Security Operation Center: cos'è e come scegliere i servizi SOC

Security Operation Center: cos’è e come scegliere i servizi SOC

pittogramma Zerouno

Attualità

Security Operation Center: cos’è e come scegliere i servizi SOC

I servizi SOC affiancano le aziende nell’identificazione degli attacchi alla sicurezza distribuiti tra reti, sistemi, dispositivi e applicazioni, nella loro gestione, includendo attività tempestive di intervento e di ripristino L’obiettivo finale di un SOC è migliorare la posizione di sicurezza di un’organizzazione rilevando e rispondendo a minacce e attacchi prima che abbiano un impatto sul business

02 Nov 2020

di Laura Zanotti

Security Operation Center (SOC) significa poter contare su una sicurezza aziendale presidiata da un centro operativo strategico, dedicato e ad alto tasso di innovazione. Più nel dettaglio, il SOC è un’unità costituita da un insieme di persone, processi e tecnologie che supervisionano reti, sistemi, dispositivi e applicazioni. Avvalendosi di sistemi intelligenti di monitoraggio e di rilevamento degli attacchi, un Security Operation Center analizza un flusso continuo di dati generati da ogni azione e interazione informatica, attingendo a una pluralità di fonti ulteriori per ricavare aggiornamenti. La missione principale di un SOC è rilevare e dare la giusta priorità agli incidenti che potrebbero avere un impatto negativo sui sistemi informativi o sui dati di un’organizzazione, supportando i decisori a ponderare i rischi e agire in modalità più strategica.

Security Operation Center: funzioni e caratteristiche

Nei SOC lavorano professionisti specializzati in più ambiti di competenza come tecnici, analisti, figure che si occupano specificatamente dei processi di reazione agli incidenti e threat hunter che triangolano esperienze, competenze e certificazioni per tutte le tecnologie di cybersicurezza monitorate o gestite. Per questo i Security Operation Center sono un asset dal valore indiscutibile, garantendo un approccio olistico alla sicurezza, incentrato su tecnologie, tecniche e approcci di ultimissima generazione, con una detection near real time, ovvero in tempo pressoché reale.

I Security Operation Center forniscono servizi di gestione e monitoraggio che coprono un ampio ventaglio di tecnologie, tra cui:

  • tecnologie di prevenzione e rilevamento intrusioni (per esempio firewall, Intrusion Detection System, Intrusion Prevention System)
  • gateway di sicurezza web ed e-mail
  • tecnologie avanzate di difesa dalle minacce
  • tecnologie SIEM (Security Information and Event Management)
  • Soluzioni, che includono vari strumenti, pensati per una security unificata come, ad esempio, gli ATP

Dal SOC al NOC: quali sono le differenze

Non tutti i SOC sono uguali: ci sono Security Operation Center che si limitano a un ruolo di semplice monitoraggio e altri che hanno come compito quello di supportare e coordinare le azioni di risposta agli incidenti. I SOC più evoluti gestiscono anche le vulnerabilità riscontrate e il risanamento degli eventuali incidenti rilevati, integrando la parte di Network Operation Center. Un NOC è un’unità costituita da un insieme di persone, processi e tecnologie che da remoto presidia le reti utilizzando in maniera intensiva software di Remote Monitoring & Management (RMM) intelligenti. I team, costituiti da ingegneri e tecnici, sono organizzati su più turni di lavoro per tenere sotto controllo le reti e gli endpoint che, in questo modo, vengono costantemente monitorati e gestiti. Il valore aggiunto di un NOC è nel personale altamente specializzato che non solo è in grado di attuare misure preventive per garantire che non si verifichino problemi nei servizi ma, nel caso possano insorgere criticità, procede alla risoluzione in maniera autonoma. I tecnici NOC vigilano sulle reti e non appena rilevano anomalie, apportano adeguamenti tecnici stanziando tutte le risorse necessarie, intervenendo da remoto oppure on site a seconda del tipo di disservizio, facendo quindi in modo che, anche in situazioni di emergenza, il rischio sia sempre gestito.

Le funzioni di un NOC nel dettaglio

Per la natura stessa della rete, i team NOC sono coinvolti in azioni di sicurezza di alto livello, risolvendo backup e disaster recovery (BDR) con un uptime in modalità 24x7x365. Quando si rende necessario un’azione o un intervento, infatti, i tecnici aprono un ticket, identificando e classificando il problema in base a gravità, tipo di avviso e ulteriori criteri di analisi procedendo poi alla risoluzione problema, andando a cercare anche la causa scatenante principale in modo da prevenire problemi futuri. I tecnici del NOC sono anche il braccio armato del servizio di help desk e, proprio per questo, sono categorizzati su più livelli che corrispondono alla gravità e alla difficoltà dei problemi che sono chiamati a gestire.

Al livello 1 operano i team che si occupano dei problemi minori e/o più facili da risolvere: nel caso di un guasto hardware, ad esempio, un avviso può essere inizialmente assegnato a un tecnico di livello 1. Tuttavia, dopo un’ulteriore ispezione, se il problema supera l’hardware guasto, il ticket può essere inoltrato a un tecnico di livello 2 o di livello 3. Oltre al monitoraggio dell’integrità e del perfetto funzionamento delle infrastrutture, le squadre dei NOC utilizzano sistemi di analisi avanzati che permettono di effettuare aggiustamenti per garantire che le prestazioni di rete e la produttività dell’organizzazione siano sempre più efficaci ed efficienti.

Cosa deve fare un’azienda prima di progettare il servizio SOC

Come per qualsiasi servizio, anche nel caso di un Security Operation Center è fondamentale fare un’analisi di che cosa si vuole proteggere e mappare bene gli obiettivi, partendo da quelli basici per arrivare a quelli più strategici. Ad esempio:

  • ridurre i costi di monitoraggio
  • rafforzare la capacità di rilevamento
  • rafforzare gli ambienti locali o esterni
  • migliorare la visibilità negli ambienti cloud o di rafforzare gli ambienti locali o esterni

SOCaS: terziarizzare la complessità scegliendo un Security Operation Center as a Service

Per un’azienda dotare il proprio data center di un Security Operation Center è complicato e oneroso. Oltre a richiedere tempo e denaro, bisogna ingaggiare personale estremamente preparato tecnicamente, ma anche disposto a lavorare su più turni di lavoro. Scegliere di affidarsi a un provider specializzato è la soluzione più pratica e ad alto tasso di servizio. Si parla in questo caso di SOCaS. A differenza delle singole aziende, infatti, i fornitori di servizi SOC hanno strutture, strumenti, competenze, esperienze e talenti specializzati nel controllo e nella valutazione della sicurezza aziendale. Ogni giorno studiano il cybercrime e hanno accesso a tutta la letteratura più aggiornata in merito alle vulnerabilità e alle minacce. Ma non solo: osservando i propri clienti all’interno di molte e diverse realtà, hanno una cultura del rischio molto profonda e conoscono tutti i punti di forza e di debolezza degli ambienti aziendali. Tutte garanzie che rendono l’outsourcing dei SOC una carta vincente in termini di governance.

Sicurezza aziendale sempre sotto controllo

Dal punto di vista della governance, l’azienda non perde il controllo. Una dashboard di correlazione degli eventi e di gestione dei Security Incident permette al personale IT di avere sempre il quadro della situazione. Il cruscotto offre anche strumenti di analisi e immagini dinamiche per la visualizzazione di tutte le informazioni, con aggiornamenti in tempo reale e una reportistica personalizzabile in base alle esigenze dell’utente. E per le segnalazioni, è possibile opzionare molteplici vie di contatto (es. telefono, e-mail, chat). II vantaggio di appoggiarsi a un SOC esterno è di avere la garanzia di un servizio che funziona 24×24, 7×7, 365×365. Reti, sistemi e applicazioni vengono monitorati e analizzati giorno e notte, con strumenti e personale dedicato, capace di intervenire alle segnalazioni di anomalie ed eventi sospetti per interpretarle e ponderare la gravità e le modalità di intervento. Per un’azienda mettere in campo questo tipo di copertura è praticamente impossibile.

Come scegliere un fornitore SOC affidabile

Nella ricerca di un partner, oltre a verificare la sua stabilità economico-finanziaria e la sua affidabilità nel tempo, è importante considerare la qualità del personale, delle infrastrutture e delle modalità di servizio. Il punto di partenza nella scelta di un fornitore è avere contezza del fatto che l’utilizzo di un Security Operation Center comporta la condivisione di dati sensibili. Ecco, dunque, i principali elementi cui fare attenzione:

  • Per prevenire incidenti o carenza di conformità alle regole, il SOC deve fornire i servizi richiesti da almeno due siti distribuiti geograficamente, assicurando così ridondanza e capacità di disaster recovery.
  • Il fornitore deve avere delle certificazioni che devono includere standard riconosciuti di sicurezza informatica come, ad esempio, Federal Risk and Authorization Management Program e ISO 27001, con valutazione SSAE16 (Statement on Standards Attestation Engagements 16) eseguita regolarmente.
  • Rispetto allo scambio e all’invio dei dati da e verso l’organizzazione del cliente, il SOC deve usare metodi crittografati, come il TLS 1.1+.
  • Il provider deve dare la sua disponibilità a farsi controllare, consentendo all’azienda-cliente di eseguire una due diligence del proprio stato di security e sottoporsi periodicamente a un controllo esterno di sicurezza informatica da parte di terzi affrontando penetration test interni ed esterni almeno una volta all’anno.
  • I servizi SOC individuati devono essere personalizzati e integrati nel piano di risposta agli incidenti di sicurezza della propria organizzazione
  • Il fornitore deve mettere a disposizione un portale web per il cliente, con autenticazione a più fattori e controllo degli accessi basato sui ruoli. Questo portale deve fornire strumenti di analisi e immagini per la visualizzazione delle informazioni, aggiornamenti in tempo reale, report personalizzabili in base alle esigenze dell’utente.
  • Nel contratto, oltre ai KPI sui livelli di performance dei servizi deve esserci anche la voce relativa alla possibilità di interrompere il rapporto di collaborazione nel caso l’azienda cliente consideri inadeguate le prestazioni ricevute

Come e perché scegliere il Security Operation Center di Vodafone Business

Vodafone Business Security è una suite di servizi di sicurezza in grado di rispondere a tutti i requisiti in termini di infrastrutture, procedure, tecnologie, risorse, competenze e certificazioni. Coniugando un rilevamento continuo della sicurezza (CSD – Continuous Security Detection) con sistemi di analisi avanzate della sicurezza e di Security Engineering, il Security Operation Center di Vodafone Italia è una struttura di presidio h24, coordinamento e controllo in grado di garantire la continuità del servizio e il supporto al business.

Security-Operation-Center-Vodafone

L’unità SOC reagisce con incisività e tempestività al verificarsi di eventuali situazioni critiche, mettendo a sistema attività di test e scanning della sicurezza regolari, azioni di gestione e mitigazione dei rischi, security assessment di tutti i nuovi sistemi, applicazioni e dispositivi che via via vengono integrati nell’organizzazione. Il servizio fornisce il monitoraggio della sicurezza per organizzazioni di qualsiasi dimensione e complessità, utilizzando una piattaforma di raccolta dei log di facile implementazione, potenti motori di analisi, affidando la gestione ad analisti altamente qualificati ed esperti. Operando come un’estensione del team IT aziendale, il Security Operation Center di Vodafone mappa e presidia l’infrastruttura aziendale. Oltre a conoscere a fondo tutto l’ambiente che deve proteggere, continua ad aggiornare informazioni, strumenti e tecniche attraverso un approccio evolutivo e olistico alla sicurezza, andando ben oltre gli standard di settore per fornire il massimo livello di capacità di risposta agli incidenti, senza compromessi.

Laura Zanotti

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Articolo 1 di 3