Qual è il ruolo e quali attività svolge il Security Operations Center (SOC) nella risposta agli incidenti di sicurezza.
Un Security Operations Center (SOC) è un team di professionisti di sicurezza IT, interno o esterno ad una azienda, che monitora costantemente l'intera infrastruttura informatica, con un servizio attivo 24 ore su 24, 7 giorni su 7, per rilevare in tempo reale gli eventi di sicurezza, gestendoli nel modo più rapido ed efficace possibile.
Di cosa di occupa?
Un Security Operation Center si occupa, nel dettaglio, di:
Supervisionare tutte le attività di gestione delle funzionalità di sicurezza legate alla rete, ai sistemi e alle applicazioni;
Monitorare l’infrastruttura IT in tempo reale per individuare tentativi di intrusione e di attacco;
Contrapporre misure di sicurezza agli incidenti e agli attacchi informatici rilevati;
Migliorare il livello di protezione generale dell’organizzazione.
Si può quindi affermare che il SOC è responsabile di garantire la sicurezza delle informazioni aziendali.
Perchè è fondamentale disporre di un SOC
Di seguito riportiamo alcune delle considerazioni che dovrebebro essere fatte dal Management di un'azienda, al fine di prevedere un Budget IT dedicato al SOC.
I dati sono probabilmente l'asset più importante di un'azienda ed oggi non esiste organizzazione che non disponga di informazioni archiviate su dispositivi digitali. Proteggerli, più che una scelta, è un obbligo.
Fino a qualche anno fa si pensava fosse sufficiente l'approccio basato sull'installazione di un software antivirus, soprattuto se di fascia alta. Oggi questa strategia non è più valida poichè la protezione deve avvenire in modo proattivo e non passivo: il nemico va intercettato prima che possa causare danni. Se non si ha a disposizione un team dedicato a questo scopo, diventa praticamente impossibile garantire la sicurezza della propria infrastruttura.
In aggiunta, la presenza di un SOC assicura i seguenti benefici:
Riduzione dei costi e dei possibili disservizi provocati da attacchi hacker;
Ottimizzazione e prontezza nell'attività di incident response;
Monitoraggio ed analisi delle attivià sospette;
Tipologie di SOC
In base alla dimensione di un'azienda e all'impatto che un'eventuale falla in ambito cybersecurity può avere sul suo business, è possibile formare un team interno dedicato al SOC oppure affidarsi a servizi in outsourcing.
Principali tipologie di SOC:
SOC interno: formato dal personale dipendente dell'azienda stessa;
SOC distribuito: questa tipologia prevede una forma ibrida in cui il team interno si appoggia ad un team esterno altamente specializzato;
SOC gestito: questa tipologia non prevede personale dipendente dedicato, il servizio di SOC è gestito completamente da un Managed Security Service Provider (MSSP).
L'organizzazione di un SOC
Il Security Operation Center è composto da individui con un ampio bagaglio tecnico e competenze a 360 gradi in ambito di gestione e risposta agli incidenti informatici.
Le figure che compongono il SOC, tipicamente, sono le seguenti:
SOC manager: Dirige il team, coordina tutte le operazioni relative alla sicurezza e risponde al CISO (Chief Information Security Officer) dell'organizzazione;
Security engineers: Questo team si occupa di allestire e gestire l'architettura di sicurezza dell'organizzazione, tra cui la l'implementazione e la manutenzione degli strumenti e delle tecnologie di sicurezza. Sono inoltre responsabili di produrre la documentazione di cui gli altri membri del team potrebbero aver bisogno, come i protocolli di sicurezza digitale;
Security analysts: I membri di questo team sono di fatto i primi a intervenire in caso di minacce o incidenti di sicurezza. Rilevano, indagano e assegnano priorità alle minacce; quindi, identificano gli host, gli endpoint e gli utenti interessati e intraprendono le azioni appropriate per mitigare e contenere l'impatto dell'incidente;
Ethical Hacker: cercano in modo pro-attivo minacce e punti deboli all'interno della rete. Idealmente, identificano minacce e vulnerabilità prima che possano avere un impatto sull'azienda. Sono specializzati nel rilevamento e contenimento delle minacce avanzate, nuove minacce o varianti delle minacce che riescono ad aggirare le difese automatizzate.
Il team di risposta agli incidenti di sicurezza può essere composto da diversi professionisti, a seconda della grandezza dell'azienda e del settore in cui opera. Le organizzazioni più grandi potrebbero avere un Direttore dell'Incident Response (IR), che si occupa di comunicare e coordinare le azioni da intraprendere in caso di emergenza. In alcuni SOC, inoltre, possono essere presenti investigatori forensi specializzati nel recupero di dati e indizi da dispositivi danneggiati o sottratti durante una violazione della sicurezza informatica.
Fonti e link di approfondimento: