Security Operation Center (SOC) a portata di PMI: i vantaggi e le opportunità
Security Operation Center (più spesso usato nel suo acronimo: SOC) è una struttura centralizzata di comando dove un team di professionisti IT con esperienza nella sicurezza delle informazioni (in inglese infosec) monitora, analizza e protegge un'organizzazione dagli attacchi informatici. Perché ne parliamo? Perché è in questo modo che anche le PMI possono presidiare al meglio la cybersecurity, avvalendosi di una serie di soluzioni tecnologiche best in class per l’analisi delle vulnerabilità dei loro sistemi informativi e il monitoraggio delle minacce. Tutto questo, pur non avendo al loro interno le persone necessarie a gestire e interpretare correttamente i dati prodotti dai loro sistemi di sicurezza.
Cybersecurity: gli strumenti non bastano. Servono le persone
Ottenere dagli strumenti di sicurezza implementati tutti i feed dei dati per analizzarli associati al logging management non aiuta a determinare la dimensione di una minaccia. Questo perché le moderne infrastrutture di sicurezza offrono numerosi strumenti per gestire queste informazioni, ma l'integrazione tra esse lascia molto a desiderare. Risultato di scelte addizionali nel tempo, spesso gli strumenti adottati non solo sono ridondati ma tra loro non c’è una sincronizzazione e una gestione centralizzata di dati e segnalazioni. Il che si traduce in un eccessivo rumore di fondo e carichi di lavoro onerosi per i tecnici che portano a un inevitabile spreco di tempo e risorse già di per sé limitate. Al di là delle tecnologie utili a contrastare il cybercrime, infatti, alle PMI servono degli specialisti capaci di interpretare gli avvisi che macchine e sistemi producono in continuazione.
Scopri tutti i vantaggi dei nostri SOC per le PMI!
Cosa succede se manca un Security Operation Center
Vero è che strumenti, come i sistemi di gestione delle informazioni e degli eventi (detti SIEM - Security Information and Event Management) sulla sicurezza, possono essere utili per analizzare e ordinare i dati relativi agli incidenti di sicurezza segnalati. Tuttavia, non sono ancora completi senza il contributo di un analista umano che vaglia le revisioni automatiche.
Non solo è fondamentale gestire il profluvio di alert che questi sistemi tipicamente generano se non vengono impostati correttamente che impedisce di identificare le reali minacce nel fiume di anomalie rilevate di cui molte possono essere irrilevanti per la sicurezza. Uno specialista del SOC sa sempre come riconoscere i falsi positivi che portano a far scattare allarmi e blocchi di protezione in presenza di segnali interpretati dai sistemi automatici nel modo sbagliato.
Security Operation Center: strumenti e persone che proteggono le organizzazioni
I Security Operation Center sono definiti anche Centri Operativi di Sicurezza Informatica o anche Centri di risposta agli incidenti di sicurezza informatica. Nel complesso, il loro scopo è fornire un'importante funzione di supporto e risposta alla sicurezza per l'organizzazione. Un Security Operation Center si occupa costantemente di:
- presidiare il traffico di rete e i flussi di informazioni generati tra i sistemi e i dispositivi utilizzati a livello di data center e di utenti incrociandoli con informazioni di contesto provenienti dal mondo esterno relative a nuovi malware, campagne di attacco in corso nel mondo, vulnerabilità di software scoperte e via dicendo fornite da servizi di Cyber Threat Intelligence nazionali e internazionali per rilevare prima possibili eventi dannosi alla sicurezza aziendale.
- raccogliere e analizzare i log di sistema, ovvero le registrazioni sequenziale e cronologiche delle operazioni effettuate da un sistema informatico (server, storage, client, applicazioni o qualsiasi altro dispositivo informatizzato o programma). Questi record conservano tutte le informazioni sul normale funzionamento di ogni sistema, tenendo traccia degli errori e dei problemi e permettono di controllare, tra l’altro, gli accessi al sistema effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware.
- acquisire feed di informazioni sulle minacce provenienti da diverse fonti, includendo la ricerca di informazioni da più fonti: open and closed, ovvero OSINT (Open Source Intelligence) in riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche fonti aperte, e CLOSINT (Close Source Intelligence) ovvero il processo di raccolta d’informazioni attraverso consultazione di fonti chiuse, non accessibili al pubblico, includendo la loro analisi ed elaborazione funzionale all’implementazione del cosiddetto modello GRC (Governance, Risk, Clompliance) come valido supporto per la gestione delle sfide, per l'analisi dei rischi e per la pronta risposta agli incidenti.
- rilevare incidenti permettendo la contrazione del tempo di risposta, di ripristino e il conseguente contenimento dei danni economici e reputazionali che ogni organizzazione sperimenta durante un incidente di sicurezza.
- raccogliere dati forensi attraverso procedure d’indagine specialistiche volte al recupero e all’analisi di dati informativi e digitali che possono assumere valore probatorio rispetto a un crimine informatico.
Come funziona un SOC
Se sei una PMI sappi che se ti affidi a un Security Operation Center potrai contare su una struttura dedicata e specializzata, composta principalmente da analisti della sicurezza organizzati per rilevare, analizzare, rispondere, segnalare e prevenire incidenti di sicurezza informatica in tempo reale. Nel SOC, il tuo traffico Internet, le tue reti, i tuoi desktop, i tuoi server, i tuoi dispositivi endpoint, i tuoi database, le tue applicazioni e tutti i tuoi sistemi sono continuamente esaminati per rilevare eventuali segnali di un incidente di sicurezza. Il personale che lavora nel Security Operation Center può lavorare con altri team o dipartimenti, ma in genere è autonomo con dipendenti con competenze IT e di sicurezza informatica di alto livello o esternalizzato a fornitori di servizi di terze parti. Gestiti da provider specializzati e dotati di tutte le infrastrutture e risorse necessarie, un SOC affidabile funziona 24 ore su 24, con i dipendenti che lavorano a turni per registrare costantemente le attività, presidiare sistemi, informazioni e applicazioni e mitigare le minacce. L'output del team SOC include la chiusura dei ticket aperti in caso di anomalie/rilevazione degli incidenti nonché la raccolta e la gestione dei feedback degli analisti delle minacce in tutti i casi in cui servono competenze aggiuntive.
Security Operation Center: le cose da sapere
Il personale di un centro operativo di sicurezza tipicamente include
- LIVELLO 1: un manager SOC che presidia controllo e operatività del team livello di rete, hardware e software, supportato da un analista dei sistemi di allarme. Monitorano inoltre i sensori di sicurezza e gli endpoint alla ricerca di allarmi o caratteristiche insolite, esaminano i ticket aperti, chiudono i falsi positivi e conducono indagini e mitigazioni di base. L'analista valuta gli avvisi di sicurezza e, se l'avviso raggiunge un livello o una soglia predefiniti in base alla politica di escalation SOC, viene creato un caso e l'avviso viene elevato al livello 2.
- LIVELLO 2: un addetto alla risposta agli incidenti che è uno specialista della sicurezza più esperto, in grado di eseguire un'analisi più approfondita di un incidente. Questo può essere fatto utilizzando feed di informazioni sulle minacce o analizzando altri casi o incidenti simili. L'analista di livello 2 determina quindi se sono stati interessati dati o sistemi critici e, in tal caso, consiglierà e consiglierà una risposta/rimedio.
- LIVELLO 3: un esperto in materia/cacciatore, ovvero un professionista della sicurezza altamente qualificato ed esperto con esperienza in analisi forense di rete avanzata, rilevamento delle intrusioni e risposta agli incidenti informatici, nonché formazione avanzata nel rilevamento delle anomalie.
Dal punto di vista strategico e operativo il SOC segue politiche, standard, procedure e linee guida che indirizzano le varie attività di ogni team:
- identificazione di incidenti/eventi dannosi
- valutazione di incidenti/eventi perseguendo un’ottica di gestione dei rischi formulata in base al core business dell’organizzazione
- azioni di contenimento, eradicazione, recupero di dati e applicazioni compromessi
- acquisizione delle lezioni apprese, ovvero accrescimento delle informazioni e delle competenze per contrastare sempre meglio l’evoluzione delle minacce)
Qual è il flusso di lavoro tipico di un SOC
L’attività di un Security Operation Center inizia con avvisi, allarmi e registri che provengono da:
- sistemi antimalware
- host e server
- sistemi di rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni
- firewall
- VPN
- sistemi di prevenzione della perdita di dati
L'output della piattaforma SIEM può fornire un altro compendio di informazioni prodotte dall'analisi del registro di sicurezza. Altre fonti di input sono le chiamate e gli avvisi e-mail degli utenti al SOC in merito a problemi di sicurezza, come eventi insoliti sulle loro workstation, possibili attacchi di phishing o possibili attacchi ransomware. Queste chiamate possono provenire direttamente dagli utenti o tramite il service desk IT.
Ulteriori input possono arrivare dagli amministratori di dispositivi o dagli invii degli analisti di livello 1, livello 2 e livello 3. Allo stesso modo, l'input proveniente da qualsiasi abbonamento alla gestione delle minacce o dai dati open source sulle minacce verrà messo a sistema dal SOC così come gli avvisi di US-CERT, ICS-CERT e Fusion Center locali.
I vantaggi di scegliere un SOC esterno per le PMI
Scegliere di affidarsi a un fornitore esterno per avvalersi di un Security Operation Center è la soluzione più conveniente anche per una piccola e media impresa. I vantaggi, infatti, sono diversi.
Il partner aiuta l’organizzazione a prevenire gli incidenti di cybersecurity attraverso un’architettura di sistemi e un team di persone dedicate che si occupano di:
- Analisi delle minacce
- Scansione di rete e host
- Distribuzione di contromisure
- Servizi di consulenza in materia di politica di sicurezza
- Risposta all'incidente
- Monitoraggio, rilevamento e analisi delle intrusioni
- Consapevolezza situazionale e rendicontazione
- Ricerca sulle minacce e analisi forense digitale
- Supporto alla conformità
- Raccolta di prove legali
- Amministrazione della sicurezza
- Ingegneria della sicurezza e potenziamento incrementale
Come scegliere un fornitore SOC
I SOC sono parte integrante della riduzione al minimo dei costi di una potenziale violazione dei dati poiché non solo aiutano le organizzazioni a rispondere rapidamente alle intrusioni, ma migliorano anche costantemente i processi di rilevamento e prevenzione. Fondamentale è visitare la struttura, per rendersi conto non solo la qualità dell’organizzazione ma anche la sua capacità dimensionale in termini di personale e di infrastrutture. La valutazione del fornitore deve tenere conto di diversi aspetti, a partire dal tempo in cui il partner opera in questo settore.
- verificare la sua disponibilità di servizio che, per garantire una sicurezza a 360 gradi deve essere in modalità 24x24 7x7 365 l’anno
- assicurarsi di avere un team dedicato, che si occupi di effettuare una valutazione delle vulnerabilità e predisponga modalità di controllo allineate alla propria organizzazione
- sondare la qualità degli audit che dimostrino la conformità normativa di processi e procedure
- controllare che le certificazioni corrispondano a standard di sicurezza informatica riconosciuti anche a livello di formazione del personale
- controllare l’ubicazione geografica: il provider dovrebbe avere due o più siti per garantire i servizi di BackUp e Disaster Recovery
Un ultimo consiglio: non farsi ingannare dal prezzo più basso
Oltre a fornire consigli migliorativi e linee guida finalizzati a incrementare processi e flussi di lavoro orientati alla sicurezza informatica, da un partner ci si aspetta anche il miglior prezzo. Ma gli esperti avvertono le PMI: il fornitore giusto punta a una relazione a lungo termine. Non offrirà il prezzo più basso, ma offrirà i servizi di cui un’azienda ha davvero bisogno, adottando misure per costruire una relazione già dal primo contatto. Quando dimostra di sapersi calare nella realtà di un’azienda per capire criticità e obiettivi e non ha paura di dover personalizzare il servizio è già un ottimo segnale della sua preparazione e della sua flessibilità.
- Log in to post comments