Soc cos’è un security operation center a cosa serve e perché tutti gli MSP lo cercano?
La risposta è tutta, o quasi, nel sondaggio esclusivo che Emanuele Briganti, Sales Solution Architect Reevo Spa/CEO Reevo MSP ha condotto nel corso di una straordinaria presentazione davanti a oltre 400 MSP italiani. Un pubblico record che si è dato appuntamento in occasione del recente appuntamento con l’MSP DAY, il più grande e unico evento italiano dedicato ai managed service provider. Un successo che ha permesso di raccogliere importanti informazioni sulle tendenze in atto a partire dalla richiesta, da parte di oltre 51% dei partecipanti, di un SOC co-gestito per servire al meglio i clienti con soluzioni/servizi di sicurezza a più alto tasso di valore e soprattutto con una maggiore capacità di identificare in tempo reale le possibili minacce.
Il SOC dunque è soprattutto, oggi, uno strumento chiave per giocare e provare a vincere la partira della ripartenza digitale… sicura.
Ma come sempre proviamo ad andare con ordine e, per capire, le evidenze emerse dalla survey firmata Reevo, vediamo insieme di cosa stiamo parlando.
Un centro operativo di sicurezza (SOC) è una struttura che monitora, analizza e protegge un'organizzazione dagli attacchi informatici. Nel SOC, il traffico Internet, le reti, i desktop, i server, i dispositivi endpoint, i database, le applicazioni e altri sistemi vengono continuamente esaminati per rilevare eventuali segnali di un incidente di sicurezza. Il personale SOC può lavorare con altri team o dipartimenti, ma in genere è autonomo con dipendenti con competenze IT e di sicurezza informatica di alto livello o esternalizzato a fornitori di servizi di terze parti, e qui è il punto di attenzione per gli MSP.
La maggior parte dei SOC funziona 24 ore su 24, con i dipendenti che lavorano a turni per registrare costantemente le attività e mitigare le minacce. Prima di creare un SOC, un'organizzazione deve definire la propria strategia di sicurezza informatica per allinearla agli attuali obiettivi e problemi aziendali. I dirigenti del dipartimento fanno riferimento a una valutazione del rischio che si concentra su ciò che sarà necessario per mantenere la missione dell'azienda e successivamente fornire input sugli obiettivi da raggiungere e sulle infrastrutture e gli strumenti necessari per raggiungere tali obiettivi, nonché sulle competenze del personale richieste. I SOC sono parte integrante della riduzione al minimo dei costi di una potenziale violazione dei dati, poiché non solo aiutano le organizzazioni a rispondere rapidamente alle intrusioni, ma migliorano anche costantemente i processi di rilevamento e prevenzione.
La maggior parte delle grandi organizzazioni dispone di SOC interni, mentre le aziende senza il personale o le risorse per mantenerne uno in proprio possono scegliere di esternalizzare alcune o tutte le responsabilità SOC a un provider di servizi gestiti (MSP), al cloud o a un SOC virtuale ospitato. I SOC si trovano comunemente nei settori della sanità, dell'istruzione, della finanza, dell'e-commerce, del governo, delle operazioni militari e della tecnologia avanzata.
Cosa fa un centro operativo di sicurezza? La strategia generale di un centro operativo di sicurezza ruota attorno alla gestione delle minacce, che include la raccolta di dati e l'analisi di tali dati per attività sospette al fine di rendere più sicura l'intera organizzazione. I dati grezzi monitorati dai team SOC sono rilevanti per la sicurezza e vengono raccolti da firewall, informazioni sulle minacce, sistemi di prevenzione e rilevamento delle intrusioni (IPS/IDS), sonde e sistemi SIEM (Security Information and Event Management). Gli avvisi vengono creati per comunicare immediatamente ai membri del team se uno qualsiasi dei dati è anormale o mostra indicatori di compromissione (IOC). Le responsabilità di base di un team SOC includono quanto segue: La scoperta e la gestione delle risorse implica l'ottenimento di un'elevata consapevolezza di tutti gli strumenti, software, hardware e tecnologie utilizzati all'interno dell'organizzazione.
Questi si concentrano anche sul garantire che tutte le risorse funzionino correttamente e regolarmente patchate e aggiornate. Il monitoraggio comportamentale continuo include l'esame di tutti i sistemi 24 ore su 24, 7 giorni su 7, tutto l'anno.
Ciò consente ai SOC di attribuire lo stesso peso alle misure reattive e proattive poiché qualsiasi irregolarità nell'attività viene rilevata istantaneamente. I modelli comportamentali addestrano i sistemi di raccolta dati su quali attività sono sospette e possono essere utilizzati per modificare le informazioni che potrebbero essere registrate come falsi positivi. La conservazione dei registri delle attività consente ai membri del team SOC di tornare indietro o individuare le azioni precedenti che potrebbero aver provocato una violazione.
Tutte le comunicazioni e le attività all'interno di un'organizzazione devono essere registrate dal SOC. La classificazione della gravità degli avvisi aiuta i team a garantire che gli avvisi più gravi o urgenti vengano gestiti per primi. I team devono classificare regolarmente le minacce alla sicurezza informatica in termini di potenziali danni.
Lo sviluppo e l'evoluzione della difesa sono importanti per aiutare i team SOC a rimanere aggiornati. I team dovrebbero creare un piano di risposta agli incidenti (IRP) per difendere i sistemi da attacchi vecchi e nuovi. I team devono anche adattare il piano, se necessario, quando vengono ottenute nuove informazioni. Il ripristino degli incidenti consente a un'organizzazione di recuperare i dati compromessi. Ciò include la riconfigurazione, l'aggiornamento o il backup dei sistemi. Il mantenimento della conformità è fondamentale per garantire che i membri del team SOC e l'azienda seguano gli standard normativi e organizzativi durante l'esecuzione dei piani aziendali. In genere, un membro del team sovrintende all'istruzione e all'applicazione della conformità. Ulteriori funzionalità SOC potrebbero includere reverse engineering, analisi forense, telemetria di rete e crittoanalisi in base alle esigenze dell'organizzazione specifica.
Se implementato correttamente, un centro operativo di sicurezza può fornire a un'organizzazione numerosi vantaggi, inclusi i seguenti: monitoraggio e analisi ininterrotti per attività sospette; miglioramento dei tempi e delle pratiche di risposta agli incidenti; riduzione dei divari tra il tempo di compromissione e il tempo medio di rilevamento; risorse software e hardware centralizzate per un approccio alla sicurezza più olistico; comunicazione e collaborazione efficaci; costi ridotti al minimo associati agli incidenti di sicurezza informatica; clienti e dipendenti che si sentono più a loro agio nel condividere informazioni sensibili; maggiore trasparenza e controllo sulle operazioni di sicurezza; e una catena di controllo stabilita per i dati, necessaria se ci si aspetta che un'organizzazione persegua coloro che sono attribuiti a un crimine informatico
Tornando al sondaggio esclusivo condotto da Reevo dal palco dell’affollatissimo MSP DAY di Riccione, se il 51% degli MSP in sala ha chiesto un servizio co-managed di SOC H24, un altrettanto consistente 41% di MSP ha fatto espressa richiesta di servizi di Penetration Test. La security insomma e la capacità di garantire ai clienti un monitoraggio in tempo reale e, soprattutto, la capacità di reagire dinamicamente appena identificata una minaccia, la vera sfida della rivoluzione as a service è tutta qui e Reevo è pronta con il suo ecosistema
