I Security Operations Center (SOC) sono parte integrante degli sforzi delle organizzazioni per combattere le minacce alla sicurezza. Un SOC è un team di esperti centralizzato e dedicato che utilizza una varietà di strumenti per proteggersi dalle minacce attraverso le identificazioni dei punti deboli del sistema in modo proattivo, la rilevazione e l’analisi delle minacce in tempo reale in modo da contrastarle.
I requisiti del SOC sono spesso sottovalutati e non allineati rispetto all’organizzazione, con conseguente insoddisfazione in termini di prestazioni. Le organizzazioni, a causa della mancata consapevolezza delle differenze tra i diversi modelli di SOC, possono essere indotte a selezionare modelli “antiquati” o personalizzati che non soddisfano, alla fine, gli aspetti necessari di sicurezza. Ancora, il SOC, se utilizzato in modo lineare o statico, rischia di non allinearsi ai cambiamenti organizzativi e/o agli scenari delle minacce.
L’e-procurement che verrà: come il digitale è pronto a cambiare il mondo degli appalti
È doveroso sottolineare che la scelta del modello SOC dipende da una adeguata conoscenza delle esigenze dell’organizzazione: approfondiamo il tema della scelta con il supporto del report “SOC Model Guide” di Gartner, che vuole essere uno strumento di supporto ai responsabili della sicurezza e della gestione dei rischi in modo da sostenerli nella identificazione del modello SOC più idoneo alle proprie esigenze.
Come scegliere il SOC più adatto alla propria azienda
Nell’orientarsi è quanto mai importante:
- Selezionare un SOC in base alla architettura IT dell’organizzazione, al personale tecnico a disposizione, ai processi ed alle priorità aziendali.
- Valutare continuamente il modello SOC per capire quali modifiche attuare in base alle mutevoli esigenze dell’organizzazione, ai casi d’uso, alle risorse disponibili, ai rischi ed alle minacce ed ai fattori ambientali.
Dalla guida di Gartner si evince che entro il 2025 il 90% organizzazioni utilizzerà un modello SOC Ibrido ed esternalizzerà il 50% del carico di lavoro operativo. Inoltre, sempre entro il 2025, il 33% delle organizzazioni avrà difficoltà nel costruire un modello SOC Interno efficace a causa della scarsità di budget, di competenze e di personale.
La guida evidenzia che, in un mondo post-Covid, i leader della sicurezza e della gestione dei rischi (SRM) si sono resi conto che possono fornire operazioni di sicurezza (SecOps) e funzioni SOC senza una posizione fisica e con metodi e processi non standard. Ovvero, i modelli di SOC sono destinati a variare in base agli obiettivi, tenendo in considerazione fattori quali: la tolleranza al rischio, il contesto in cui operano, il livello di maturità dell’organizzazione, le competenze a disposizione, i processi, le procedure e gli strumenti utilizzati.
Pertanto, un modello moderno di SOC deve fornire funzionalità mirate di rilevamento e risposta alle minacce in base alle priorità aziendali. Inoltre, uno scenario caratterizzato da minacce in continua evoluzione e dal rapido cambiamento delle trasformazioni digitali implica la necessità di dotarsi di un modello moderno di SOC che sia sufficientemente flessibile per fronteggiare qualsiasi cambiamento e consentire ai leader SRM e all’azienda di cambiare modello secondo necessità.
È doveroso ricordare che i SOC sono principalmente focalizzati sulla sicurezza basata sull’IT, ma possono anche includere funzioni che gestiscono altre aree quali: la sicurezza fisica e le frodi. Di fatto, i SOC sono responsabili dell’identificazione dei problemi e degli incidenti di sicurezza e del coordinamento tra le diverse funzioni dell’organizzazione per: gestire le risposte di sicurezza; registrare e misurare tali processi; garantire una politica di sicurezza efficace.
Come si costruisce un SOC
La costruzione e la gestione di un SOC è un viaggio sine die, ovvero implica la continua soddisfazione delle esigenze dell’organizzazione a fronte di cambiamenti in termini di: obiettivi aziendali, processo di digitalizzazione ed innovazione, fornitori di servizi cloud, funzione di sicurezza e relativa strategia, scenari delle minacce. Pertanto, si tratta di partire dalla conoscenza del contesto. Ovvero, i responsabili della sicurezza devono collaborare con le varie funzioni dell’organizzazione e le parti interessate per censire le capacità, le competenze, i processi e gli strumenti delle operazioni di sicurezza attuali e identificarne i punti di cedimento/lacune in modo tale da mappare le funzionalità correnti del SOC, le caratteristiche desiderate e le future evoluzioni affinché tutte le parti interessate ne traggano valore, come si evince dalla matrice SOC di seguito riportata.
Le tre tipologie di SOC: quale scegliere
Secondo quanto si evince dalla guida, qualsiasi versione di un modello SOC può essere allineata a uno delle seguenti tre tipologie.
SOC Ibrido
Si tratta del modello di SOC più diversificato – rispetto alle altre due tipologie – che si avvale di risorse sia interne sia esterne per soddisfare le esigenze dell’organizzazione. È doveroso sottolineare che non esiste un modello o di implementazione “corretto” o “sbagliato” di SOC Ibrido a causa della sua flessibilità. La guida fornisce un esempio di modello SOC Ibrido che esternalizza alcune funzioni a un provider, mantenendo all’interno ciò che l’organizzazione ha valutato di poter gestire.
Il SOC Ibrido, generalmente, dispone di un servizio di sicurezza gestito (MSS), un rilevamento e risposta gestiti (MDR) o un provider SIEM gestito/co-gestito (Comsiem). Molte organizzazioni esternalizzano le operazioni di threat intelligence e threat hunting a fornitori di terze parti a causa dei requisiti e delle competenze specifiche richieste. È doveroso ricordare che questa tipologia di modello può essere dotata sia di un hybrid Network Operation Center (NOC) sia di una funzione SOC con requisiti e operazioni ben definite.
Il modello di SOC Ibrido può ridurre le operazioni h24, 7 giorni su 7 ed essere utilizzato sia dalle PMI sia dalle grandi organizzazioni in quanto permette di ovviare alle carenze di personale IT, alla indisponibilità delle competenze tecniche, ai vincoli di budget e al costo considerevole delle operazioni di sicurezza 24 ore su 24, 7 giorni su 7.
SOC Interno
Si tratta di una funzione centralizzata di rilevamento e di risposta alle minacce h24, 7 giorni su 7, con un team dedicato e processi e flussi di lavoro sostenuti. Esso possiede tutte le risorse necessarie per le operazioni di sicurezza quotidiane e continue. Solitamente alcune funzioni – come il penetration test, il red team, il reverse engineering di malware o l’impiego di fonti esterne di threat intelligence – possono essere esternalizzate; mentre le altre funzioni principali del SOC e le operazione di routine sono fornite dal team interno.
Si tratta di SOC idonei per organizzazione che dispongono di budget importanti in grado di dotarsi di 10-12 persone per coprire la turnazione h24 e 7 giorni su 7 e in possesso di numerose licenze per strumenti di sicurezza, di process library e playbook.
Le organizzazioni, solitamente, optano per un SOC interno quando non è possibile implementare un modello esterno a causa di:
- Normative e regolamentazioni o particolari problematiche di governance oppure devono far fronte a specifiche minacce.
- Impossibilità di esternalizzazione delle competenze e delle conoscenze specialistiche del business.
- Mancato supporto di servizi di sicurezza di terze parti in termini di stack tecnologico.
SOC a più livelli (tiered)
L’organizzazione dispone internamente di più SOC gestiti in modo indipendente e sincronizzati da un top-tier SOC per fornire in modo unificato il rilevamento e la risposta alle minacce. In particolare, il top-tier SOC è responsabile di:
- Guidare e coordinare sia le operazioni di intelligence riferite alla minacce sia la reportistica.
- Gestire l’incidente.
- Definire sia la procedura operativa standard per il processo SOC ed i playbook sia gli standard tecnologici dei vari SOC (i.e. SIEM, EDR e NDR).
I SOC a più livelli vengono generalmente impiegati in organizzazioni di grande dimensioni e operanti in diverse aree geografiche oppure da fornitori di servizi MSS e da enti/istituzioni che forniscono servizi condivisi.
Test e valutazione del modello SOC: i passaggi da fare
Il modello SOC adottato deve essere continuamente testato e valutato per garantire che sia allineato agli obiettivi dell’organizzazione e mantenuto a un livello operativo efficace ed efficiente. A tal proposito la guida Gartner fornisce una tabella contenente alcune domande/azioni di esempio da utilizzare nel processo di test/valutazione del SOC, come si evince dalla figura di seguito riportata.
Conclusione
I SOC sono una componente essenziale dell’infrastruttura di sicurezza di un’organizzazione. Essi sono responsabili del monitoraggio, del rilevamento e della risposta alle minacce informatiche. Un SOC ben gestito offre gli strumenti e le conoscenze di sicurezza necessari per mantenere un ambiente IT sicuro e resiliente. Inoltre, secondo le ultime tendenze nel monitoraggio della sicurezza, si registra l’adozione sempre più diffusa di approcci maggiormente proattivi e avanzati per il rilevamento e la risposta alle minacce.
Inoltre, la tendenza verso modelli di lavoro remoto e basati su cloud ha aumentato l’importanza dei SOC, in quanto consentono alle organizzazioni di mantenere la visibilità e il controllo della sicurezza anche quando i loro dipendenti lavorano in remoto. Altre tendenze relative ai SOC prevedono l’uso dell’intelligenza artificiale e dell’apprendimento automatico per automatizzare e migliorare il rilevamento e la risposta alle minacce e l’uso dei servizi MDR. Le organizzazioni in futuro dovranno sempre più comprendere l’importanza di rimanere al passo con le ultime tendenze e le best practice nella gestione dei SOC in modo da gestire le sfide dei contesti in cui si trovano ad operare e garantire sempre di più la operational e cyber resilience .
