Cybersecurity e SOC: quale scelta fare

Il SOC, Security operations center, è il fulcro nell’organizzazione aziendale per quanto riguarda la sicurezza informatica. Si tratta di competence center specializzato nella gestione delle operazioni di cybersecurity, ovvero di tutte quelle operazioni che mirano al controllo e alla difesa di un’infrastruttura aziendale. 

Sono quindi attività che richiedono un’elevata specializzazione e competenze molto specifiche: per questo motivo, accennando al SOC, uno dei temi ricorrenti è quello di capire se sia meglio investire per creare di una struttura interna, oppure affidarsi ad una soluzione in outsourcing. Per capire quale sia la scelta migliore e più adatta alle proprie necessità, è bene valutare una serie di fattori.    

SOC e servizi gestiti

Per prima cosa va considerato che in questo periodo storico molte aziende, forse la maggior parte, decide di affidarsi a servizi in outsourcing. Ciò è confermato da diversi studi che hanno analizzato appunto le scelte delle aziende, che le vede orientate ad affidarsi a partner tecnologici che garantiscono competenza di personale, certificazioni dei partner tecnolgici. Questa scelta permette un risparmio su costi di infrastruttura, personale e aggiornamenti tecnologici, che sono delegati al partner. Quindi la scelta di affidarsi ai MSP, Managed Service Provider è quella vincente al momento più diffusa. 

L’obiettivo di un SOC

Analizziamo quale è l’obbiettivo principale di un SOC che sicuramente quello di analizzare la situazione legata alla sicurezza perimetrale dell’infrastruttura tecnologica di un’azienda: che è composta dai server, apparati di rete, applicazioni e personale che creano e gestiscono i dati aziendali. Questa serie di attività si concentrano quindi nell’uso di apparati e strumenti software che permettono di verificare lo stato di salute di un’architettura informatica a cominciare da quella serie di sorgenti di dati, così da avere una serie molto critica di informazioni che andranno analizzate, comprese e per le quali dovranno essere prodotti report. In ogni momento, queste informazioni sono confrontate con dei parametri codificati che sono il riferimento per avere un’infrastruttura messa in sicurezza. Dopodiché in caso sia necessario si segnalano eventuali anomalie e si decide come procedere la risoluzione dell’eventuale problematica

Il SOC: cos’è, quali sono i compiti e i vantaggi per le aziende

Un Security Operation Center (SOC) rappresenta un asset critico per un'azienda che può essere esposta ad attacchi informatici. Può essere formato e gestito all’interno dell’azienda, affidato esternamente come servizio gestito i cosiddetti MSP, oppure garantito in modo ibrido. L’importante è comunque averlo e che cooperi con strutture nazionali simili.

• Un SOC quindi è una sorta di control room per la sicurezza informatica che monitora, analizza e protegge una qualsiasi organizzazione o azienda da possibili minacce informatiche.

• Un SOC è formato da persone, tecnologie e processi. Il personale include:
  analisti della sicurezza che monitorano i sistemi e rispondono agli incident., Questo team con il manager SOC sono coloro che gestiscono le operazioni del SOC e con i dirigenti aziendali definiscono la strategia di cybesecurity

• Il SOC implementa misure di sicurezza per proteggere l’organizzazione da possibili attacchi informatici, come firewall, sistemi di rilevamento delle intrusioni e software antivirus.

Un SOC, Security Operation Center, è quindi una struttura dove si concentrano tutte le informazioni sulla infrastruttura IT di un’azienda o di più aziende (nel caso che il SOC sia un MSSP, ovvero un Managed Security Service Provider, quindi un servizio affidato da una società esterna).

Analizziamo nel dettaglio cosa è un SOC e cosa fa
Siamo quindi di fronte ad una organizzazione che si caratterizza per le sue attività e capacità di difesa per contrastare attività non autorizzate che mirano ad attaccare asset aziendali che sono oggeto della protezione. Il SOC avendo come punto di riferimento il Cyver Security Framework NIST ha quindi la capacità di IDENTIFY, PROTECT, DETECT, RESPOND e RECOVER.

Un SOC quindi si compone da un team di professionisti, per lo più analisti e architetti di sicurezza, che sono organizzati per eseguire le attività dettate dal framework NIST e quindi rilevare, analizzare, rispondere, eseguire report e prevenire incidenti. Inoltre, sono in grad di erogare servizi vero la propria constituency, ovvero un insieme di utenti, siti, asset IT, reti e organizzazioni. I Managed Security Services Provider (MSSP), messi in opera da provider offrono I servizi propri dei SOC ai clienti che vogliono esternalizzare queto tipo di servizio.

Uno degli obiettivi del SOC è promuovere la Situational Awareness dell’organizzazione mirando al consolidamento dei flussi di dati attraverso l’aggregazione, l’associazione e la contestualizzazione della security posture. Altri target sono la diminuzione del rischio e dei disservizi, il controllo e la prevenzione delle minacce, la riduzione dei costi amministrativi, la capacità di investigare sugli incidenti di sicurezza e il supporto nelle attività di audit e di compliance a leggi, norme, standard e best practice di settore.

Per ottenere gli obiettivi prefissati il SOC deve poter eseguire attività che comprendono funzioni come gestione dei log (collezione, conservazione e analisi), monitoraggio e correlazione degli eventi di sicurezza, gestione degli incidenti, identificazione e reazione alle minacce e attività di reporting. Queste attività sono alla base dei servizi offerti da un SOC.

Tecnologie, Persone e Processi: I Pilastri del SOC

L’attività di un SOC è quindi possibile grazi alla combinazione di elementi quali tecnologia, persone e processi indicati dal framework NIST; è importante sottolineare che il termine stesso “SOC” è figlio delle evoluzioni del mercato della sicurezza delle informazioni. Esistono altri elementi per identificare forme organizzative le cui attività, capacità e obiettivi sono identici a quelli di un SOC, come i  Computer Emergency Response Team (CERT) e i Computer Security Incident Response Team (CSIRT).

Il SOC usa diverse tecnologie, come per esempio i Security Information Event Management (SIEM), Database Activity Monitoring (DAM), Intrusion Detection/Prevention System (IDS/IPS), Next-Generation Firewall, Malware Protection, Sandbox, etc.

Vista la dinamicità delle minacce cyber e il loro continuo evolversi, è naturale per il SOC si avvalga costantemente delle tecnologie di sicurezza più avanzate, ampliando continuamente le capacità tecniche a disposizione e aggiornando di conseguenza le proprie capacità operative.

Le persone sono l’elemento centrale e distintivo del SOC e che normalmente è composta da una struttura multilivello all’interno dell’organizzazione per compiere azioni diverse e complementari. Ogni livello ha compiti e responsabilità ben delineate e si interfaccia con gli altri livelli usando procedure chiare e prestabilite. Le skills dei tecnici che compongono un SOC è variegata e comprende sia hard skill (conoscenza di protocolli di rete, tecnologie di sicurezza specifiche, sistemi e reti IT, etc) sia soft skill (capacità di operare sotto stress, attitudine alla comunicazione, capacità di gestire le relazioni con colleghi e clienti, etc). queste attività seguono le indicazioni del framework NIST.

Vista la particolare natura degli attacchi e delle minacce cui deve far fronte, il SOC è operativo 24 ore al giorno per tutto l’anno: gli attacchi informatici (automatici e manuali) sono sferrati di continuo e da qualsiasi luogo con modalità follow-the-sun, quindi senza badare al proprio fuso orario. Per assicurare adeguati livelli di efficienza ed efficacia, il SOC agisce seguendo processi divisi in quattro categorie: di business, tecnologici, operativi e analitici.

I servizi offerti dal SOC

Security Incident Detection and Monitoring
Un SOC deve innanzitutto spaer rilevare ed individuare le anomalie che possono presentarsi nei flussi di dati fra l’esterno e l’interno dell’azienda, considerando la vulnerabilità che ha oggi il concetto di perimetro aziendale.

Questa attività di raccolta e poi un prima scrematura delle informazioni sul movimento dei dati ed eventi generati da server, laptop, sistemi di sicurezza e apparati di network dell’infrastruttura IT viene effettuata grazie soluzioni  SIEM (Security Information and Event Management).

Gli alert generati dai SIEM vengono confrontati con informazioni relative al contesto dei dati stessi provenienti dal mondo esterno fornite da servizi di Cyber Threat Intelligence. Questo servizio fornisce informazioni su nuovi malware, attacchi informatici, nuove vulnerabilità, grazie a database aggiornati continuamente.

Questa attività di verifica incrociata è ormai quasi sempre eseguita da sistemi automatizzati configurati dai tecnici del SOC sempre nell’ottica di prevention, oltre a quella di detection e monitoring). Tale analisi le segnalazioni filtrate da queste tecnologie permette agli addetti del Security Operation Center di effettuare un primo “triage” degli incidenti e decidere se possono procedere direttamente una remediation (attraverso il Security Device Management) oppure se aprire un ticket verso il team di Incident Response, predisponendo un accurato reporting.

Incident Response

Gli analisti che operano nel SOC2 si occupano dell’Incident response. Questi analisti possono far parte o del SOC 2 o di strutture separate definite CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team). Questi tecnici analizzano ie report generati e invati dal SOC 1 e le integrano con ulteriori informazioni di Thread Intelligence e con dati relativi agli asset IT coinvolti nell’incidente (configurazioni, processi gestiti etc.).

Quindi viene definita l’attività di remediation. Tale attività può coinvolgere sia chi si occupa di gestione dei sistemi IT sia gli analisti del SOC 1, ai quali vengono suggeriti i possibili cambiamenti da effettuare sui sistemi di sicurezza e di monitoring.

DDos Mitigation

Un’attività molto importante nella gestione della sicurezza informatica è la mitigazione degli DDoS. Gli attacchi di negazione del servizio distribuiti sono sempre uno degli attacchi più spaventosi e difficili da combattere. Arrivano all'improvviso e inaspettatamente, trovandosi sotto il fuoco incrociato di diverse parti del globo e utilizzando tecniche diverse.

Per contrastarli, abbiamo bisogno di un team di esperti con competenze complementari.

Vulnerability Assessment

I servizi del Security Operations Center (SOC) includono anche la valutazione delle vulnerabilità. Queste attività corrispondono a un SOC di livello 3, più focalizzato sull'analisi proattiva. Lo scopo è verificare in modo proattivo la sicurezza di applicazioni, database, reti, computer ed endpoint, in particolare utilizzando test di penetrazione..

Chi lavora in un SOC

Un SOC deve avere un SOC manager che si interfaccia con il CISO (Chief Information Security Officer) e con altri stakeholder aziendali.

Sempre più spesso il SOC Manager deve collaborare con le organizzazioni che si occupano di sicurezza informatica a livello nazionale, come richiesto dalla Direttiva europea NIS.

A breve diventerà finalmente operativo CSIRT Italia, una sorta di SOC nazionale.

Questo CSIRT Italia integrerà le funzioni attualmente svolte dal CERT Nazionale Italia (operato nell'ambito del Ministero dello Sviluppo Economico) e dal CERT-PA (Agenzia per l'Italia Digitale). Presidenza del Consiglio dei Ministri.I rapporti fra SOC e i CERT nazionali diventeranno sempre più cruciali in futuro.

Il compito principale del SOC manager è analizzare le esigenze di personale in modo quantitativo e qualitativo, individuare e assumere risorse, motivarle e formarle e garantire che tutti sentano che una missione comune è quella di istruire.

L’analista SOC è una figura cardine nella sicurezza informatica aziendale. Questo professionista opera all’interno di un SOC, dove svolge un ruolo attivo nel proteggere le risorse informatiche da minacce e attacchi. Attraverso un monitoraggio costante, l’analista SOC identifica attività sospette, analizza gli allarmi e, se necessario, li eleva a incidenti di sicurezza.

Questo rapido processo di valutazione e risposta è fondamentale per mitigare i rischi e limitare i potenziali danni. Senza un analista SOC, la capacità di un'azienda di rispondere efficacemente alle minacce informatiche è fortemente limitata e aumenta il rischio di compromissione di dati e sistemi.

Gli analisti del SOC non devono solo rilevare e mitigare gli attacchi informatici, ma anche prevenirli attraverso l'analisi predittiva e l'intelligence sulle minacce.

Contattaci per una consulenza gratuita e scoprire come possiamo supportarti nell'affrontare la NIS2

FAQ

1. Cos'è il Security Operation Center?
Un Security Operation Center (SOC) è una funzione centralizzata all'interno di un'organizzazione che impiega persone, processi e tecnologie per monitorare e migliorare costantemente la sicurezza dell'organizzazione, prevenendo, rilevando, analizzando e rispondendo agli incidenti di sicurezza informatica.

2. Che cosa si intende per conformità SOC?
La conformità SOC è una procedura di auditing che garantisce che i tuoi fornitori di servizi gestiscano i tuoi dati in modo sicuro per proteggere gli interessi della tua organizzazione e la privacy dei suoi clienti.

3. Che cos'è la checklist di conformità SOC?
La checklist di conformità SOC è la seguente:

1. Definisci i tuoi obiettivi.
2. Scegli i principi di servizio fiduciario appropriati da testare.
3. Combina gli audit SOC con altre iniziative di conformità.
4. Scegli il report giusto.
5. Valuta la tua preparazione.
   

4. Qual è la forma completa SIEM in sicurezza?
SIEM è l'acronimo di Security Information and Event Management e fornisce alle organizzazioni soluzioni di rilevamento, analisi e risposta di ultima generazione.

Link utili

Netlabindia
IBM
ICT Security magazine
Checkpoint
Cybersecurity 360