Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Il SOC: cos’è, quali sono i compiti e i vantaggi per le aziende

pittogramma Zerouno

Guida

Il SOC: cos’è, quali sono i compiti e i vantaggi per le aziende

Un Security Operation Center (SOC) rappresenta un asset critico per un’organizzazione che può subire attacchi informatici. Può essere creato in azienda, fruito come servizio gestito, oppure implementato in modo ibrido. L’importante è averlo e farlo cooperare con le analoghe strutture nazionali

24 Giu 2019

di Riccardo Cervelli

Un SOC, Security Operation Center, è una struttura dove vengono centralizzate tutte le informazioni sullo stato di sicurezza dell’IT di un’azienda o di più aziende (nel caso che il SOC appartenga a un Managed Security Service Provider, MSSP).

Creare un SOC, cogliere le opportunità dei servizi offerti dal SOC, mantenere un SOC operativo nel migliore dei modi, sono obiettivi che richiedono il sostegno dei livelli più elevati di un’azienda.

Cos’è un Security Operation Center e a cosa serve

Un SOC è costituito da persone, tecnologie e processi. Le sue dimensioni dipendono dalle esigenze di gestione sicurezza informatica di una specifica azienda. Per le aziende più grandi, può essere possibile e conveniente crearlo al proprio interno. Per le medie e le piccole aziende il ricorso a SOC inclusi fra i Managed Security Services di un fornitore esterno può essere la soluzione ideale.

Quello che non si può mettere in discussione è che oggi la sola sicurezza perimetrale, basata sull’installazione di firewall dietro al router con cui un’azienda si interfaccia con internet e, quindi, il mondo esterno, non è più sufficiente. Gli incidenti che possono causare gravi danni economici, legali e di immagine a un’organizzazione possono derivare da attacchi che prendono di mira le sue risorse IT e il suo personale nei modi più imprevisti, sia che si trovino in azienda, in branch, in mobilità e in smart working.

Ogni azienda ha bisogno di qualcuno che tenga costantemente sotto controllo quello che avviene nei traffici dei dati che coinvolgono i suoi utenti, i suoi processi e le sue tecnologie.

I servizi offerti dal SOC

Vediamo ora quali sono i possibili servizi offerti da un SOC.

Security Incident Detection and Monitoring

Un SOC, per la precisione il suo livello 1 (SOC Level 1), deve innanzitutto essere in grado di rilevare anomalie che possono verificarsi nei flussi di dati fra l’esterno e l’interno dell’azienda, considerando la labilità che ha oggi il concetto di perimetro aziendale.

La raccolta e la prima scrematura delle informazioni su traffici di dati ed eventi provenienti da server, endpoint, sistemi di sicurezza e apparati di network dell’ecosistema IT aziendale dei viene effettuata da soluzioni chiamate SIEM (Security Information and Event Management).

I security alert generati dai SIEM sono quindi messi a confronto con informazioni “di contesto” provenienti dal mondo esterno (nuovi malware, campagne di attacco in corso nel mondo, vulnerabilità di software scoperte, etc.) fornite da servizi di Cyber Threat Intelligence.

Questo matching è sempre più spesso eseguito da sistemi automatizzati configurati dagli addetti del SOC (con un’ottica di prevention, quindi, oltre a quella di detection e monitoring). Analizzando le segnalazioni filtrate da queste tecnologie, gli addetti del Security Operation Center 1 possono effettuare un primo “triage” degli incidenti e decidere se possono effettuare direttamente una remediation (attraverso il Security Device Management) oppure se aprire un ticket verso il team di Incident Response, predisponendo un accurato reporting.

Incident Response

L’Incident Response (IR) è un servizio di cui si occupano analisti che operano o in quello che viene chiamato SOC Level 2, o in strutture separate definite CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team). Gli esperti di IR analizzano le segnalazioni del SOC 1 e le integrano con altre informazioni di Thread Intelligence in loro possesso e con dati relativi agli asset IT coinvolti nell’incidente (configurazioni, processi gestiti etc.). Quindi definiscono e coordinano attività di remediation coinvolgendo sia chi si occupa di gestione dei sistemi IT (in grado di risolvere problematiche specifiche di Fault Management e di Configuration Management dei sistemi loro affidati) sia gli analisti del SOC 1, ai quali suggeriscono cambiamenti da effettuare sui sistemi di sicurezza e di monitoring.

DDos Mitigation

Nella gestione della sicurezza informatica, un’attività molto importante è la DDoS Mitigation. Gli attacchi Distributed Denial of Service sono sempre tra i più temibili e difficili da contrastare. Giungono all’improvviso, in modo imprevisto, con un fuoco incrociato proveniente da diverse parti del pianeta, e utilizzando tecniche di diversi tipi. Per contrastarli servono team di esperti con skill complementari.

Vulnerability Assessment

Tra i servizi di un Security Operation Center (SOC) spicca anche il vulnerability assessment. Queste attività sono attribuite a un livello 3 del SOC, più specializzato nell’analisi proattiva. L’obiettivo è verificare in modo preventivo la sicurezza di applicazioni, database, network, computer, endpoint, con l’uso soprattutto di penetration test.

Come fare un SOC in casa

Un Security Operation Center è generalmente situato in un edificio che può coincidere con la sede o il campus di un’azienda o una facility distante (una scelta che alcune organizzazioni effettuano per non avere un unico punto debole attaccabile).

Le dimensioni di un SOC devono tenere conto della quantità di persone che vi lavorano oggi e che lo faranno nel breve-medio termine. Il tipico layout prevede alcune file di scrivanie, ciascuna delle quali riservata a un addetto per ogni turno di lavoro (un SOC deve essere operativo H24 per sette giorni) e che utilizza un pc con un paio di monitor, un telefono VoIP, un smartphone e spesso tablet. La possibilità di usare più strumenti di comunicazione e collaborazione è fondamentale in un SOC.

Le scrivanie sono rivolte verso un’unica grande parete su cui sono disposti grandi schermi che visualizzano mappe geografiche con flussi di attacchi in corso, tabelle con i dettagli dei principali incidenti rilevati sulla rete aziendale, e così via. In una zona del salone sono previsti anche schermi più piccoli connessi a canali tv all news e meteo: questo perché è importante che gli analisti del SOC possano essere sempre informati su eventi e situazioni che possono rappresentare contesti per incidenti informatici.

Le sale devono essere accessibili solo previo riconoscimento (badge, PIN o riconoscimento biometrico). Altri aspetti da considerare sono l’illuminazione, l’isolamento acustico, la climatizzazione, nonché ridondanze a livello di alimentazione elettrica e connettività.

SOC a uso interno o esterno, le differenze

Per i SOC interni o esterni valgono in larga misura gli stessi requisiti in quanto a tecnologie, personale e processi.

II Managed Security Service Provider deve prevedere anche l’uso di soluzioni, metodologie e processi che permettono di definire, offrire e dimostrare il rispetto di Security Service Agreement. Inoltre, nel predisporre il planning e il budgeting della creazione di SOC, devono considerare l’attuale crescita della domanda di servizi Security Operation Center e CERT sia da parte di aziende medie e grandi che decidono di non creare queste strutture “in house”, sia da parte di realtà che non rinunciano ad avere SOC di proprietà ma desiderano integrarli con Managed Security Service abbracciando l’emergente modello hybrid SOC.

Chi lavora in un SOC

Un Security Operation Center deve avere un SOC manager che interloquisce con il Ciso (Chief Information Security Officer) e con altri stakeholder aziendali.

Sempre più spesso questa figura dovrà dialogare con entità impegnate nella cyber security a livello nazionale, come previsto dalla direttiva europea NIS. Presto sarà finalmente operativo una sorta di SOC nazionale, il CSIRT Italia, che integrerà le funzioni attualmente svolte dal CERT Nazionale Italia (operante presso il Ministero dello Sviluppo Economico) e dal CERT-PA (Agenzia dell’Italia Digitale) e che dipenderà dalla Presidenza del Consiglio dei Ministri.

I rapporti fra SOC e i CERT nazionali diventeranno sempre più cruciali in futuro.

Il principale compito di un SOC manager, è analizzare le esigenze di personale in termini sia quantitativi sia qualitativi, cercare e assumere le risorse, motivarle, assicurarne il training, e guidarle facendo sentire a tutti una missione comune.

Il personale impiegato in un SOC deve possedere skill diversificati. In genere possiede una laurea specialistica in Informatica o Ingegneria Informatica, con un titolo ulteriore (master di primo livello, laurea magistrale, master di secondo livello, dottorato di ricerca) in cyber security.

Chi lavora nel SOC Level 1, di solito, ha skill più di tipo sistemistico (integrazione fra security monitoring tool, apparati di networking, computer, endpoint, etc.); chi opera nell’Incident Response e nel Vulnerability Management, invece, ha conoscenze maggiori di programmazione, applicazioni e sicurezza in generale (attaccanti, motivazioni, tecniche, dark web, etc.).

Quanto spendere in un SOC: investimenti e ROI

Costruire un Security Operation Center richiede investimenti in facility, tecnologie avanzate, personale sufficiente per coprire tutti i turni al completo e molto qualificato. Prevede frequenti refresh tecnologici e acquisizione di nuove certificazioni da parte degli addetti. Forse non è esagerato prevedere un range di investimenti annui che oscilla fra il milione di euro a qualche decina di milioni.

Fondamentale, quindi, analizzare il ROI delle diverse opzioni di SOC e CERT on-premise, ibrido o integralmente fruito tramite MSSP per ogni caso specifico

Riccardo Cervelli

Giornalista

Classe 1960, giornalista freelance divulgatore tecnico-scientifico, nell’ambito dell’Ict tratta soprattutto di temi legati alle infrastrutture (server, storage, networking), ai sistemi operativi commerciali e open source, alla cybersecurity e alla Unified Communications and Collaboration e all’Internet of Things.

Argomenti trattati

Approfondimenti

D
Data Protection

Articolo 1 di 4