Che cos’è un Security Operations Center?

La capacità di monitorare e rilevare un incidente di sicurezza rappresenta un fattore fondamentale all’interno di un’azienda, ottenibile tramite una opportuna implementazione e gestione del sistema di rilevamento delle minacce.

Un sistema di questo tipo è quindi assolutamente critico, soprattutto nel caso in cui i servizi da proteggere siano essenziali per la società e l’economia oppure presenti in settori di utilità pubblica, come finanza, trasporti, sanità e servizi digitali.

Indice degli argomenti

  1. Qual è la definizione di un Security Operations Center (SOC)?
  2. Quale sono le principali funzioni svolte da un Security Operations Center?

La funzione di un Security Operations Center (SOC) è quella di monitorare, individuare, investigare e rispondere alle minacce di cybersecurity in modo costante, 24 ore su 24.

Questo team ha quindi il compito di controllare e proteggere diversi asset come proprietà intellettuale, dati personali, sistemi di business e integrità del proprio brand.

Qual è la definizione di un Security Operations Center (SOC)?

Secondo Wikipedia, un Security Operations Center (SOC) è un centro tramite il quale vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi dell’azienda stessa (SOC interno) o di clienti esterni.

Un SOC può anche fornire servizi di Incident Response, svolgendo in questo caso la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente differenti. Alcune grandi aziende dispongono infatti di un SOC e di un CERT separati.

Quale sono le principali funzioni svolte da un Security Operations Center?

Di seguito vengono elencate le 10 principali funzioni svolte da un SOC.

  1. Individuazione e valutazione delle risorse disponibili

Il SOC è responsabile di due tipi di asset: quelli che deve salvaguardare e i tool di difesa che esso utilizza per portare a termine tale missione.

È quindi fondamentale che il SOC abbia completa visibilità e controllo di tutti i dispositivi presenti in azienda, compresi quelli in cloud e i servizi di terze parti. Infine il SOC dovrebbe avere visibilità anche di tutti gli strumenti di cybersecurity utilizzati per difendere la propria azienda.

2. Mantenimento di misure preventive

I membri di un team SOC devono essere sempre aggiornati sulle ultime news in fatto di sicurezza e i trend di cybersecurity in corso.

Il SOC si occupa inoltre di implementare azioni in grado rendere il successo di un attacco molto più difficile, ad esempio tramite la manutenzione regolare e aggiornamento dei propri sistemi.

3. Monitoraggio proattivo e continuo

Gli strumenti utilizzati dal SOC devono effettuare una scansione della rete 24 ore su 24 in modo da individuare subito anomalie o attività sospette ed essere immediatamente notificati della presenza di nuove minacce.

Gli strumenti di monitoring maggiormente utilizzati possono includere SIEM o EDR i quali, se avanzati, riescono a minimizzare il numero di falsi positivi.

4. Gestione degli alert

Nel momento in cui vengono segnalati eventuali alert, è responsabilità del SOC ispezionarli uno per uno, eliminando gli eventuali falsi positivi e iniziando a gestire le issue più critiche.

5. Risposta alle minacce

Appena un incidente di sicurezza è confermato, il SOC è il primo ad agire rimuovendo o isolando i punti colpiti, terminando i processi pericolosi, cancellando file o altro ancora.

L’obiettivo è quello di rispondere alla minaccia causando il minimo impatto possibile sul business.

6. Recupero in seguito ad un incidente di sicurezza

Il SOC provvederà quindi a ripristinare i sistemi affetti e a recuperare qualunque dato perso o compromesso. Ciò potrebbe includere anche l’utilizzo di backup, specialmente nel caso in cui alcuni sistemi siano stati colpiti da attacchi basati su ransomware.

7. Gestione dei log

Il SOC è responsabile della raccolta, mantenimento e revisione dei log di tutte le attività network per l’intera organizzazione.

Questi dati aiutano a definire una baseline delle attività regolari in modo da individuare le minacce con maggior precisione o rispondere con maggior efficacia in caso di incidente.

8. Investigazione della causa principale

Ad incidente avvenuto, il SOC ha la responsabilità di comprendere cosa è esattamente accaduto, oltre che quando, come e perché. Nel corso di tale indagine, il SOC utilizza i dati di log raccolti in precedenza.

9. Aggiornamento delle misure implementate

Il SOC deve continuamente aggiornare le proprie conoscenze e tool in modo da stare al passo con le ultime minacce di cybersecurity emergenti.

10. Gestione delle compliance

Alcuni dei processi SOC sono guidati da requisiti di compliance. Per questo motivo il SOC è responsabile dell’auditing continuo dei propri sistemi in modo da assicurare il rispetto delle diverse regolamentazioni, quale ad esempio il GDPR per i dati personali.

Conclusioni

Le numerose competenze e le capacità altamente specialistiche necessarie a far funzionare un SOC in modo completo, nonché la stretta relazione con le strategie di business e i processi aziendali, rendono la progettazione e gestione di un Security Operations Center uno dei fattori più critici all’interno di una qualunque azienda moderna.

Infine, la formazione e l’aggiornamento continuo dei membri del team sono elementi fondamentali affinché un SOC sia in grado di tenere il passo con il continuo sviluppo di nuove minacce e l’aumentare della sofisticatezza degli attacchi.

Scopri la nostra proposta di corsi sulla sicurezza informatica di Dgroove: corsi specialistici sulle tecnologie e la cultura della sicurezza informatica, dal secure coding alla certificazione per Ethical Hacker.