SOC (Security Operations Center)

Un centro per le operazioni di sicurezza (SOC, Security Operations Center) migliora le capacità di rilevamento, risposta e prevenzione delle minacce di un'organizzazione tramite l'unione e il coordinamento di tutte le tecnologie e le operazioni di sicurezza informatica.

Stanza di un SOC (Security Operations Center)
Cos'è un SOC (Security Operations Center)

Un SOC (Security Operations Center), a volte definito centro per le operazioni di sicurezza delle informazioni o ISOC (Information Security Operations Center), è un team di professionisti della sicurezza IT interno all'azienda o in outsourcing che monitora l'intera infrastruttura IT di un organizzazione, 24 ore al giorno, 7 giorni su 7, per rilevare gli eventi di sicurezza informatica in tempo reale e affrontarli nel modo più rapido ed efficace possibile.

Un SOC, inoltre, seleziona, gestisce e mantiene le tecnologie di sicurezza informatica dell'organizzazione e analizza senza soluzione di continuità i dati sulle minacce per trovare modi per migliorare il profilo di sicurezza dell'organizzazione.

Il vantaggio principale di gestire o assegnare in outsourcing un SOC è unificare e coordinare gli strumenti e le pratiche di sicurezza e la risposta agli incidenti di sicurezza di un'organizzazione. Di norma, ciò risulta in un miglioramento delle misure preventive e delle politiche di sicurezza, consente un rilevamento più rapido delle minacce e una risposta più veloce, efficiente ed efficace in termini di costi alle minacce di sicurezza. Inoltre, un SOC può migliorare la fiducia dei clienti e semplificare e rafforzare la conformità di un'organizzazione con le normative in materia di privacy del settore, nazionali e globali.


Cosa fa un SOC (Security Operations Center)

Le attività e le responsabilità di un SOC si dividono in tre categorie generali.

Preparazione, pianificazione e prevenzione

Inventario degli asset. Un SOC deve mantenere un inventario completo di tutto ciò che deve essere protetto, all'interno o all'esterno del data center (ad esempio applicazioni, database, server, servizi cloud, endpoint e così via) e di tutti gli strumenti utilizzati per la protezione (firewall, strumenti antivirus/anti-malware/anti-ransomware, software di monitoraggio e così via). Molti SOC, a questo proposito, tendono ad utilizzare una soluzione di rilevamento degli asset.

Manutenzione e preparazione di routine. Per incrementare al massimo l'efficacia degli strumenti e delle misure di sicurezza in vigore, il SOC esegue manutenzioni preventive quali l'applicazione delle patch e degli aggiornamenti al software e aggiornando continuamente i firewall, le whitelist e blacklist e le politiche e procedure di sicurezza. Il SOC può anche creare backup di sistema, o assistere nella creazione di politiche o procedure di backup, per garantire la business continuity nel caso di una violazione dei dati, di un attacco ransomware o di altri incidenti di sicurezza informatica.

Pianificazione della risposta agli incidenti. Il SOC è responsabile per lo sviluppo del piano di risposta agli incidenti dell'organizzazione, che definisce le attività, i ruoli e le responsabilità nel caso di una minaccia o di un incidente, in aggiunta alle metriche in base alle quali verrà misurata la riuscita di una risposta all'incidente.

Test regolari. Il team del SOC esegue valutazioni della vulnerabilità, ovvero valutazioni complete che identificano la vulnerabilità di ciascuna risorsa alle potenziali minacce e i relativi costi. Inoltre, conduce test di penetrazione che simulano specifici attacchi su uno o più sistemi. Il team corregge e ottimizza le applicazioni, le politiche di sicurezza, la best practice e i piani di risposta agli incidenti in base ai risultati di tali test.

Rimanere aggiornati. Il SOC deve mantenersi aggiornato sulle ultime soluzioni di sicurezza e tecnologie e sulla più recente intelligence sulle minacce: novità e informazioni relative agli attacchi informatici e agli hacker che li commettono, raccolte da social media, fonti del settore e dal dark web.

Monitoraggio, rilevamento e risposta

Monitoraggio di sicurezza continuo, senza interruzioni. Il SOC monitora costantemente l'intera infrastruttura IT estesa: applicazioni, server, software di sistema, dispositivi di elaborazione, carichi di lavoro cloud, la rete, alla ricerca di segni di exploit noti e di attività sospette.

Per molti SOC, la tecnologia di base per il monitoraggio, il rilevamento e la risposta è stata la  gestione delle informazioni e degli eventi di sicurezza, o SIEM (Security Information and Event Management). SIEM monitora e aggrega gli avvisi e la telemetria da software e hardware sulla rete in tempo reale, quindi analizza i dati per identificare potenziali minacce. Più recentemente, alcuni SOC hanno anche adottato la tecnologia XDR (eXtended Detection and Response), che fornisce telemetria e monitoraggio più dettagliati e la capacità di automatizzare il rilevamento e la risposta agli incidenti.

Gestione dei log. La gestione dei log, ovvero la raccolta e l'analisi dei dati di log generati da ogni evento di rete, è un sottoinsieme del monitoraggio abbastanza importante da meritarsi un suo paragrafo. Sebbene la maggior parte dei reparti IT raccolga i dati, è l'analisi che stabilisce le attività normali o di base e che rivela le anomalie che indicano un'attività sospetta. In effetti, molti hacker fanno affidamento sul fatto che le aziende non analizzino sempre i dati di log; ciò consente ai loro virus e malware di agire senza essere rilevati per settimane o persino mesi sui sistemi delle vittime. La maggior parte delle soluzioni SIEM includono funzionalità di gestione dei log.

Rilevamento delle minacce. Il team del SOC separa i segnali dal rumore di fondo, ovvero le indicazioni delle minacce informatiche effettive e degli exploit degli hacker dai falsi positivi, e assegna priorità alle minacce in base alla loro gravità. Le soluzioni SIEM moderne includono un'intelligenza artificiale (AI, Artificial Intelligence) che automatizza questi processi e 'apprende' dai dati per migliorare nel tempo le proprie capacità di individuare le attività sospette.

Risposta agli incidenti. Per rispondere a una minaccia o a un reale incidente, il SOC agisce per limitare i danni. Le azioni intraprese possono includere:

• Indagini sulle cause principali, per determinare le vulnerabilità tecniche che gli hacker hanno sfruttato per accedere al sistema, in aggiunta ad altri fattori (quali l'utilizzo di password non sicure o un'applicazione delle politiche poco attenta) che hanno contribuito all'incidente

• Arresto o disconnessione dalla rete degli endpoint compromessi

• Isolamento delle aree compromesse della rete o reinstradamento del traffico di rete

• Sospensione o arresto delle applicazioni o dei processi compromessi

• Eliminazione dei file danneggiati o infetti

• Esecuzione di software antivirus o anti-malware

• Rimozione delle password per gli utenti interni ed esterni.

Molte soluzioni XDR consentono ai SOC di automatizzare e accelerare queste operazioni e altre risposte agli incidenti.

Ripristino, perfezionamento e conformità

Ripristino e correzione. Una volta contenuto un incidente, il SOC elimina la minaccia, quindi lavora per riportare gli asset allo stato precedente all'incidente (ad esempio, eliminando i dati, ripristinando e connettendo nuovamente i dischi, i dispositivi degli utenti finali e altri endpoint; ripristinando il traffico di rete; riavviando le applicazioni e i processi). Nel caso di una violazione dei dati o di un attacco ransomware, il ripristino potrebbe anche comportare lo spostamento su sistemi di backup e il ripristino delle password e delle credenziali di autenticazione.

Operazioni successive e perfezionamento. Per impedire che si verifichi nuovamente, il SOC utilizza le nuove informazioni ricavate dall'incidente per gestire in modo più efficiente le vulnerabilità, i processi e le politiche di aggiornamento, scegliere nuovi strumenti di sicurezza informatica o rivedere il piano di risposta agli incidenti. A un livello superiore, il team SOC potrebbe anche tentare di determinare se l'incidente riveli una nuova o differente tendenza nell'ambito della sicurezza informatica per cui il team debba prepararsi.

Gestione della conformità. È compito del SOC garantire che tutte le applicazioni, i sistemi e gli strumenti e processi di sicurezza siano conformi alle normative sulla privacy dei dati quali GDPR (Global Data Protection Regulation), CCPA (California Consumer Privacy Act), PCI DSS (Payment Card Industry Data Security Standard) e HIPAA (Health Insurance Portability and Accountability Act). A seguito di un incidente, il SOC si accerta che gli utenti, i gli enti di controllo, le forze dell'ordine e le altre parti interessate siano notificate in conformità alle normative e che i dati sull'incidente necessari vengano conservati come prove e a scopo di verifica.


Principali membri del SOC (Security Operations Center)

In generale, i ruoli principali di un team SOC includono:

• Il manager del SOC, che dirige il team, coordina tutte le operazioni di sicurezza e risponde al CISO (Chief Information Security Officer) dell'organizzazione.

• Ingegneri della sicurezza, che allestiscono e gestiscono l'architettura di sicurezza dell'organizzazione. La gran parte di questo lavoro comporta la valutazione, la verifica, la generazione di suggerimenti, l'implementazione e la manutenzione degli strumenti e delle tecnologie di sicurezza. Inoltre, gli ingegneri di sicurezza collaborano con i team di sviluppo o DevOps/DevSecOps per garantire che l'architettura di sicurezza dell'organizzazione sia inclusa nei cicli di sviluppo delle applicazioni.

• Analisti della sicurezza, anche noti come investigatori della sicurezza o soccorritori in caso di incidenti, che sono di fatto i primi a intervenire in caso di minacce o incidenti di sicurezza informatica. Gli analisti rilevano, indagano e assegnano priorità alle minacce; quindi, identificano gli host, gli endpoint e gli utenti influenzati e intraprendono le azioni appropriate per mitigare e contenere l'impatto della minaccia o dell'incidente. (In alcune organizzazioni, gli investigatori e i soccorritori in caso di incidenti sono ruoli separati, classificati rispettivamente come analisti di livello 1 e livello 2).

• I cercatori di minacce (chiamati anche analisti di sicurezza esperti) sono specializzati nel rilevamento e contenimento delle minacce avanzate, ovvero delle nuove minacce o delle varianti delle minacce che riescono ad aggirare le difese automatizzate.

Il team del SOC può includere altri specialisti, a seconda delle dimensioni dell'organizzazione e del settore in cui conduce il proprio business. Le grandi aziende potrebbero includere un Direttore delle risposte agli incidenti, responsabile per la comunicazione e il coordinamento delle risposte agli incidenti. Inoltre, alcuni SOC includono investigatori forensi, specializzati nel recupero di dati, o indizi, da dispositivi danneggiati o compromessi in un incidente di sicurezza informatica.

DevOps

DevSecOps


Il SOC (Security Operations Center) e IBM

IBM Security QRadar XDR è la prima soluzione XDR completa del settore della sicurezza IT progettata con standard aperti e automazione in grado di unificare funzionalità di rilevamento e risposta degli endpoint (EDR, Endpoint Detection and Response), rilevamento e risposta della rete (NDR, Network Detection and Response) e SIEM in un solo flusso di lavoro. Con QRadar XDR, i SOC possono risparmiare tempo prezioso ed eliminare più rapidamente le minacce connettendo gli insight, semplificando i flussi di lavoro e sfruttando l'AI per automatizzare le risposte.

La suite di soluzioni IBM Security QRadar XDR include:

• QRadar XDR Connect, che integra gli strumenti di sicurezza, semplifica i flussi di lavoro, si adatta alle competenze e alle esigenze dei team di sicurezza e automatizza il SOC.

• QRadar SIEM, con analytics di sicurezza intelligenti che analizzano automaticamente i dati di log e di flusso da migliaia di dispositivi, endpoint e app sulla rete, fornendo insight utilizzabili sulle minacce più critiche.

• QRadar Network Insights, che fornisce un'analisi del traffico di rete in tempo reale, per la visibilità approfondita di cui i team SOC necessitano per rilevare le minacce nascoste prima che sia troppo tardi.

• QRadar SOAR (Security Orchestration, Automation and Response), che codifica i processi di risposta agli incidenti in playbook dinamici che consentono ai team di sicurezza di rispondere con sicurezza, automatizzare in modo intelligente e collaborare in modo coerente.

Gartner nomina IBM leader del Magic Quadrant del 2021 per SIEM

Entra nel mondo di IBM Security