Cybersecurity

Cos’è un Security Operations Center (SOC) e perché ne hai bisogno?

29 Giugno 2023

Nel 2021 il costo medio globale di un data breach è stato di 4,24 milioni di dollari. Secondo le tendenze degli ultimi anni, questa cifra dovrebbe aumentare ancora. Detto questo, è sempre più importante tenere sotto controllo i propri sistemi e le proprie reti e quelle dei clienti per poter identificare e correggere qualsiasi minaccia e vulnerabilità prima che causi danni significativi.

Tuttavia, data la mole di lavoro che la gestione dell’IT comporta, può essere molto difficile per il tuo team IT avere sempre una visibilità completa di un’infrastruttura IT. Ecco perché esistono i SOC.

Che cos’è un Security Operations Center?

Un SOC è una struttura centralizzata all’interno di un’azienda che ospita un team di sicurezza informatica responsabile del monitoraggio continuo, del rilevamento, dell’analisi e della risposta a qualsiasi incidente di cybersicurezza. Il team si avvale di una serie di processi predefiniti e di una serie di soluzioni per prevenire e risolvere gli incidenti di cybersecurity e rafforzare le difese dell’azienda.

Un SOC viene spesso confuso con una serie di funzioni IT simili. Vediamo di seguito le differenze:

NOC vs. SOC

Un NOC o Network Operations Center è una struttura responsabile di mantenere prestazioni di rete ottimali e di garantire che l’infrastruttura IT dell’azienda soddisfi debitamente gli SLA. Un SOC, invece, ha il compito di proteggere da attacchi informatici che potrebbero causare interruzioni dell’attività.

NOC e SOC sono simili, nel senso che entrambi si concentrano sulla protezione dell’azienda da potenziali minacce e rischi per la produttività aziendale e le prestazioni della rete.

SIEM vs. SOC

Le soluzioni SIEM o Security Incident Event Management raccolgono e aggregano i dati provenienti da una serie di fonti diverse e implementano l’analisi dei dati per rilevare e identificare probabili minacce informatiche alla rete. D’altro canto, un SOC monitora la rete per identificare e porre rimedio agli incidenti informatici.

Il SIEM e il SOC lavorano in tandem per avvisare le aziende di eventuali incidenti informatici e aiutarle a prevenire i data breach.

MDR vs. SOC

L’MDR o Managed Detection and Response è un servizio di sicurezza gestito che viene solitamente esternalizzato per migliorare la protezione dell’infrastruttura IT contro le minacce informatiche. Si tratta di un controllo di sicurezza avanzato, sempre attivo, utile per le aziende che non dispongono di un proprio SOC.

Come già detto, un SOC è responsabile, tra le altre cose, della gestione dei dispositivi di sicurezza, della qualificazione degli incidenti, della gestione delle minacce e delle vulnerabilità e del monitoraggio proattivo.

Come funziona un SOC?

Il primo passo verso la creazione di un SOC è la definizione di una strategia dettagliata da parte dell’azienda e la progettazione di un’architettura di sicurezza adatta a supportare tale strategia con cui il team SOC lavorerà. La strategia deve includere obiettivi chiari e specifici per i diversi dipartimenti aziendali.

Il sistema SIEM lavora insieme al SOC e raccoglie eventi e log da centinaia di sistemi organizzativi e strumenti di sicurezza, creando avvisi di sicurezza attivabili. Il team SOC analizza questi log di dati e risponde agli avvisi generati dal SIEM.

Inoltre, il SOC monitora gli endpoint e le reti alla ricerca di vulnerabilità, per rimanere conforme alle normative di settore e proteggere i dati critici dalle minacce informatiche. Alcuni SOC sfruttano anche il reverse engineering del malware, la crittoanalisi e l’analisi forense per rilevare e analizzare gli incidenti di sicurezza.

Qual è l’obiettivo principale di un SOC?

Secondo il Global MSP Benchmark del 2022, la percentuale di MSP che ha dichiarato di ritenere la propria azienda più a rischio attacco rispetto al passato è aumentata dal 39% del 2021 al 50%. Il SOC è un componente fondamentale del sistema di sicurezza e delle strategie di protezione dei dati di un’azienda. Con un monitoraggio continuo, un SOC contribuisce a ridurre il livello di esposizione ai rischi, interni ed esterni, dei sistemi e delle reti di un’azienda.

In assenza di un SOC efficiente, i cyberattacchi possono passare inosservati per molto tempo e creare scompiglio nei sistemi, poiché la maggior parte delle aziende non possiede le soluzioni per rilevare e rispondere alle minacce informatiche in modo tempestivo.

Un SOC consente alle aziende di avere una migliore visibilità del proprio ambiente e di implementare strategie e procedure adeguate per arginare i cyberattacchi. Con il rilevamento tempestivo delle vulnerabilità, le aziende possono essere preparate a porre rimedio agli incidenti informatici prima che si aggravino.

Quali sono i tre elementi principali di un SOC?

Il successo di un SOC dipende da tre elementi principali: persone, processi e tecnologie. Andiamoli a vedere nel dettaglio.

Le persone

Il pilastro più importante della strategia di cybersecurity è costituito dalle persone. È molto difficile trovare le persone giuste per gestire correttamente il SOC perché, per creare un SOC efficiente, sono necessarie persone con competenze diverse che svolgano ruoli diversi. In loro assenza, anche i sistemi e i processi di sicurezza più sofisticati cadranno nel vuoto e non daranno i risultati sperati.

Processi

Affinché il SOC funzioni al massimo delle sue potenzialità, è necessario disporre di una serie di processi predefiniti che gli operatori del SOC devono seguire. Questi processi aiutano a capire cosa è necessario fare in una particolare situazione e includono protocolli per la documentazione per tracciare i dati, misure di sicurezza per il trasferimento di dati riservati, gestione dei dati dei clienti e autenticazione degli utenti per rafforzare la sicurezza dei dati. Inoltre, dovrebbero esistere processi che definiscano come monitorare le reti alla ricerca di vulnerabilità e come mitigare i rischi associati agli incidenti di sicurezza.

Le tecnologie

Per costruire un SOC efficiente ed efficace è indispensabile disporre di un insieme di tecnologie potenti e ben integrate. Le aziende devono puntare a un approccio stratificato per costruire un’architettura di sicurezza a prova di bomba, in grado di respingere anche i cyberattacchi più sofisticati.

Alcune delle tecnologie più importanti per la costruzione di un solido SOC sono la sicurezza del cloud, la crittografia dei dati, la sicurezza degli endpoint, la sicurezza delle applicazioni, il rilevamento di malware, gli scanner di vulnerabilità, la sicurezza della rete, i firewall e così via. Il SOC migliore crea un sistema di sicurezza interconnesso con questi strumenti per ottenere una difesa a 360 gradi.

Che cos’è un team SOC?

Un SOC opera come un hub o un centro di comando che monitora l’intera infrastruttura IT di un’azienda, compresi apparecchi, dispositivi, sistemi di archiviazione delle informazioni e reti. Un SOC ospita un team di operatori qualificati, responsabili del monitoraggio continuo, del rilevamento, dell’analisi e della risposta alle minacce informatiche.

Le aziende che comprendono l’importanza della sicurezza informatica investono risorse adeguate per costruire un team SOC forte e dotarlo degli strumenti necessari per gestire potenziali minacce. I ruoli e le responsabilità di un team SOC sono semplici ben definiti. L’obiettivo di un team SOC di successo è implementare le giuste competenze e impiegare le giuste risorse per ottenere visibilità sulle minacce attive ed emergenti.

Il team SOC: ruoli e responsabilità

In questa sezione verranno illustrati i ruoli principali di un team SOC e le responsabilità di ciascuno:

Incident Responder

Come suggerisce il nome, un Incident Responder ha il compito di configurare e monitorare le soluzioni di sicurezza e di sfruttarle per identificare le minacce. L’Incident Responder esamina centinaia di avvisi ogni giorno per classificarli in base al livello di priorità. Una volta classificate, queste informazioni vengono inoltrate al Security Investigator.

Security Investigator

Dopo un incidente di sicurezza, il Security Investigator si avvale di risorse sofisticate, come le informazioni sulle minacce, per scoprire cosa è successo e perché. In stretta collaborazione con l’Incident Responder, il Security Investigator identifica i dispositivi e gli host colpiti e svolge anche un’indagine approfondita per identificare la fonte dell’attacco, le metodologie impiegate per lanciarlo e così via.

Security Analyst

Un Security Analyst è responsabile della compilazione e dell’analisi dei dati relativi a un incidente di sicurezza per esaminare gli incidenti passati, individuare le vulnerabilità non identificate e studiare le possibili soluzioni. I Security Analyst non solo segnalano potenziali minacce informatiche, ma suggeriscono anche le modifiche necessarie per rafforzare la sicurezza di un’azienda.

SOC Manager

Il SOC Manager ha il compito di gestire il team SOC e di supervisionarne le operazioni. Assume e forma gli altri membri del team SOC ed è responsabile della progettazione e dell’implementazione di una solida strategia di cybersecurity. Il SOC Manager orchestra e supervisiona anche la risposta dell’azienda alle principali minacce informatiche.

Auditor

Come la maggior parte dei processi IT, anche le attività del SOC rientrano nell’ambito di determinate normative di settore e governative. Per questo motivo, il team SOC comprende un auditor certificato in grado di garantire che l’azienda rimanga conforme alle normative richieste per evitare pesanti sanzioni dovute alla non conformità.

Security Architect/Engineer

Un Security Architect o Engineer è uno specialista hardware/software responsabile della manutenzione dell’architettura di sicurezza dell’azienda e dell’aggiornamento di sistemi e strumenti. Può anche essere responsabile della progettazione, della documentazione e dell’aggiornamento dei protocolli di sicurezza che l’azienda deve seguire.

Cosa sono i servizi SOC?

Secondo Cybersecurity Ventures, l’esigenza di proteggere aziende sempre più digitalizzate, i dispositivi Internet of Things (IoT) e l’evoluzione della criminalità informatica spingerà la spesa globale per i prodotti e i servizi di sicurezza informatica a 1,75 trilioni di dollari nel quinquennio 2021-2025. È probabile, quindi, che un numero sempre maggiore di aziende si rivolga ai servizi SOC per rafforzare la propria cybersecurity e proteggere la propria infrastruttura IT e quella dei propri clienti dalle moderne minacce informatiche.

Ci sono una serie di servizi e funzioni che un team SOC è solito fornire. Eccone alcuni:

Incident Response

L’Incident Response è uno dei servizi principali forniti dai SOC. Una volta che si verifica un incidente di sicurezza, il team SOC è responsabile dell’identificazione e della risoluzione del problema nel più breve tempo possibile. Una risposta rapida è indispensabile per ridurre al minimo le interruzioni dell’attività e garantire un rapido ripristino delle normali operazioni. Il team SOC elabora un solido piano di risposta agli incidenti per garantire una ripartenza immediata ed efficace.

Threat Monitoring

Il team SOC è anche responsabile dell’impiego di strumenti e risorse adeguati per la scansione dell’intera rete IT di un’azienda al fine di rilevare eventuali minacce, attività sospette o anomalie che potrebbero portare a un incidente di sicurezza. Questo monitoraggio costante aiuta il SOC a identificare rapidamente le minacce emergenti e a intraprendere azioni immediate per ridurre al minimo i danni.

Vulnerability Scanning

Il team SOC si avvale di soluzioni avanzate di Vulnerability Scanning per esaminare le reti informatiche, identificare eventuali debolezze e vulnerabilità del sistema e risolverle prima che possano essere sfruttate. Poiché i cambiamenti infrastrutturali e la crescita dell’azienda possono portare ogni giorno alla comparsa di nuove vulnerabilità, il Vulnerability Scanning è un processo costante che deve essere eseguito regolarmente per identificare e correggere esposizioni del sistema appena si verificano.

Che cos’è il managed SOC?

Definito anche SOC-as-a-Service, il managed SOC è composto da esperti di cybersecurity che vengono esternalizzati da un’azienda che non dispone di un SOC interno. Questo team di esperti esterni monitora la rete, i log, i dispositivi e l’ambiente cloud dell’azienda per identificare, analizzare e correggere le minacce e le vulnerabilità.

I servizi SOC gestiti sono solitamente impiegati tramite abbonamento, cioè l’azienda paga un canone regolare (mensile, trimestrale, annuale) per garantire che il proprio ambiente IT sia sicuro e ben protetto contro le minacce informatiche e le nuove vulnerabilità. Le aziende che non hanno il budget per investire in software di sicurezza, esperti, hardware, formazione e altro ancora, possono comunque garantire il monitoraggio costante della propria infrastruttura IT e migliorare la propria sicurezza a un minor costo.

Vuoi saperne di più sul managed SOC? Questo articolo fa al caso tuo.

Fonte: blog di Kaseya

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti