Un SOC, acronimo di Security Operation Center, è una struttura completamente dedicata all’analisi del flusso di traffico generato dagli asset aziendali e al monitoraggio di minacce e attacchi che quotidianamente ogni azienda subisce.
Al giorno d’oggi, gli attacchi informatici e le conseguenti violazioni dei dati aziendali sono in costante aumento. Per tale motivo, anche le aziende che non ne hanno uno dovrebbero prendere in seria considerazione l’esigenza di implementarlo.
Tuttavia, a causa di vincoli di budget e priorità di vario genere, molte organizzazioni non predispongono un SOC con team dedicato per la rilevazione di minacce. In questi casi, è possibile anche valutare la possibilità di avvalersi di soggetti esterni in grado di erogare un servizio SOC.
Come funziona un Security Operation Center?
Un SOC è concepito per essere attivo ed efficiente 24 ore su 24, 7 giorni su 7, in modo tale da monitorare costantemente le reti e gli endpoint.
Quando viene rilevata una vulnerabilità o viene rilevato un incidente, il Security Operation Center si interfaccia con il team di security (interno all’azienda o esterno) che si occuperò di rispondere all’incidente. Spesso è anche necessario indagare sulla causa scatenante e per recuperare le prove secondo le regole dell’informatica forense.
SOC: i servizi offerti
Per aggiungere valore a un’organizzazione, le aziende che offrono un servizio SOC dovrebbero erogare i seguenti servizi:
- Asset survey: affinché un SOC possa aiutare un’azienda a rimanere al sicuro, occorre conoscere in maniera dettagliata tutte le risorse che occorre proteggere; in caso contrario, alcune aree o asset potrebbero rimanere scoperti, rendendo così vana la strategia scelta. Una survey sulle risorse in uso presso l’azienda dovrebbe includere server, endpoint, router, firewall e qualsiasi altra apparecchiatura di rete utilizzata nel contesto aziendale e qualsiasi altro strumento di sicurezza informatica attivamente in uso; si tratta del punto di partenza quando occorre progettare un SOC;
- Collezionamento di log: i dati sono la cosa più importante per un SOC correttamente implementato e, di conseguenza, i file di log hanno un ruolo fondamentale per la raccolta di informazioni sull’attività di rete. Il SOC dovrebbe essere in grado di trattare log in tempo reale per avere a disposizione dati sempre aggiornati;
- Manutenzione preventiva: per operare nel migliore dei modi, il SOC dovrebbe essere in grado di prevenire gli attacchi informatici in modalità proattiva nei confronti dei processi aziendali. Ciò include, a cadenza regolare, l’installazione di patch di sicurezza e gli aggiornamenti delle regole dei firewall;
- Gestione degli alert: i sistemi automatizzati in uso per la protezione dell’azienda sono ottimi per trovare anomalie di sicurezza durante il quotidiano funzionamento dei dispositivi, siano essi endpoint o apparati di rete. Ne consegue una produzione massiva di alert che potrebbero non trovare una corrispondenza reale creando così solo un notevole rumore di fondo. Ciò che distingue un SOC è l’elemento umano che risulta fondamentale quando si tratta di analizzare avvisi automatici e classificarli in base alla loro gravità e priorità. Il personale impiegato all’interno di un SOC deve essere in grado di distinguere quali alert processare e come verificare che essi siano legittimi;
- Audit di conformità: le aziende vogliono sapere che i loro dati e i loro sistemi sono sicuri ma anche che sono gestiti in modo lecito. I fornitori di un servizio SOC devono eseguire audit regolari per dimostrare la loro conformità rispetto al servizio erogato.
SOC: come progettare e implementare un Security Operation Center
Ci sono molti diversi modelli di architettura SOC che possono funzionare ed essere adattati a qualsiasi esigenza aziendale:
- Security Operation Center interno: l’azienda si occupa di progettare un SOC e di creare un proprio team di sicurezza all’interno del proprio organico;
- Virtual SOC: il team di sicurezza non ha una struttura dedicata e spesso lavora in remoto;
- Co-Managed SOC: il personale IT interno dell’azienda lavora con il supporto di un fornitore esternalizzato per gestire congiuntamente le esigenze di sicurezza informatica.
In tutti i casi, la progettazione di un Security Operation Center dovrebbe partire da uno standard di alto livello come ad esempio ISO 27001, i cui controlli rappresentano un’ottima checklist per iniziare.
Come può aiutarti BIT4LAW?
I nostri consulenti, esperti e qualificati su tematiche connesse alla cybersecurity, digital forensics e ISO 27001, possono supportarti durante la costituzione del tuo team interno oppure essere il tuo fornitore del servizio. Siamo in grado di darti supporto durante tutte le fasi: dalla progettazione all’implementazione, dalla fase di Incident Response ai vari audit richiesti dalla certificazione ISO 27001. Contattaci per un preventivo gratuito.
