniziava a farsi sentire e l’esigenza di proteggere dispositivi mobile e oggetti IoT sempre più numerosi, la superficie da monitorare e gestire stava crescendo di giorno in giorno.

Questa tendenza, inoltre, non è certamente cambiata negli ultimi anni: la moltiplicazione dei device, i perimetri aziendali sempre più “liquidi”, uno smart working ormai pervasivo e minacce di sicurezza più frequenti e insidiose rendono la Security Automation non tanto un piacevole esponente di trasformazione digitale e di efficienza aziendale, quanto una vera e propria necessità per molte imprese, anche al fine di fronteggiare la cronica carenza di risorse specializzate. Passando ora al 2020/21, va segnalato che il percorso è ancora in divenire e rende la Security Automation uno dei trend più interessanti in assoluto: le ultime rilevazioni (fonte: Statista), infatti, dichiarano un uso pervasivo di tecniche di automazione solo nel 9% delle aziende, mentre un’adozione di livello medio ne accomuna il 38,3%.

Cosa si intende per Security Automation

Vista dall’alto, la Security Automation è l’esecuzione di azioni finalizzate alla sicurezza dei sistemi aziendali senza o con un limitato intervento umano. Con il generico termine “azioni” si intendono attività volte alla rilevazione delle minacce, all’analisi delle stesse e, nel caso, a una corretta reazione finalizzata alla salvaguardia dei sistemi, dei dati e del business aziendale.

Le piattaforme di Security Automation si occupano dunque di rilevare, analizzare, decidere e rimediare al problema: gli specialisti, qualora sorretti da un’automazione efficace, possono concentrarsi sulla pianificazione strategica, su lavori a maggiore valore aggiunto o su casi più complessi che richiedono un livello avanzato di giudizio, di esperienza e di interpretazione. Il software di automazione è quindi finalizzato non tanto a sostituire quanto a completare il lavoro dei team di sicurezza gestendo un’infinità di casi e definendo, per ognuno di essi e in una frazione di secondo, se sia il caso di agire – da cui l’abbattimento dei falsi positivi – e come farlo, ovviamente in funzione di casi analoghi già gestiti. Il sistema si attiva immediatamente di fronte alla rilevazione di possibili incidenti e agisce in modo coerente con gli incident response playbook, così da garantire un processo snello e ripetibile per tutti i casi analoghi che si presenteranno in futuro: reazioni tipiche, ma ovviamente non esclusive, sono la quarantena di specifici device, cancellazione di file, blocchi di porte e URL, ricerche di file sugli endpoint e via dicendo. Per fare questo, le piattaforme di automazione devono essere integrate con gli altri strumenti di sicurezza quali firewall, sistemi endpoint, sandbox e SIEM, così da massimizzare la propria efficacia.

A tal proposito, l’automazione della IT security si completa con l’orchestrazione. I due termini, sia pur usati spesso come sinonimi, in realtà sono diversi e complementari: mentre l’automazione accelera il processo di rilevamento delle minacce, di analisi e risposta, l’orchestrazione collega e sviluppa sinergie tra tutti i sistemi di sicurezza in uso, automatizzando interi flussi di lavoro. In altri termini, l’automazione gestisce task singoli, l’orchestrazione si occupa del processo end-to-end: sul mercato esistono apposite soluzioni che prendono il nome di SOAR, acronimo di Security Orchestration, Automation and Response.

I benefici della Security Automation

Molti vantaggi della Security Automation sono già stati citati nelle righe precedenti: gestione di tutti i casi meritevoli di attenzione, accelerazione del processo di rilevamento, analisi e risposta, semplificazione, risparmio di tempo, rifocalizzazione delle risorse specializzate verso attività a valore aggiunto. Tutto ciò sarebbe più che sufficiente per rendere la Security Automation un obiettivo cardine per ogni CIO/CISO, ma si possono aggiungere gli effetti benefici dell’abbattimento degli errori, dell’operatività 24/7, della capacità di gestire ogni attività di routine e, se di concerto con algoritmi di AI/Machine Learning, anche di migliorare costantemente l’efficacia delle risposte. Lato business, la riduzione dei costi e la massimizzazione dell’efficienza sono i primi risultati tangibili, ma tutte le volte che si parla di automazione non va dimenticato l’employee engagement, che è una diretta conseguenza di abbandonare la routine per qualcosa di più utile e appagante.

CTA-IT automation