Data di pubblicazione: 15 marzo 2024
Autori: Mark Scapicchio, Amanda Downie, Matthew Finio
Un Security Operations Center (SOC) migliora le funzionalità di rilevamento, risposta e prevenzione delle minacce di un'organizzazione unificando e coordinando tutte le tecnologie e le operazioni di cybersecurity.
Un SOC, solitamente pronunciato "sock" e talvolta chiamato centro operativo per la sicurezza delle informazioni, o ISOC, è un team interno o esternalizzato di professionisti di sicurezza IT dedicato al monitoraggio dell'intera infrastruttura IT di un'organizzazione 24 ore su 24, 7 giorni su 7. La sua missione è rilevare, analizzare e rispondere agli incidenti di sicurezza in tempo reale. Questa orchestrazione delle funzioni di sicurezza informatica consente al team SOC di mantenere la vigilanza sulle reti, i sistemi e le applicazioni dell'organizzazione e garantisce una difesa proattiva contro le minacce informatiche.
Inoltre, il SOC seleziona, gestisce e mantiene le tecnologie di cybersecurity dell'organizzazione e analizza continuamente i dati delle minacce per migliorare l'approccio alla sicurezza dell'organizzazione.
Quando non è on-premise, un SOC fa spesso parte dei servizi di sicurezza gestiti (MSS) in outsourcing offerti da un provider di servizi di sicurezza gestiti (MSSP). Il vantaggio principale derivante dalla gestione o dall'outsourcing di un SOC è che esso unifica e coordina il sistema di sicurezza di un'organizzazione, compresi i suoi strumenti e pratiche di sicurezza e la risposta agli incidenti. Ciò si traduce solitamente in misure preventive e politiche di sicurezza migliorate, in un rilevamento più rapido delle minacce e in una risposta più tempestiva, efficace ed economica alle minacce alla sicurezza. Un SOC migliora inoltre la fiducia dei clienti e semplifica e rafforza la conformità di un'organizzazione alle normative sulla privacy di settore, nazionali e globali.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Le attività e le responsabilità del SOC rientrano in tre categorie generali.
Inventario degli asset: un SOC deve mantenere un inventario esaustivo di tutto ciò che deve essere protetto, all'interno o all'esterno del data center (ad esempio applicazioni, database, server, servizi cloud, endpoint, ecc.) e di tutti gli strumenti utilizzati per proteggerli (firewall, strumenti antivirus/anti malware/anti ransomware, software di monitoraggio, ecc.). Molti SOC utilizzeranno una soluzione di rilevamento delle risorse per questa attività.
Manutenzione ordinaria e preparazione: per massimizzare l'efficacia degli strumenti e delle misure di sicurezza in atto, il SOC esegue la manutenzione preventiva, come l'applicazione di patch e aggiornamenti software e l'aggiornamento continuo di firewall, liste di consentiti e bloccati, politiche e procedure di sicurezza. Il SOC può anche creare backup di sistema o assistere nella creazione di policy o procedure di backup per garantire la continuità aziendale in caso di violazione dei dati, attacchi ransomware o altri incidenti di cybersecurity.
Pianificazione della risposta agli incidenti: il SOC è responsabile dello sviluppo del piano di risposta agli incidenti dell'organizzazione, che definisce attività, ruoli e responsabilità in caso di minaccia o incidenti, oltre alle metriche con cui verrà misurato il successo di qualsiasi risposta agli incidenti.
Test regolari: il team SOC esegue valutazioni delle vulnerabilità, ossia valutazioni complete che identificano la vulnerabilità di ciascuna risorsa alle minacce potenziali o emergenti e i costi associati. Inoltre, conduce test di penetrazione che simulano attacchi specifici su uno o più sistemi. Il team corregge o ottimizza le applicazioni, i criteri di sicurezza, le procedure consigliate e i piani di risposta agli eventi imprevisti in base ai risultati di questi test.
Aggiornamento costante: il SOC rimane aggiornato sulle ultime soluzioni e tecnologie per la sicurezza e sulle più recenti informazioni sulle minacce: notizie e informazioni sugli attacchi informatici e gli hacker che li perpetrano, raccolte dai social media, dalle fonti del settore e dal dark web.
Monitoraggio della sicurezza continuo e 24 ore su 24: il SOC monitora l'intera infrastruttura IT estesa: applicazioni, server, software di sistema, dispositivi informatici, workload cloud e rete, 24 ore su 24, 365 giorni all'anno, alla ricerca di segnali di exploit noti e di qualsiasi attività sospetta.
Per molti SOC, la tecnologia di monitoraggio, rilevamento e risposta principale è stata la gestione delle informazioni e degli eventi di sicurezza, o SIEM. Il SIEM monitora e aggrega gli avvisi e la telemetria dal software e dall'hardware della rete in tempo reale, quindi analizza i dati per identificare potenziali minacce. Più recentemente, alcuni SOC hanno anche adottato la tecnologia XDR (Extended Detection and Response), che fornisce telemetria e monitoraggio più dettagliati e permette di automatizzare il rilevamento e della risposta agli incidenti.
Log management: il log management, la raccolta e l'analisi dei dati di registro generati da ogni evento di rete, è un importante sottoinsieme del monitoraggio. Sebbene la maggior parte dei reparti IT raccolga i dati di registro, è la loro analisi a stabilire attività normali o di base e a rivelare le anomalie che indicano attività sospette. Molti hacker, infatti, contano sul fatto che le aziende non sempre analizzano i dati di registro, il che consente ai loro virus e malware di funzionare inosservati per settimane o addirittura mesi sui sistemi della vittima. La maggior parte delle soluzioni SIEM include funzionalità di log management.
Rilevamento delle minacce: il team SOC ordina i segnali dal rumore, ovvero le indicazioni delle minacce informatiche effettive e degli utilizzi degli hacker ottenute dai falsi positivi, e poi classifica le minacce in base alla gravità. Le soluzioni SIEM moderne includono l'intelligenza artificiale (AI) che automatizza questi processi e che "impara" dai dati per individuare meglio le attività sospette nel tempo.
Risposta agli incidenti: in risposta a una minaccia o a un incidente reale, il SOC si attiva per limitare i danni. Le azioni possono includere:
- Indagine sulla causa principale, per determinare le vulnerabilità tecniche che hanno dato agli hacker accesso al sistema, oltre ad altri fattori (come una cattiva igiene delle password o una scarsa applicazione delle politiche) che hanno contribuito all'incidente.
- Disattivare gli endpoint compromessi o disconnetterli dalla rete.
- Isolare le aree compromesse della rete o reindirizzare il traffico.
- Sospendere o arrestare le applicazioni o i processi compromessi.
- Eliminare i file danneggiati o infetti.
- Eseguire software antivirus o antimalware.
- Disattivare le password per gli utenti interni ed esterni.
Molte soluzioni XDR consentono al SOC di automatizzare e accelerare queste e altre risposte agli incidenti.
Ripristino e correzione: una volta contenuto un incidente, il SOC elimina la minaccia, quindi entra in azione per ripristinare le risorse interessate allo stato precedente all'incidente (ad esempio cancellando, ripristinando e ricollegando dischi, dispositivi utente e altri endpoint, ripristinando il traffico di rete o riavviando applicazioni e processi). In caso di violazione dei dati o di attacco ransomware, il ripristino potrebbe comportare anche il passaggio ai sistemi di backup e la reimpostazione delle password e delle credenziali di autenticazione.
Post-mortem e perfezionamento: per evitare che l'incidente si ripeta, il SOC utilizza le nuove informazioni ottenute per affrontare meglio le vulnerabilità, aggiornare i processi e le politiche, scegliere nuovi strumenti di cybersecurity o rivedere il piano di risposta agli incidenti. A un livello superiore, il team SOC può anche determinare se l'incidente rivela una tendenza di cybersecurity nuova o in evoluzione per la quale il team deve prepararsi.
Gestione della conformità: è compito del SOC garantire che tutte le applicazioni, i sistemi, gli strumenti e i processi di sicurezza siano conformi alle normative sulla privacy dei dati, come il GDPR (Global Data Protection Regulation), il CCPA (California Consumer Privacy Act), il PCI DSS (Payment Card Industry Data Security Standard) e l'HIPAA (Health Insurance Portability and Accountability Act). A seguito di un incidente, il SOC si assicura che gli utenti, le autorità di regolamentazione, le forze dell'ordine e altre parti siano notificate in conformità con le normative, e che i dati richiesti sull'incidente siano conservati per le prove e l'audit.
Un SOC offre numerosi vantaggi alle organizzazioni, tra cui:
Protezione delle risorse: il monitoraggio proattivo e le funzionalità di risposta rapida delle SOC aiutano a prevenire gli accessi non autorizzati e a ridurre al minimo il rischio di violazioni dei dati. Questo protegge i sistemi critici, i dati sensibili e la proprietà intellettuale da violazioni e furti della sicurezza.
Continuità aziendale: riducendo gli incidenti di sicurezza e minimizzandone l'impatto, i SOC assicurano la continuità delle operazioni aziendali, aiutando a mantenere la produttività, i flussi di reddito e la soddisfazione dei clienti.
Conformità normativa: i SOC aiutano le organizzazioni a soddisfare i requisiti normativi e gli standard di settore per la cybersecurity, implementando misure di sicurezza efficaci e mantenendo registrazioni dettagliate degli incidenti e delle risposte.
Risparmi sui costi: investire in misure di sicurezza proattive tramite un SOC può comportare risparmi significativi e prevenire costose violazioni dei dati e attacchi informatici. L'investimento iniziale è spesso molto inferiore rispetto ai danni finanziari e ai rischi per la reputazione causati da un incidente di sicurezza e, se esternalizzato, sostituisce la necessità di dover assumere professionisti della sicurezza interni.
Fiducia dei clienti: dimostrare un impegno per la sicurezza informatica attraverso il lavoro di un SOC aumenta la fiducia tra clienti e parti interessate.
Risposta agli incidenti migliorata: le capacità di risposta rapida dei SoC riducono i tempi di inattività e le perdite finanziarie, contenendo le minacce e ripristinando rapidamente le normali operazioni per ridurre al minimo le interruzioni.
Migliore gestione del rischio: analizzando gli eventi e le tendenze di sicurezza, i team SOC possono identificare le potenziali vulnerabilità di un'organizzazione, per adottare misure proattive di mitigazione prima che vengano sfruttate.
Rilevamento proattivo delle minacce: monitorando continuamente le reti e i sistemi, i SOC sono in grado di identificare e mitigare più rapidamente le minacce alla sicurezza. Ciò riduce al minimo i potenziali danni e le violazioni dei dati e aiuta le organizzazioni a restare al passo con il mutevole panorama delle minacce.
In generale, i ruoli principali in un team SOC includono:
SOC manager: il SOC manager gestisce il team, supervisiona tutte le operazioni di sicurezza e riferisce al CISO (Chief Information Security Officer) dell'organizzazione.
Ingegneri di sicurezza: sviluppano e gestiscono l'architettura di sicurezza dell'organizzazione. Gran parte di questo lavoro comporta la valutazione, il test, la raccomandazione, l'implementazione e la manutenzione di strumenti e tecnologie di sicurezza. Gli ingegneri della sicurezza lavorano anche con i team di sviluppo o DevOps/DevSecOps per assicurarsi che l'architettura di sicurezza dell'organizzazione sia inclusa nei cicli di sviluppo delle applicazioni.
Analisti della sicurezza: chiamati anche investigatori della sicurezza o addetti alla risposta agli incidenti, gli analisti della sicurezza sono essenzialmente i primi a rispondere alle minacce o agli incidenti di cybersecurity. Gli analisti rilevano, indagano e assegnano priorità alle minacce per poi identificare gli host, gli endpoint e gli utenti interessati e intraprendere le azioni appropriate per mitigare e contenere l'impatto, la minaccia o l'incidente. (In alcune organizzazioni, gli investigatori e gli addetti alla risposta agli incidenti hanno ruoli separati classificati rispettivamente come analisti di livello 1 e di livello 2.)
Rilevatori di minacce: chiamati anche analisti esperti di sicurezza o analisti SOC, i rilevatori di minacce si specializzano nel rilevamento e nel contenimento delle minacce avanzate, il rilevamento per le minacce nuove o le loro varianti che possono superare le difese automatizzate.
Il team SOC può includere altri specialisti, a seconda delle dimensioni dell'organizzazione o del settore. Le aziende più grandi possono includere un Direttore della risposta agli incidenti, responsabile della comunicazione e del coordinamento della risposta agli incidenti. Alcuni SOC includono anche investigatori forensi, specializzati nel recupero di dati (indizi) da dispositivi danneggiati o compromessi in un incidente di sicurezza informatica.
Cos'è DevOps?
Che cos'è DevSecOps?
Impara dalle sfide e dai successi dei team di sicurezza di tutto il mondo.
Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Protezione dalle minacce informatiche grazie alla prevenzione 24 ore su 24, 7 giorni su 7 e al rilevamento e alla risposta più rapidi e basati sull'AI.
IBM Security X-Force Cyber Ranges mette alla prova i tuoi team e mostra come prepararsi per il giorno peggiore della tua organizzazione.
Scopri di più su questi team interni di sicurezza IT che difendono dagli attacchi informatici e rafforzano la tua strategia di sicurezza.
Leggi i risultati di un'indagine condotta su oltre 1000 membri di team SOC in tutto il mondo in merito a velocità, tempi di risposta, rilevamento e automazione.