SOC As a Service (SOCaaS): che cos’è e come funziona | ZeroUno

SOC As a Service (SOCaaS): che cos’è e come funziona

pittogramma Zerouno

Guida

SOC As a Service (SOCaaS): che cos’è e come funziona

Con l’aumentare dell’uso del cloud, molte aziende esternalizzano alcune funzioni in carico ai Security Operation Center. A questo punto vale la pena considerare l’opzione As a Service

06 Mar 2020

di Laura Zanotti - Fonte TechTarget

SOC As a Service ha nell’acronimo SOCaaS un’ennesima applicazione del cloud, il che non rende immediatamente comprensibile il suo significato intrinseco.

Trasformare il centro operativo di sicurezza in una chiave di servizio on demand e pay per use, infatti, può generare confusione per diversi motivi. Vediamo quali.

Sicurezza sulle nuvole: ci sono fornitori e fornitori

In primo luogo, i professionisti possono mettere in dubbio quale sia la differenza tra SOCaaS e altri modelli come, ad esempio, i provider di servizi di sicurezza gestiti (MSSP – Managed Security Service Provider) o il rilevamento e la risposta gestiti (MDR – Managed Detection and Response).

In secondo luogo, il ruolo e la portata di un SOC possono essere molto diversi da impresa a impresa.

A questo punto sorge spontanea la domanda: quali elementi SOC sono inclusi in una formula as a Service e quali no? Come fanno notare gli esperti, quando si parla di SOCaaS può essere difficile per i security manager capire se questa formula si adatta ai loro programmi di sicurezza oppure se è solo l’ennesimo coniglio che il marketing ha tirato fuori dal cappello per inventarsi un’offerta.

SOC As a Service: che cosa è

Il SOCaaS riflette un modello basato sui servizi che esternalizza parti delle funzioni di un SOC a un fornitore esterno. Il driver principale del SOC in chiave As a Service è stato l’evoluzione sempre più funzionale del cloud. Il passaggio al cloud significa che le informazioni di sicurezza come, ad esempio, avvisi, telemetria, registri e informazioni di rete, diventano accessibili tramite canali diversi rispetto alla gestione effettuata tramite ambienti in locale.

Grazie all’applicazione di vari meccanismi, i team di sicurezza ottengono tutta una serie di informazioni a diversi livelli dello stack in un contesto cloud. Ma come si conciliano le informazioni di un SOC As a Service con quelle provenienti da strumenti locali o gestiti direttamente dall’organizzazione? Il SOCaaS risolve l’integrazione di questi flussi di dati utilizzando strumenti di automazione per tenere traccia delle risorse gestiti dall’ambiente che si vuole presidiare, contrassegnando le anomalie e bloccando o inviando le segnalazioni più opportune. Questo tipo di attività, infatti, può essere fatto in modo totalmente automatizzato oppure, in alcuni casi, può essere soggetto alla revisione di un’analista umano che supervisiona i processi, eliminando i falsi positivi.

Quali sono le aree presidiate da un SOCaaS

Concentrandosi sugli elementi di monitoraggio di un SOC tradizionale piuttosto che su elementi operativi specifici dell’azienda, il SOC As a Service differisce da una MSSP tradizionale. Gli MSSP, infatti, possono avere la funzione di monitoraggio come parte integrante della loro offerta di servizi, ma in genere andranno a includere anche il funzionamento di numerosi strumenti di sicurezza locali.

Soc as a Service 2 photo

Prendiamo, ad esempio, gli elementi sorgente necessari per realizzare quel tipo di monitoraggio. Il servizio può includere controllo e manutenzione di tutti gli strumenti di sicurezza locali, come:

  • i sistemi di rilevamento delle intrusioni (IDS) e i firewall
  • la raccolta dei dati di telemetria di tutti i dispositivi sulla rete
  • la raccolta dei vari log

Un MSSP non solo gestisce una parte del monitoraggio, ma in genere si occupa anche della manutenzione e del funzionamento dell’infrastruttura fisica necessaria a realizzare la raccolta dei dati che cerca di monitorare.

In estrema sintesi, quando si parla di SOC As a Service non tutti i fornitori di servizi o le offerte sono equivalenti. È possibile che si verifichino sovrapposizioni significative man mano che si procede con lo sviluppo di ulteriori funzionalità o che i fornitori procedono a introdurre formule più innovative.

Nell’ambito del SOCaaS e dell’MDR generalmente vengono utilizzati strumenti di analisi integrate all’apprendimento automatico e ad altri strumenti o metodi finalizzati a semplificare il processo di rilevamento. Questa semplificazione è più efficace rispetto a quando il set di strumenti di raccolta dei dati è disparato, eterogeneo o è unico per una determinata organizzazione.

A questo punto, alcuni professionisti potrebbero pensare che SOCaaS assomigli molto a MDR. Ci sono aspetti di ciascuno che si sovrappongono. Analogamente al SOC As a Service, i provider MDR utilizzano generalmente strumenti di apprendimento automatico e strumenti analitici per facilitare il rilevamento degli eventi, appoggiandosi a diversi ambienti sia in cloud che locali. Il vantaggio di subappaltare a un fornitore la gestione del SOC è che questo, utilizzando il proprio set di strumenti e le proprie tecniche, garantisce economie di scala più interessanti rispetto alla capacità di rilevamento e di risposta di una singola azienda. Il tutto consentendo di ottenere una visione migliore a costi più bassi. A differenza di un modello MSSP tradizionale, un partner MDR generalmente non gestirà o gestirà direttamente strumenti di sicurezza come SIEM, IDS, rilevamento di anomalie del comportamento di rete o filtro di rete nei locali dei clienti.

Come valutare se il SOCaaS è l’opzione giusta

Per valutare il miglior servizio ogni azienda deve prima identificare bene quali sono i requisiti. L’importante, dunque, è iniziare da un’analisi sistematica degli obiettivi che si vogliono centrare con il programma di sicurezza. L’obiettivo potrebbe essere quello di rafforzare la capacità di rilevamento oppure, più semplicemente, di ridurre i costi di monitoraggio o, ancora, di migliorare la visibilità negli ambienti cloud o di rafforzare gli ambienti locali o esterni. Rispondere a queste domande aiuta a migliorare la comprensione e a identificare meglio quale tipo di servizio o fornitore potrebbe essere la soluzione migliore.

Se si tratta di una grande organizzazione con una o più relazioni MSSP già in atto, è possibile che gli stessi provider siano in grado di supportare il monitoraggio aggiungendo una voce di costo al contrato in essere. Se un’organizzazione ha chiaramente delimitato gli ambienti cloud (ad esempio l’uso intensivo di un modello IaaS con un singolo provider), un’offerta SOC As a Service che si rivolge specificamente a quell’ambiente potrebbe essere una valida opzione. Le organizzazioni possono scegliere di coinvolgere un partner MDR per rafforzare la propria capacità di risposta in entrambi i casi. La decisione su quale sia ottimale dipende da ciò che è già in atto e da ciò che l’azienda sta cercando di realizzare, nonché da eventuali criteri specifici dell’organizzazione che possono influenzare il modo in cui ciò viene realizzato.

Come iniziare il rapporto con un fornitore SOC As a Service

Prima di sottoscrivere il contratto, è consigliabile testare il servizio. Ad esempio, si può partire dalla richiesta di eseguire test di penetrazione che può aiutare a identificare eventuali singhiozzi inaspettati nella consegna. Alcuni provider, infatti, avranno dei limiti di fattibilità. Inoltre, i team di sicurezza potrebbero non voler impegnarsi in un aggiornamento della loro intera infrastruttura di monitoraggio solo per testare le capacità di un particolare fornitore. Tuttavia, questo tipo di richieste sono ben note ai provider, che hanno esperienza e quindi possono supportare i potenziali clienti nelle loro valutazioni.

Infine, nell’incrociare l’elenco di funzionalità con l’elenco dei fornitori, i team di sicurezza devono mantenere la loro supervisione prima, durante e dopo l’onboarding del fornitore di servizi. Analogamente a come manterrebbero la supervisione di un fornitore cloud per comprendere l’aderenza agli accordi sul livello di servizio, anche con il SOC As a Service le aziende devono assicurarsi di rimanere aggiornate nel tempo sulla tipologia di prestazioni offerta da ogni fornitore di servizi.

Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

SOC As a Service (SOCaaS): che cos’è e come funziona

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 3