Blog
Blog

Strumenti SOC: i componenti di un Security Operations Center

Pubblicato il 05 Luglio 2024
Benjamin Leroux
Da Benjamin Leroux
Linkedin

Il SOC si basa su una serie di strumenti che aiutano gli analisti di cybersicurezza a monitorare in tempo reale le attività di sicurezza all’interno dell’infrastruttura IT dell’azienda. Ma sono progettati anche per aiutare i membri del team di sicurezza a identificare, classificare e analizzare incidenti ed eventi e a porvi rimedio.

MDR, XDR, SIEM, ecc.: quali sono le differenze tra tutti gli strumenti SOC?

Un centro operativo di sicurezza è composto da un team umano e da soluzioni di sicurezza che agiscono da torre di controllo e rilevamento per aiutare le aziende a proteggere i loro sistemi informatici. Il SOC coordina tutti questi strumenti per il monitoraggio e la correzione in tempo reale.

SIEM (Security Information and Event Management)

Il SIEM coniuga due elementi: un archivio di log (SDK, Security Data Lake), che centralizza i dati, e uno strumento di rilevamento, che può essere configurato per identificare le falle nella sicurezza.

Tuttavia, il limite di un SIEM è che, aggregando questi due strumenti, limita l’agilità in termini di architettura SDL, in particolare per quanto riguarda l’ubicazione dello strumento e il formato dei dati di input e output. Un altro limite è il suo costo finanziario, che il più delle volte è correlato al volume di dati che acquisisce.

Il suo ruolo è quello di creare regole di rilevamento; ma, attenzione: il numero di avvisi può rapidamente diventare ingestibile. Il SIEM è utilizzato dal SOC per la sicurezza operativa e la compliance (il rilevamento delle prove di intrusione in caso di attacco).

EDR (Endpoint Detection & Response)

L’EDR è un antivirus di nuova generazione. Il suo ruolo è duplice e sfrutta le analisi basate sul machine Learning: la prevenzione (analisi dei malware sconosciuti) e una modalità reattiva che analizza i comportamenti sugli host (laptop e server).

Analizza in tempo reale i processi in esecuzione su postazioni di lavoro e server, per rilevare sequenze di comportamenti dannosi. Consente di intervenire direttamente sull’host (PC/server) e di eseguire un primo livello di correzione isolata.

Tuttavia, la sua capacità di analizzare gli eventi tra gli endpoint, come i movimenti laterali e la gestione degli endpoint sconosciuti, è limitata. Inoltre, è uno strumento reattivo: interviene quando i processi dannosi sono già in corso su almeno un endpoint.

NDR (Network Detection & Response)

L’NDR analizza in tempo reale il frame della rete informatica, per identificare i flussi di dati tra gli host e i comportamenti dannosi. Il suo ruolo, quindi, è complementare a quello del SIEM e dell’EDR: copre le reti, stabilisce dei collegamenti tra gli host, ma non monitora gli endpoint.

XDR (eXtended Detection & Response)

Un XDR collega i dati dell’EDR con le altre informazioni della rete (tra cui il Cloud, l’identità, l’Active Directory e i log) per creare delle strategie di rilevamento mediante correlazione.

Inoltre, incorpora modalità di automazione del Threat Hunting, orchestrando la CTI (Cyber Threat Intelligence) e le informazioni contestuali dei clienti. Un XDR, quindi, rileva le minacce più rapidamente: i tempi di indagine si riducono e la risposta agli incidenti di sicurezza è più efficace grazie a una visione completa della catena di eventi. Offre, inoltre, maggiore automazione, visibilità e contesto in relazione alle minacce.

Open XDR

Un open XDR è una declinazione della piattaforma XDR. La sua infrastruttura di rilevamento è costruita per funzionare con qualsiasi interfaccia EDR, indipendentemente dai produttori di soluzioni di sicurezza. Perciò, una piattaforma XDR è senza limiti e “agnostica” dal punto di vista delle tecnologie.

MDR (Managed Detection & Response)

Basato su soluzioni EDR o XDR, l’MDR è il fornitore di servizi che raccoglie la maggiore quantità di informazioni contestualizzate per gestire gli incidenti di sicurezza, dal rilevamento alla correzione.

Strumenti SOC: come differenziare gli XDR fra loro?

Quando si parla del funzionamento di un SOC, è necessario porsi una serie di domande per differenziare i diversi XDR.

  • Sono agnostici rispetto a tutti gli EDR?
  • Sono in grado di definire piani di monitoraggio completi e azioni di correzione da punto a punto?
  • Dove viene archiviato e ospitato il dato?
  • Sono in grado di coprire l’intero perimetro del cliente: endpoint, rete, cloud privato e pubblico, ambiente industriale, app e qualsiasi perimetro futuro?

Per investire nella sicurezza del suo sistema informatico, deve porsi le domande giuste: quali sono le sue esigenze? Qual è il modo più efficiente ed economico di soddisfarle? Un SOC e i suoi vari componenti sono progettati per aiutare i team di sicurezza a rispondere a cyber-minacce e software dannosi in costante evoluzione. Ha bisogno di maggiori informazioni?

Visiti mySOC

Recentemente su Blog

Visualizza tutto
Blog

Cybersecurity in Italia: attacchi frequenti e sofisticati, rischi e soluzioni per le imprese

15 luglio 2024Blog
Blog

Chi è interessato dalla NIS 2?

05 luglio 2024Blog
Blog

Cybersicurezza e Comex: dialogare al di fuori di una unità di crisi

05 luglio 2024Blog