Il Security Operation Center assicura il monitoraggio dello stato di sicurezza di sistemi IT e OT, in modo da individuare le vulnerabilità e mettere in campo le azioni appropriate in un processo che muove dal vulnerability assessment alla risoluzione dell’incidente. La protezione di molte risorse, come la proprietà intellettuale, i dati del personale, i sistemi aziendali e l’integrità del marchio fa parte del completamento del processo di digital transformation di un’azienda.
Cos’è un Security Operation Center
Ritenuto un’attività strategica per le organizzazioni, il Security Operation Center o SOC è un centro operativo che ospita un team di sicurezza delle informazioni responsabile del monitoraggio e dell’analisi dello stato di sicurezza delle aziende e organizzazioni. Oltre agli obiettivi di rilevazione e analisi, il team SOC è prezioso perché può essere chiamato a fornire una risposta agli incidenti di sicurezza informatica. Un Security Operation Center agisce come un’architettura hub-and-spoke e controlla tutta l’infrastruttura IT di un’organizzazione, comprese le sue reti, i dispositivi e gli archivi di informazioni, ovunque risiedano tali risorse.
Monitoriamo device, reti e sistemi dei nostri clienti e garantiamo
la sicurezza degli endpoint, delle comunicazioni e delle applicazioni
Un approccio proattivo per la resilienza delle infrastrutture
Le infrastrutture critiche (pubbliche e private) e le organizzazioni devono affrontare sfide sempre più pressanti sul fronte della sicurezza. Il numero di attacchi cyber è aumentato vertiginosamente negli ultimi anni, basti leggere i dati forniti nell’ultimo rapporto dell’Osservatorio Clusit o anche solo ricordare i recenti attacchi alle infrastrutture del settore energetico di cui avevamo parlato qui.
Fornire le giuste risposte a specifiche minacce significa raccogliere tutte le informazioni provenienti da diversi sistemi eterogenei ed aggregarle tra loro, in modo da riuscire a coordinare una corretta reazione con le procedure operative. Per far questo è importante allenarsi ad evitare ogni approccio di tipo reattivo, capace di fronteggiare le minacce solo nel momento in cui si verificano, e impiegare invece un approccio di tipo proattivo, che anticipa le minacce e fornisce al team tempo prezioso per affrontarle. A questo è utile anche lo UEBA, il processo per cui si analizza automaticamente il comportamento degli utenti tramite modelli di machine learning e forecasting, in modo da comprenderne comportamenti anormali e identificando automaticamente anomalie per lanciare poi l’allarme.
Il SOC in livelli
DETECT
Un team di Security Specialist monitora in maniera proattiva gli scambi di dati tra l’interno e l’esterno dell’azienda
DIAGNOSE
Un team di analisti di verifica dei log di sistemi e degli utenti per elaborare una diagnosi
REMEDIATE
Operazioni di Incident Response e validazione finale dell’eradicazione della minaccia
Inoltre, delle importanti considerazioni per la valutazione del servizio sono la conformità o meno del SOC alla certificazione ISO 27001 e l’effettiva adozione degli standard e framework riconosciuti a livello internazionale, come il NIST e il CSIRT.
Quali figure lavorano all’interno del Security Operation Center
Nel Security Operation Center lavora un team composto da varie figure esperte di sicurezza informatica, quali il SOC manager, il Security Operation Manager e gli analisti SOC, che monitorano i dati. Il team dev’essere formato da professionisti del settore perché le minacce sono spesso nascoste e la preparazione dei tecnici in questo contesto fa davvero la differenza.
Esternalizzare questo tipo di servizio è utile perché non tutte le aziende sono strutturate per organizzare internamente un SOC data la complessità di un’infrastruttura del genere e la difficoltà di questo tipo di lavoro. In aggiunta, il team dovrebbe adottare un approccio Zero Trust per la protezione dei dati degli utenti; quando un utente o un dispositivo richiede l’accesso agli asset di lavoro si deve verificare l’attendibilità della richiesta, applicando controlli policy-based in modo coerente.
Le sale operative di Intellisync
Il tempo è denaro, ma non solo
In ciascuna delle fasi del processo di risposta agli incidenti, il tempo è un fattore critico. Si richiede una risposta tempestiva ed efficiente, indipendentemente che si tratti di rilevare un attacco o di neutralizzarlo. Rispondere accuratamente agli attacchi può produrre un impressionante ritorno in termini di investimenti e le aziende dotate di un team di IR sostengono costi inferiori rispetto a quelle che ne sono sprovviste. Ma il danno prodotto dagli attacchi quali ransomware o data breach non si limita a quello finanziario, perché ogni singola azienda fa parte di un’ampia value chain e, di conseguenza, un incidente isolato può causare effetti negativi anche a distanza di tempo. Il monitoraggio dell’infrastruttura a livello di sicurezza (di cui puoi leggere qui) consente di acquisire un vantaggio competitivo anche grazie a tutti quei servizi proattivi quali security awareness, early warning, vulnerability assessment e penetration test.
Il team di Intellisync è formato da persone altamente specializzate con certificazione Fortinet, Cisco e Splunk. Richiedi una consulenza ai nostri esperti
