Un team di esperti di cyber security attivo 24 ore su 24, sette giorni su sette. Quello che fino a qualche anno fa sembrava una sorta di “lusso” riservato a pochi privilegiati è diventato un requisito indispensabile per proteggere le infrastrutture IT di qualsiasi organizzazione. Oggi, l’assistenza di un SOC (Security Operation Center) è considerato una sorta di conditio sine qua non per garantire un livello di sicurezza informatica adeguato per le imprese.
«Lo scenario della cyber security è cambiato radicalmente e in maniera estremamente rapida” spiega Eugenio Cavina, Service Manager di Cyberloop (gruppo CDO). «Quello che fino a poco tempo fa poteva essere considerato un supporto dedicato esclusivamente alle grandi aziende è diventato un tassello fondamentale per contrastare i cyber attacchi a qualsiasi livello».
Indice degli argomenti
Come è cambiato lo scenario
In un passato non troppo remoto, le preoccupazioni legate all’eventualità di un incidente di cyber security erano appannaggio di aziende del settore tecnologico od operanti in ambito digitale. Tutto questo è cambiato a causa del processo di digitalizzazione che ha interessato le imprese di qualsiasi dimensione.
Nel contesto attuale, il blocco dei servizi IT ha inevitabilmente ripercussioni a livello operativo. In altre parole, se i servizi digitali vengono bloccati a causa di un attacco, l’impatto sulla continuità operativa è pressoché immediato.
«Anche a livello di piccole o medie imprese, si registra oggi un’impronta digitale più ampia rispetto al passato. Questo anche a causa dell’introduzione dei servizi cloud che, accanto agli indubitabili vantaggi che offrono alle aziende in termini di efficienza e flessibilità, hanno introdotto ulteriori elementi di vulnerabilità che i pirati informatici possono sfruttare» sottolinea Cavina.
C’è anche un altro aspetto che ha scompaginato il quadro della cyber security. Le piccole aziende, un tempo, potevano contare sul fatto di “volare sotto i radar” e non finire per essere prese di mira dai gruppi criminali con attacchi cyber.
La professionalizzazione del crimine informatico e l’aumento del numero di attacchi ha portato però a un cambio di scenario. «Uno dei fenomeni più preoccupanti è quello degli attacchi opportunistici» spiega l’esperto di Cyberloop. «Appena emerge una vulnerabilità che gli attaccanti possono sfruttare, agiscono immediatamente colpendo tutte le organizzazioni che sono esposte».
Quello che accade nella pratica è che appena si ha notizia di un bug relativo a un software o a un’appliance, per esempio uno specifico modello di firewall, i pirati informatici utilizzano strumenti di mappatura e localizzazione per individuare tutte le potenziali vittime vulnerabili. Con questa logica, nessuno può considerarsi al sicuro.
Perché serve il supporto di un SOC
Le strategie di attacco utilizzate dai cyber criminali vanno ben oltre il classico invio di malware a cui eravamo abituati in precedenza. Oggi, la violazione dei sistemi avviene attraverso elaborate operazioni mirate, il cui contrasto richiede un monitoraggio costante delle attività di rete e delle infrastrutture digitali.
E oltre alla fase di detection, cioè l’individuazione tempestiva della minaccia, ha ormai un’importanza fondamentale anche quella di response, che permette di attuare tutte quelle misure che permettono di mitigare l’impatto dell’attacco e ripristinare l’operatività dei sistemi il prima possibile.
Ovviamente, l’implementazione di un servizio SOC interno all’azienda richiede investimenti e competenze che sono spesso al di là delle disponibilità delle aziende, soprattutto quando si tratta di PMI.
La logica del SOC erogato come servizio esterno consente di superare questi limiti e, in prospettiva, offre anche dei vantaggi legati proprio alle caratteristiche di un approccio “as a service”.
«Un SOC esterno come quello di Cyberloop eroga i suoi servizi a un gran numero di aziende contemporaneamente» spiega Cavina. «Nel momento in cui viene individuato un attacco, è possibile sfruttare le informazioni raccolte per mitigare il rischio che sia replicato su altre organizzazioni con caratteristiche simili o che condividono lo stesso perimetro».
Insomma: si innesca una sorta di “economia di scala” che ha ripercussioni estremamente positive a livello di postura di cyber security.
Cosa serve e come funziona nella pratica
Ma quali sono i requisiti per poter implementare un servizio di SOC come quello descritto? «I due elementi fondamentali sono un sistema EDR (Endpoint Detection and Response) e un SIEM (Security Information and Event Management)» spiega Cavina. «Dal punto di vista tecnologico, il nostro SOC è agnostico, questo significa che se l’azienda dispone già di questi sistemi è possibile interfacciarsi con il centro operativo. In caso contrario, è possibile implementarli».
Al di là dell’aspetto squisitamente tecnologico, il rapporto con il SOC viene gestito attraverso la previsione di una stretta collaborazione con gli addetti alla cyber security dell’organizzazione.
«Una parte fondamentale nell’erogazione di questo tipo di servizi è quello di codificare puntualmente le procedure in caso di attacco» sottolinea l’esperto di Cyberloop. «È necessario stabilire preventivamente quali canali di comunicazione usare, tarando anche le procedure sulla base della severità dell’attacco».
In pratica, spiega Cavina, si procede a definire a priori una serie di condizioni che consentono di automatizzare tutte le operazioni. Queste matrici di flussi permettono, per esempio, di stabilire quando è richiesto il coinvolgimento dell’organizzazione e quando, invece, l’urgenza è tale da attivare una reazione immediata da parte del SOC.
Un sistema, conclude il manager, che permette anche di avere un quadro in cui ci si possa muovere con azioni predefinite e responsabilità certe.
