Per SOC (Security Operations Centre) si intende un processo messo in atto per proteggere il sistema d’informazione di un cliente. Il SOC è una missione con un ambito di attuazione preciso e una protezione 24 ore su 24 e 7 giorni su 7 degli elementi strategici di un’organizzazione: i suoi utenti/clienti, i suoi dipendenti, i suoi dati, i suoi attivi.

Il SOC deve affrontare una sfida importante: mentre un processo dovrebbe essere stabile e standardizzato, un SOC è progettato per adattarsi alle minacce che cercano di assumere forme sconosciute, al fine di rimanere il più efficace possibile. Il SOC è quindi un processo in continua evoluzione.

SOC: definizione e panoramica

Perché implementare un SOC?

Nuove vulnerabilità in un’organizzazione, dovute a malware, a un accesso insicuro ai dati o errori umani, aumentano più rapidamente della capacità delle organizzazioni di rilevarle e affrontarle. Per esempio, mediante l’applicazione di patch, la sensibilizzazione del personale alla sicurezza informatica o la segmentazione della rete aziendale.

Il centro operativo di sicurezza (SOC) ha quindi l’obiettivo primario di proteggere 24 ore su 24, 7 giorni su 7, gli asset strategici di un’organizzazione, i punti di accesso potenzialmente vulnerabili e l’utilizzo di dati aziendali sensibili.

35 %

Tra il 2019 e il 2022 il 35% degli attacchi informatici scaturirà da metodi di attacco precedentemente sconosciuti (Stoik, 2022).

Un SOC deve essere abbastanza agile da coprire qualsiasi nuovo perimetro di un’organizzazione in cui i dati strategici possono essere a rischio. L’essere sufficientemente agili significa rilevare qualsiasi nuovo dato che possa identificare un comportamento anomalo o dannoso all’interno di questi perimetri, al fine di prevenire eventuali problemi di sicurezza.

L’ininterrotto monitoraggio fornito da un SOC sull’attività dell’intero sistema di gestione delle informazioni (endpoint, reti, server, database) consente alle aziende di difendersi da incidenti e intrusioni di cybersecurity, indipendentemente dalla fonte, dall’ora del giorno o dal tipo di attacco.

Disporre di un centro operativo di sicurezza aiuta le organizzazioni a colmare il divario tra il tempo necessario a un hacker per compromettere un sistema e il tempo medio necessario per rilevare un attacco in corso.

Il SOC consente inoltre di tenersi aggiornati sulle minacce all’ambiente SI di un’azienda.

Organizzazione del SOC: i 4 elementi di un SOC

I dati grezzi

Questi dati sono raccolti in diversi supporti che devono essere monitorati e protetti: i log, i metadati di utilizzo, i dati contestuali dei clienti e i dati di cyber intelligence sono esempi di dati strategici grezzi che devono essere protetti o che aiutano a rilevare gli incidenti di sicurezza.

I Security Data Lakes

Gli SDL sono archivi di log che centralizzano i dati per aiutarci a gestirli. Quanti più dati ha un’interfaccia SOC, tanto più impara a trovare anomalie e a segnalare un rischio informatico per il SI da proteggere.

Gli strumenti di rilevamento

Permettono ai team SOC di individuare le falle nella sicurezza e vengono aggiornati grazie a un processo di machine learning.

Le competenze di un team

Il SOC è anche la competenza di un team che controlla l’interfaccia IT. Il team possiede una serie di competenze relative alla sicurezza dei sistemi informatici: sicurezza, tecnologia, operazioni, test di penetrazione (pen tester) e monitoraggio (Cyber Threat Intelligence o CTI).

Inoltre, è essenziale monitorare e valutare i risultati del SOC utilizzando KPI precisi stabiliti in anticipo.

In che modo funziona un SOC di nuova generazione?

SOC: un processo di big data

L’avvenire di un SOC risiede nell’analisi e nell’elaborazione di dati ancora sconosciuti per limitare attacchi informatici in costante evoluzione. Viene quindi costantemente aggiornato per stare al passo con le tecniche degli hacker.

L’operatività di un SOC deve includere diversi ambienti all’interno del suo perimetro di monitoraggio:

  • l’ambiente cloud
  • l’ambiente applicativo
  • l’ambiente industriale connesso

Il SOC deve anche collegare l’azienda alla realtà della minaccia, utilizzando la machine learning. Questo è possibile grazie alla compilazione di tutti i dati contestuali dell’azienda (le sue vulnerabilità), la realtà della minaccia determinata dal CTI e l’evoluzione della minaccia, mettendo insieme il rilevamento degli incidenti tra diversi clienti.

Nell’era del Cloud è possibile aggregare le infrastrutture di difesa per apprendere da più contesti contemporaneamente. Questa condivisione, resa possibile dalle soluzioni XDR (eXtended Detection and Response) nel Cloud, contribuisce a migliorare continuamente l’accuratezza del rilevamento degli incidenti di sicurezza.

Il principio dell’intelligenza collettiva viene finalmente applicato alla cyberdifesa, anche se è stato a lungo sfruttato dai pirati informatici.

Team SOC e team clienti: modalità di interazione

Occorre stabilire un processo chiaro per il modo in cui le parti interessate, sia il team SOC che il cliente, interagiscono tra loro. Per raggiungere questo obiettivo, è necessario determinare:

  • Chi rileva le minacce?
  • Cosa prevede il processo di investigazione e risposta agli incidenti di sicurezza?
  • In che modo è possibile essere sicuri di ottenere la giusta visibilità?
  • Quale piano di risoluzione?

Al fine di definire i ruoli e la portata di ciascuna parte, ogni azienda sceglie come impostare il SOC, tra tre opzioni:

  1. Esternalizzato al 100%
  2. Ibrido
  3. Internalizzato

Strumenti SOC: 6 servizi di un centro operativo di sicurezza

Il centro operativo di sicurezza contiene diversi strumenti SOC per rilevare e analizzare in tempo reale le falle di sicurezza di un sistema informatico.

Advens_Reportage_Lyon_DSC2989 1

#1 SIEM (Security Information and Event Management)

Il Sistema di gestione delle informazioni e degli eventi è uno strumento che integra due elementi: un registro centrale dei dati (SIM – Security Information Management) e uno strumento di rilevamento configurabile (SEM – Security Event Management) per fornire avvisi in tempo reale.

Advens_Reportage_Lyon_DSC2616

#2 EDR (Endpoint Detection & Response)

È un antivirus di nuova generazione che analizza i dati dei server e degli endpoint e rileva le sequenze di comportamenti dannosi.

Advens_Reportage_Lyon_DSC2548 2

#3 NDR (Network Detection & Response)

Si tratta di uno strumento complementare al SIEM e all’EDR, che copre le reti e stabilisce collegamenti tra gli host, ma non monitora gli endpoint. Il ricorso a un NDR offre un contesto di rilevamento più ampio, che può rivelare l’intera portata di un attacco e consentire azioni di risposta più rapide e mirate.

Advens_Reportage_Lyon_DSC2702ter

#4 XDR (eXtended Detection & Response)

L’XDR correla i dati EDR con altre informazioni di rete (Cloud, Active Directory, ecc.) per rilevare più rapidamente le minacce. La piattaforma XDR non monitora solo gli endpoint, ma anche le e-mail, i server e il cloud.

Advens_Reportage_Lyon_DSC2544

#5 Open XDR

È una derivazione della piattaforma XDR, che offre una maggiore tecnologia agnostica, in particolare la capacità di ingerire dati da qualsiasi fornitore EDR o CTI.

Advens_Reportage_Lyon_DSC2763

#6 MDR (Managed Detection & Response)

L’MDR è un servizio che raccoglie una quantità massima di informazioni contestualizzate per gestire gli incidenti di sicurezza. Tali soluzioni sono gestite da un SOC, interno o in outsourcing, e forniscono una risposta end-to-end alle minacce informatiche.

Il SOC è la torre di controllo della sicurezza del sistema d’informazione di un’azienda. Un centro operativo di questo tipo consente di monitorare la rete in modo continuo e in tempo reale. Rileva, analizza e risolve gli incidenti di sicurezza utilizzando le soluzioni tecnologiche più avanzate.

Vuoi saperne di più?

Advens offre un servizio continuo di SOC-as-a-Service. Questo servizio consente di esternalizzare tutta o parte della gestione del tuo SOC, con un team che supervisiona, allerta e risolve un incidente di sicurezza non appena viene rilevato.