Cos’è un Security Operation Center (SOC)? Per garantire la sopravvivenza del proprio business, oggi le aziende sono chiamate a definire una strategia di cybersicurezza adeguata per tutelare i propri sistemi informatici e i dati governati. Per effettuare una corretta valutazione dei rischi e definire in maniera operativa tale strategia è determinante disporre di competenze specifiche, che trovano la loro organizzazione nel SOC (Security Operation Center).
Cos’è un Security Operation Center
Il Security Operation Center (SOC) è un centro di comando formato da specialisti in cybersicurezza, per monitorare e analizzare le attività ai fini di proteggere l’azienda dagli attacchi informatici. Il SOC –Security Operation Center si occupa quindi di tenere sotto costante controllo le reti, il traffico internet, i server, gli endpoint, le applicazioni, i database e qualsiasi sistema possa essere direttamente o indirettamente causa o oggetto di un incidente di sicurezza informatica.
A seconda dell’organizzazione aziendale, della sua dimensione e degli effettivi rischi sussistenti in fatto di cybersicurezza, il SOC viene dimensionato per includere tutte le competenze necessarie. Nello svolgimento delle proprie mansioni, il SOC dialoga con gli altri reparti in ambito IT, ma fondamentalmente assolve il proprio compito con un elevato livello di autonomia. Ciò rende possibile l’affidamento in outsourcing presso fornitori altamente specializzati, qualora l’azienda non avesse le risorse per adempiere in house alle principali funzioni previste: monitorare i log e mitigare le minacce di sicurezza informatica.
Non esistono dogmi o prassi indissolubili, in quanto la conformazione e l’attività del Security Operation Center andrebbe sempre declinata in funzione del caso specifico di ogni realtà aziendale. Nel corso degli anni sono stati tuttavia scritti vari framework, preziose linee guida soprattutto quando si tratta di implementare per la prima volta l’attività di un SOC.
Un popolare framework per la definizione di un SOC è stato messo a punto dal SANS Institute, con la pubblicazione del paper Building a World-Class Security Operation Center: A Roadmap, che si articola su tre pilastri fondamentali: le persone, i processi e le tecnologie.
Detto questo, vengono definiti tre livelli di SOC, che ci riconducono in maniera piuttosto evidente al contesto alla disciplina della Incident Response:
- SOC – Security Operation Center di livello 1: analisi e monitoraggio dei sistemi informatici (triage)
- SOC – Security Operation Center di livello 2: incident response
- SOC – Security Operation Center di livello 3: vulnerability assessment / penetration test (analisi proattiva)
Per tale motivo, un SOC che include funzionalità di livello 2 o di livello 3 può farsi carico di funzioni e attività convenzionalmente demandate ad altri organi di cybersicurezza, come il CSIRT (Computer Security Incident Response Team) o il CERT (Computer Emergency Response Team). Ciò non costituisce di fatto un’ingerenza, quanto una naturale espansione delle funzioni previste in origine dai modelli teorici, una volta che assumono effettivamente un riscontro pratico con le risorse dedicate all’IT, concentrando e ottimizzando il più possibile le onerose mansioni che comportano.
Un altro termine ricorrente nella descrizione dei team attivi nell’ambito della cybersicurezza è il NOC (Network Operation Center), le cui differenze rispetto al SOC insistono soprattutto nel porre nella disponibilità delle risorse di rete quale priorità principale, un aspetto essenziale soprattutto nel caso di enti pubblici e aziende i cui canali sono contraddistinti da un livello di traffico molto elevato, come nel caso di importanti brand di prodotto.
A livello tecnologico i sistemi prevalenti utilizzati dai SOC – Security Operation Center sono i SIEM (Security Information and Event Management) che consentono di automatizzare soprattutto la fase di analisi e monitoraggio dei sistemi informatici. Anche in questo caso, dobbiamo osservare come i SIEM evoluti siano dotati di funzionalità riconducibili all’attività di SOC di livello 2 e di livello 3. I SIEM non nascono per sostituire l’analista umano, ma per assisterlo soprattutto quando si affrontano flussi di dati provenienti da varie fonti e consistenti in termini di numeriche. L’automatizzazione nel monitoraggio e le relative capacità di logging tipiche dei SIEM si rivelano fondamentali nell’offrire un maggior livello di visibilità su quanto accade sui processi.
I vantaggi di avere un SOC
La disponibilità di un Security Operation Center consente alle aziende di monitorare e proteggere i dati e in generale le proprie risorse IT dalle attenzioni dei malintenzionati, oltre che dall’imperizia del personale interno. Più nel dettaglio, i principali vantaggi derivanti dall’attività di un SOC sono i seguenti:
- Monitoraggio costante e analisi approfondita di qualsiasi attività sospetta all’interno della rete e del perimetro di sicurezza aziendale;
- Gestione centralizzata dei sistemi hardware e software per una maggior visibilità in termini di sicurezza informatica;
- Maggior informazione ed incremento del livello di comunicazione interna tra i vari reparti IT e i decision maker, per una maggior consapevolezza in fatto di sicurezza informatica;
- Totale trasparenza e controllo in merito alle attività di sicurezza informatica;
- Svolgimento ed ottimizzazione dell’attività di incident response, per mitigare e minimizzare l’impatto degli attacchi di sicurezza informatica;
- Riduzione dei costi e dei disservizi provocati dagli attacchi di sicurezza informatica;
- Incremento generale della sicurezza relativa al trattamento dei dati e alla conformità con le normative vigenti,
- Miglior definizione delle responsabilità interne in azienda in relazione alla sicurezza dei dati e dei sistemi informatici, ai fini di migliorare progressivamente la data governance e l’organizzazione generale.
Tipologie di SOC, Security Operation Center
Come annunciato in sede di premessa, a seconda della dimensione aziendale e della criticità che l’argomento cybersicurezza comporta per le sorti del business, è possibile formare un SOC in house o affidarsi alle varie modalità di outsourcing disponibili sul mercato, dove si assiste al proliferare dei servizi di cloud security. Tra le principali tipologie di Security Operation Center ritroviamo:
- SOC interno dedicato: tutte le risorse del team vengono allocate all’interno dell’azienda, con personale dipendente dell’azienda;
- SOC distribuito: altresì noto in letteratura come co-managed SOC, prevede una forma ibrida di team interno full time e part time con la collaborazione di un team esterno di servizi gestiti che offre pacchetti di consulenza misurati sulla base delle effettive esigenze. Tali fornitori, definiti Managed Security Service Provider (MSSP) assicurano elevati standard in termini di competenze e dotazioni tecnologiche, per via del loro elevato livello di specializzazione;
- SOC gestito: tale configurazione non prevede risorse interne da dedicare al SOC, ma affida l’intero onere a un MSSP, che assolve il suo compito end-to-end, relazionandosi direttamente con i responsabili interni;
- Supporto al SOC: un SOC può avvalersi di consulenze specifiche per ottenere consulenze e servizi altamente specializzati in merito ad una particolare mansione, come spesso accade nel caso della threat intelligence, in quanto la rapidità con cui varia l’evoluzione delle minacce renderebbe troppo complessa ed onerosa l’internalizzazione di tale attività;
- SOC virtuali: prevede un Security Operations Center attivo senza un ufficio fisico on-premise, a prescindere che il team sia formato da risorse interne, esterne o abbia una composizione ibrida. I SOC virtuali svolgono la loro attività sul modello del SOC as a service (SOCaaS) tipica dei servizi disponibili in cloud. Tale modello è sempre più diffuso per via dei tipici vantaggi relativi all’offerta cloud, che consente alle aziende di controllare in modo dettagliato i costi senza la necessità, nel caso in cui il servizio sia interamente gestito dal MSSP, di investire in risorse e personale interno, con la completa garanzia di poter scalare le risorse in funzione dei propri carichi di lavoro.
Composizione di un Security Operation Center
Il Security Operation Center è composto da varie figure professionali, esperti in vari ambiti della sicurezza informatica, nella gestione dei dati e dei sistemi IT che si possono trovare in un contesto aziendale. Il numero di membri di un SOC dipende da vari fattori, tra cui la complessità della mansione e il budget a disposizione. Nella sua formulazione più completa, il SOC –Security Operation Center prevede:
- SOC Manager: come il nome stesso suggerisce, si tratta del leader dell’organizzazione ed è il responsabile operativo del SOC e delle risorse attive nell’ambito della cybersicurezza in azienda. Tra i suoi compiti, oltre alla direzione e alla supervisione dell’operato dei membri del SOC, vi è la comunicazione con i responsabili aziendali, che vengono aggiornati sulla base di report e insight opportunamente predisposti per consentire la comprensione dei fatti sicurezza informatica anche ad un pubblico non propriamente tecnico;
- Incident responder: specialista nel gestire e mitigare gli attacchi e le penetrazioni attive nei confronti dei sistemi aziendali, compresa l’eradicazione e la definitiva eliminazione della minaccia;
- Investigatore forense: assume il fondamentale compito di individuare le cause e ricostruire la timeline dell’incidente, in modo da individuare con certezza le origini e la magnitudo dell’attacco, ai fini di consentire all’incident responder di eradicarlo con successo, oltre a fornire elementi utili per migliorare l’intera organizzazione in fatto di cybersicurezza;
- Analista: figura determinante nell’attività del SOC, per via della sua capacità di predisporre e organizzare i sistemi di allerta sulla base dei log generati dai sistemi di monitoraggio (es. SIEM). L’analista si occupa inoltre di coordinare e analizzare i risultati delle scansioni di vulnerability assessment indispensabili per individuare eventuali falle nei sistemi informatici dell’azienda, dai server, alla rete, agli endpoint utilizzati all’interno e all’esterno del perimetro di sicurezza. L’analista deve pertanto possedere competenze in fatto di linguaggi di programmazione, amministrazione di sistemi e procedure in materia di sicurezza informatica ed è una delle figure più ricercate proprio per via della sua visione a 360°, capace di spaziare dagli aspetti tecnici a quelli organizzativi con un approccio analitico e oggettivamente misurabile;
- Ethical hacker: figura specializzata nelle attività di vulnerability assessment, in particolare per quanto concerne il penetration test, ossia le simulazioni di attacco utili a determinare con certezza le modalità con cui l’attaccante potrebbe sfruttare una vulnerabilità per penetrare all’interno del perimetro di sicurezza aziendale. In un SOC, i penetration tester operano a stretto contatto con gli analisti.
- Compliance auditor: si occupa prevalentemente di stabilire che le procedure eseguite dal SOC – Security Operation Center sui dati e sui sistemi informatici siano conformi alle normative vigenti e alle policy aziendali, suggerendo in caso contrario i dovuti accorgimenti.
Le principali priorità e attività svolte
Il Security Operation Center svolge varie funzioni in fatto di sicurezza informatica, in relazione alle caratteristiche di ogni azienda e delle tipologie di organizzazione che abbiamo precedentemente descritto. Tra le principali attività svolte da un SOC ritroviamo la prevenzione, la protezione e il rilevamento nei confronti delle minacce alla sicurezza informatica dell’azienda.
Prevenzione
Le attività di prevenzione svolte dal SOC prevedono la ricerca, sviluppo e aggiornamento dei sistemi informatici in dotazione all’azienda e le attività di threat intelligence, che possono essere a loro volta demandate a fornitori altamente specializzati. Dal punto di vista della prevenzione, il SOC si occupa di coordinare ed eseguire la proverbiale attività di formazione interna nei confronti dei dipendenti, in modo da formare una adeguata cultura in fatto di sicurezza informatica, utile ad evitare banali incidenti provocati da azioni scellerate del personale attraverso i propri endpoint.
Protezione
La protezione consiste in gran prevalenza nelle attività di monitoraggio attive sui sistemi, ai fini di identificare e risolvere le possibili minacce. Nella sua forma più evoluta (livello 2), il SOC non può prescindere dall’esercizio dell’incident response, ossia la disciplina utile a reagire con successo all’eventualità dell’incidente di sicurezza informatico, per individuare causa e magnitudo dell’attacco ai fini di mitigarlo ed eradicare gli agenti malevoli dai sistemi aziendali. Tra le competenze del SOC rientrano pertanto anche le attività di backup e recovery, utili a ripristinare i sistemi alla condizione operativa che ha preceduto l’incidente. In termini generali, il SOC può quindi assolvere le funzioni di un IRT (Incident Response Team) a partire dalla definizione di un IRP (Incident Response Plan) e della sua corretta esecuzione, ivi comprese le fasi di testing ed esercitazione. L’IRP va costantemente aggiornato sulla base degli indicatori ricevuti attraverso l’attività di triage, che consiste nella costante analisi dei log, della rete e degli endpoint.
Rilevamento
Fa riferimento soprattutto alla componente proattiva delle attività di sicurezza, utile sia in termini di prevenzione che di investigazione, per individuare e risolvere con certezza le possibilità vulnerabilità presenti nella rete e sui sistemi informatici. Un approccio proattivo si identifica nella fondamentale attività di vulnerability assessment e penetration testing, tipiche del SOC di livello 3. Un aspetto fondamentale riguarda la fase di reporting e auditing di queste attività, che vanno organizzate e svolte in modo da costituire strumenti utili non soltanto alla risoluzione del singolo incidente, ma al miglioramento progressivo di tutti i sistemi utili a garantire la sicurezza aziendale.
