Il Security Operation Center (SOC) è il centro nevralgico per la sicurezza di una rete. Qui utenti, dispositivi e traffico vengono monitorati continuamente in modo che gli analisti possano mitigare gli incidenti e risolvere i problemi.
Che si tratti di una struttura interna o operata da un provider di servizi di sicurezza gestiti (MSSP), il SOC coinvolge analisti ed esperti di sicurezza che proteggono risorse e operazioni essenziali, garantendo al contempo conformità a normative e standard di settore.
Tradizionalmente i Security Operation Center sono dedicati all’IT. Oggi però, con i CISO chiamati ad assumere un ruolo di crescente responsabilità nella gestione del rischio aziendale, integrare nei SOC anche la sicurezza delle infrastrutture critiche sta diventando una necessità comune e irrinunciabile.
Secondo la ricerca SANS 2024 ICS/OT, il 62,7% delle organizzazioni intervistate dispone di un SOC e il 29,6% di un SOC IT/OT integrato. Solo l’8,8% ha un SOC interno dedicato esclusivamente all’ OT.
In realtà, piuttosto che di una reale integrazione all’interno del SOC, spesso si osserva la presenza di un team SOC IT tradizionale che fornisce un servizio di assistenza a un nuovo cliente: la business unit OT. In molti casi, a questo corrisponde un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Per questo motivo, è necessario un importante trasferimento di conoscenze, che però non sempre avviene.
Ecco alcune indicazioni strategiche pensate per garantire che il SOC unificato sia efficiente ed efficace. In breve, sarà necessario coinvolgere tempestivamente i team OT, comprendere i loro sistemi critici e rispettare i loro vincoli operativi, che possono essere diversi da quelli tradizionali dell’IT.
Indice degli argomenti
I benefici di un SOC IT/OT unificato
Se progettato e realizzato correttamente, un SOC convergente offre numerosi vantaggi. Eccone alcuni:
- Sicurezza più solida: combinando competenze e risorse IT e OT in un unico ambiente, il SOC fornisce un approccio olistico alla sicurezza, tenendo conto delle caratteristiche uniche e delle vulnerabilità di entrambi gli ambienti.
- Maggiore efficienza: un SOC IT/OT convergente può semplificare il processo di rilevamento e risposta, eliminando la necessità di trasferire le segnalazioni tra i team IT e OT e riducendo il tempo necessario per risolvere gli incidenti.
- Maggiore visibilità: un SOC unificato fornisce una visione unica e coerente delle minacce e delle vulnerabilità, offrendo una consapevolezza completa del contesto necessaria per proteggere sia gli aspetti aziendali che quelli industriali di un’organizzazione.
- Migliore collaborazione: riunendo gli esperti IT e OT sotto in un’unica unità, un SOC convergente favorisce la collaborazione e la comunicazione tra i due gruppi.
Sicurezza IT e OT: come cambia l’approccio
I SOC unificati vedono in genere il coinvolgimento di analisti esperti di cybersecurity IT, che non sono per forza familiari con le pratiche di sicurezza OT. La cybersicurezza industriale si basa su controlli di compensazione.
Spesso, tutto ciò che si può fare è monitorare continuamente l’ambiente per rilevare eventuali incidenti, senza poterli risolverli immediatamente, o del tutto. Si tratta di una mentalità completamente diversa da quella di un SOC IT tradizionale.
Inoltre, negli ambienti industriali si tende a progettare gli impianti avendo in mente il cosiddetto “caso peggiore”. Cosa potrebbe accadere di catastrofico che potrebbe avere un impatto su migliaia di persone? L’analista medio di un SOC tradizionale non è abituato a pensare in questo modo.
Quando si tratta di rispondere agli incidenti, i team IT sono conosciuti per la loro rapidità di risposta, che prevede l’uso dell’automazione ovunque sia possibile. La risposta predefinita rispetto alla maggior parte degli eventi di sicurezza IT è quella di bloccarli immediatamente, che raramente è l’azione corretta in un ambiente OT.
Ogni componente di una rete infrastrutturale fa parte di un processo più ampio all’interno di un mondo molto distribuito, nel quale la rimozione di un collegamento può bloccare l’intera catena.
Le risposte OT devono considerare la criticità e il potenziale impatto sui processi fisici e sulla sicurezza; di conseguenza, i playbook spesso includono interventi manuali.
Il gap culturale fra IT e OT
La creazione di un SOC unificato IT/OT va ben oltre la possibilità di inserire i dati dell’ambiente industriale nel sistema di gestione degli eventi di sicurezza (SIEM) o in un’analoga piattaforma di sicurezza IT, in modo che il team possa identificare i problemi.
L’ideale sarebbe avere un esperto di cybersecurity OT/ICS nel SOC, ma queste competenze sono rare, tanto che per molti team è più facile formare il personale IT sulle sensibilità specifiche del mondo OT che formare il personale OT sulle competenze di cybersecurity IT.
Quindi non c’è niente di più utile che passare del tempo nel reparto di produzione a parlare con direttori di stabilimento, ingegneri e operatori che conoscono a fondo i sistemi ICS, anche se non hanno mai sentito parlare di deep packet inspection (DPI), lateral movement o advanced persistent threat (APTs).
In questo percorso, gli analisti si troveranno probabilmente a contatto con dispositivi legacy obsoleti da decenni, non sicuri e anzi progettati senza aver minimamente in mente la sicurezza informatica, e con processi industriali che funzionano 24 ore su 24, 7 giorni su 7, 365 giorni all’anno, con una ristretta finestra di manutenzione annuale nel corso della quale è necessario installare, possibilmente, aggiornamenti e patch.
Il fatto di diventare la figura di riferimento in azienda e di essere disposti a imparare contribuisce a colmare il divario culturale tra IT e OT. Proprio come quando un turista si sforza di dire almeno “per favore” e “grazie” nella lingua locale, magari costruendo una frase intera di tanto in tanto, i componenti del SOC IT aprono alla possibilità di una collaborazione efficace, mostrando un interesse spontaneo per la comprensione degli ambienti operativi.
Ridurre il rumore di fondo
La calibrazione degli avvisi è uno degli strumenti migliori per mitigare le differenze tra i mondi IT e OT e ottenere il massimo valore dalla propria piattaforma di monitoraggio e rilevamento delle minacce OT. Nel settore industriale esistono decine di tipologie di avvisi e livelli di gravità diversi. Molti degli avvisi che attirano l’attenzione di un analista SOC IT sono solo interferenze per un operatore OT che conosce il proprio ambiente.
La configurazione di limiti specifici per le variabili di processo, che consentono di silenziare efficacemente avvisi indesiderati, consente al team SOC di risparmiare molto lavoro. Se un dispositivo in un processo industriale inizia a perdere 10 segnali nel tempo, magari non è un grosso problema. Se invece inizia a perdere centinaia di messaggi, allora è il caso di indagare.
Unire le funzioni di sicurezza
Per proteggere adeguatamente i sistemi OT sono necessarie sia competenze IT che le conoscenze specifiche OT. Già nel 2017, Gartner raccomandava alle organizzazioni di passare a un SOC integrato IT/OT, sottolineando che, in un panorama di minacce in continua evoluzione, un’unica funzione consolidata di sicurezza e gestione del rischio è in grado di affrontare più efficacemente le minacce sia IT che OT.
Un’unica figura di riferimento per questa funzione può anche essere ritenuta responsabile del rischio informatico complessivo dell’organizzazione. Come ulteriore vantaggio, le scarse risorse di sicurezza possono ora essere impiegate per affrontare sia l’aspetto IT che OT.
Il consiglio è stato seguito parzialmente dalle aziende, tanto che esistono dati disponibili sulla velocità di integrazione dei SOC, anche se non abbondanti. Tuttavia, un SOC unificato è il meccanismo di applicazione de facto per la gestione del rischio aziendale.
Per funzionare, il personale responsabile della gestione dei SOC deve essere istruito sulla sensibilità e sulla criticità delle reti OT e sui loro vincoli di mitigazione.
Deve inoltre disporre degli strumenti giusti, come soluzioni specifiche per il settore OT in grado di monitorare in modo sicuro reti e dispositivi e di comprendere protocolli sconosciuti, nonché informazioni sulle minacce specifiche per il settore OT.
Infine, deve essere disposto a rivolgersi a esperti del settore OT in grado di illustrare importanti aspetti contestuali e di collaborare per una gestione sicura degli incidenti.
