SOC: cos’è, compiti e vantaggi per le aziende

In questo articolo parleremo dell’importanza del SOC, Security Operation Center, di come è composto e dei vantaggi che comporta.

Cos’è un SOC

Un security operation center (SOC) è una struttura, guidata da un team di professionisti IT con esperienza nella sicurezza delle informazioni (infosec), che monitora, analizza e protegge un’organizzazione dagli attacchi informatici.

Nel SOC, il traffico Internet, le reti, i desktop, i server, i dispositivi endpoint, i database, le applicazioni e altri sistemi vengono continuamente esaminati alla ricerca di segni di un incidente di sicurezza.

Il personale del SOC può lavorare con altri team o dipartimenti, ma in genere è autonomo e conta su dipendenti con competenze IT e di sicurezza informatica di alto livello o esternalizzato a fornitori di servizi di terze parti.

La maggior parte dei SOC funziona 24 ore su 24, con operatori che lavorano a turni per registrare costantemente le attività e mitigare le minacce.

Prima di costruire un SOC, un’organizzazione deve definire la propria strategia di sicurezza informatica per allinearsi agli obiettivi e ai problemi aziendali attuali.

I dirigenti del team IT fanno riferimento a una valutazione del rischio che si concentra su ciò che sarà necessario per mantenere la strategia e la continuità aziendale.

Successivamente forniscono input sull’infrastruttura e sugli strumenti necessari per raggiungere tali obiettivi, nonché sulle competenze necessarie a livello di personale.

I SOC sono parte integrante della riduzione al minimo dei costi di una potenziale violazione dei dati. I SOC infatti non solo aiutano le organizzazioni a rispondere rapidamente alle intrusioni, ma migliorano costantemente anche i processi di rilevamento e prevenzione.

La maggior parte delle grandi organizzazioni dispone di SOC interni, mentre le aziende senza il personale o le risorse per mantenerne uno possono scegliere di esternalizzare alcune o tutte le responsabilità SOC a un provider di servizi gestiti (MSP), al cloud o a un SOC virtuale.

I SOC si trovano comunemente nei settori della sanità, dell’istruzione, della finanza, dell’e-commerce, del governo, delle operazioni militari e della tecnologia avanzata.

I compiti del SOC

La strategia generale di un SOC, come detto, ruota attorno alla gestione delle minacce, che include la raccolta di dati e l‘analisi di tali dati per attività sospette al fine di rendere più sicura l’intera organizzazione.

I dati grezzi monitorati dai team SOC sono rilevanti per la sicurezza e vengono raccolti da firewall, sistemi di prevenzione e rilevamento delle intrusioni (IPS/IDS), sonde e sistemi SIEM (Security Information and Event Management).

Gli avvisi vengono creati per comunicare immediatamente ai membri del team se uno qualsiasi dei dati è anomalo o mostra indicatori di compromissione (IOC).

Le responsabilità di base di un team SOC includono:

Gestione delle risorse

La scoperta e la gestione delle risorse comporta l’ottenimento di un’elevata consapevolezza di tutti gli strumenti, software, hardware e tecnologie utilizzati all’interno dell’organizzazione.

Monitoraggio continuo

Il monitoraggio comportamentale continuo include l’esame di tutti i sistemi 24 ore su 24, 7 giorni su 7 per tutto l’anno. Ciò consente ai SOC di attribuire lo stesso peso alle misure reattive e proattive poiché qualsiasi irregolarità nell’attività viene immediatamente rilevata.

I modelli comportamentali addestrano i sistemi di raccolta dati su quali attività sono sospette e possono essere utilizzati per regolare le informazioni che potrebbero essere registrate come falsi positivi.

Registri delle attività

La conservazione dei registri delle attività consente ai membri del team SOC di tornare indietro o individuare azioni precedenti che potrebbero aver provocato una violazione. Tutte le comunicazioni e le attività all’interno di un’organizzazione devono essere registrate dal SOC.

Classificazione della gravità

La classificazione della gravità degli avvisi aiuta i team a garantire che gli avvisi più gravi o urgenti vengano gestiti per primi. I team devono classificare regolarmente le minacce alla sicurezza informatica in termini di potenziale danno.

Incident Response Plan

Lo sviluppo e l’evoluzione della difesa sono importanti per aiutare i team SOC a rimanere aggiornati. I team dovrebbero creare un piano di risposta agli incidenti (IRP, Incident Response Plan) per difendere i sistemi da attacchi vecchi e nuovi. I team devono anche adeguare il piano secondo necessità quando vengono ottenute nuove informazioni. Il ripristino degli incidenti consente a un’organizzazione di ripristinare i dati compromessi. Ciò include la riconfigurazione, l’aggiornamento o il backup dei sistemi.

Conformità

Il mantenimento della conformità è fondamentale per garantire che i membri del team SOC e l’azienda seguano gli standard normativi e organizzativi durante l’esecuzione dei piani aziendali. In genere, un membro del team sovrintende all’istruzione e all’applicazione della conformità.

Ulteriori funzionalità SOC potrebbero includere reverse engineering, analisi forense, telemetria di rete e crittoanalisi in base alle esigenze specifiche dell’organizzazione

Compiti del SOC
Ruoli e responsabilità del SOC

SOC: i vantaggi per un’azienda

Se implementato correttamente, un centro operativo di sicurezza, può fornire a un’organizzazione numerosi vantaggi, tra cui:

  • Monitoraggio e analisi ininterrotti per attività sospette;
  • Migliori tempi e pratiche di risposta agli incidenti;
  • Diminuzione del divario tra il tempo di compromissione e il tempo medio di rilevamento;
  • Risorse software e hardware centralizzate per un approccio alla sicurezza più olistico;
  • Comunicazione e collaborazione efficaci;
  • Costi associati agli incidenti di sicurezza informatica ridotti al minimo;
  • Clienti e dipendenti che si sentono più a loro agio nel condividere informazioni sensibili;
  • Maggiore trasparenza e controllo sulle operazioni di sicurezza;
  • Catena di controllo dei dati più chiara.

Membri e ruoli all’interno del SOC

I SOC sono composti da una varietà di persone che svolgono un ruolo nelle operazioni di sicurezza generali.

I titoli di lavoro e le responsabilità includono:

  • Un Responsabile è il dipendente responsabile della gestione delle operazioni quotidiane del SOC e del suo team di sicurezza informatica.
    Fa anche parte del ruolo del responsabile comunicare gli aggiornamenti con il personale esecutivo dell’organizzazione.
  • Un Incident Responder gestisce attacchi o violazioni riusciti, implementando le pratiche necessarie per ridurre e rimuovere la minaccia.
  • L’Investigatore Forense ha il compito di identificare la causa principale e individuare la fonte di tutti gli attacchi, raccogliendo tutte le prove a sostegno disponibili.
  • Un Revisore della Conformità garantisce che tutti i processi SOC e le azioni dei dipendenti soddisfino i requisiti di conformità.
  • Un Analista della sicurezza SOC esamina e organizza gli avvisi di sicurezza in base all’urgenza o alla gravità ed esegue regolari valutazioni della vulnerabilità.

Un Analista mantiene competenze come la conoscenza dei linguaggi di programmazione, le capacità di amministratore di sistema (amministratore di sistema) e le migliori pratiche di sicurezza.

  • Un Threat Hunter esamina i dati raccolti dal SOC per identificare le minacce difficili da rilevare. Anche i test di resilienza e penetrazione (pen test) possono far parte del programma di routine del cacciatore di minacce.
  • Un Ingegnere della Sicurezza sviluppa e progetta sistemi o strumenti necessari per eseguire efficaci capacità di rilevamento delle intrusioni e gestione delle vulnerabilità.

Meglio gestire internamente o esternalizzare un SOC?

Oltre a decidere quali ruoli professionali includere nel team, esistono diversi modelli SOC che un’organizzazione può implementare.

Dedicato o autogestito

Questo modello dispone di una struttura locale con personale interno.

Distribuito

Conosciuto anche come “co-gestito”, questo modello ha membri del team semi-dedicati a tempo pieno o part-time che vengono assunti internamente per lavorare insieme a un fornitore di servizi di sicurezza gestiti (MSSP) di terze parti.

Gestito

Questo modello dispone di MSSP che forniscono tutti i servizi SOC a un’azienda. I partner di rilevamento e risposta gestiti (MDR) sono un’altra forma di SOC gestito.

Command SOC

Questo modello fornisce approfondimenti di intelligence sulle minacce e competenze di sicurezza ad altri centri operativi di sicurezza, tipicamente dedicati. Questa tipologia non è coinvolta nelle effettive operazioni o processi di sicurezza, solo dal lato dell’intelligence.

Fusion Center

Questo modello supervisiona qualsiasi struttura o iniziativa incentrata sulla sicurezza, inclusi altri tipi di SOC o dipartimenti IT. I Fusion Center sono considerati SOC avanzati e lavorano con altri team aziendali, come le operazioni IT, DevOps e lo sviluppo del prodotto.

Multifunzione

Questo modello ha una struttura dedicata e personale interno, ma i suoi ruoli e le sue responsabilità si estendono ad altre aree critiche della gestione IT, come i centri operativi di rete (NOC).

Virtuale

Quello virtuale completamente gestito, noto anche come SOC in outsourcing o as a service (SOCaaS), non ha personale interno, non dispone di una struttura locale dedicata e può essere gestito dall’azienda o completamente gestito.
Quello gestito dall’azienda è generalmente gestito da dipendenti interni o da un mix di dipendenti interni, on demand e forniti dal cloud.

SOCaaS

Questo modello basato su abbonamento o basato su software esternalizza alcune o tutte le funzioni a un provider cloud.

Vuoi toccare con mano i vantaggi e il valore di un SOC, qui tutti i dettagli per conoscere l’IFI Security Operation Center.

Scopri qui tutti i vantaggi e perché, oggi, è un passo fondamentale per la tua azienda e la sicurezza del tuo business.