Soc cos’è un security operation center a cosa serve e perché tutti gli MSP lo cercano?
La risposta è tutta, o quasi, nel sondaggio esclusivo che ReeVo ha condotto e presentato nel corso di una straordinaria presentazione di Emanuele Briganti, Sales Solution Architect con Alessandro Siracusa, Head of Cybersecurity, di ReeVo davanti a oltre 400 MSP italiani. Un pubblico record che si è dato appuntamento in occasione del recente appuntamento con l’MSP DAY, il più grande e unico evento italiano dedicato ai managed service provider.
MSP DAY costituisce ogni anno l’occasione per conoscere i trend più significativi per quanto riguarda i servizi gestiti, in particolare quelli relativi alla cybersicurezza. Tra i dati più rilevanti del survey realizzato da ReeVo nel 2023 è emersa in maniera particolarmente significativa la volontà di disporre di un servizio SOC H24 che non comporti dei cambiamenti dal punto di vista tecnologico. Tale preferenza è stata indicata dal 88% del campione intervistato.
Tale dato esprime sostanzialmente due elementi fondamentali alla base dei servizi erogati dagli MSP. Da un lato, la necessità di preservare l’investimento e il know-how acquisito dalle aziende clienti in fatto di tecnologie per la sicurezza informatica.
Emerge inoltre l’esigenza di un security operation center capace di operare in maniera agnostica rispetto agli ecosistemi e agli strumenti che le singole aziende hanno già adottato, preoccupandosi in ogni caso di verificarne l’adeguatezza, per rispondere ai requisiti di sicurezza necessari.
Vediamo pertanto cos’è un security operation center (SOC) e quali sono i vantaggi che le aziende possono ottenere quando si avvalgono di un servizio in outsourcing garantito da un managed services provider (MSP), che nella fattispecie può essere a tutti gli effetti considerato un managed security services provider (MSSP).
Il security operation center, o operativo di sicurezza (SOC) è una struttura che monitora, analizza e protegge un'organizzazione dagli attacchi informatici. Nel SOC, il traffico Internet, le reti, i desktop, i server, i dispositivi endpoint, i database, le applicazioni e altri sistemi vengono continuamente esaminati per rilevare eventuali segnali di un incidente di sicurezza.
Il personale del SOC è predisposto per lavorare con altri gruppi di esperti, ma in genere opera in maniera autonoma, grazie ad un organico composto da dipendenti con competenze IT e di sicurezza informatica di alto livello. Il SOC può essere implementato internamente, con un significativo dispendio di risorse, o esternalizzato grazie al ricorso a fornitori di servizi di terze parti, l’ambito di attività degli MSP (managed services provider).
La maggior parte dei SOC funziona 24 ore su 24, grazie a turnazioni che consentono agli operatori di osservare costantemente le attività di sicurezza e mitigare le minacce. Prima di creare un SOC, un'organizzazione deve definire la propria strategia di sicurezza informatica per allinearla agli attuali obiettivi e problemi aziendali.
I dirigenti del dipartimento fanno riferimento a una valutazione del rischio che si concentra su ciò che sarà necessario per mantenere la missione dell'azienda e successivamente fornire input sugli obiettivi da raggiungere e sulle infrastrutture e gli strumenti necessari per raggiungere tali obiettivi, nonché sulle competenze del personale richiesto.
I SOC sono parte integrante della riduzione al minimo dei costi di una potenziale violazione dei dati, poiché non solo aiutano le organizzazioni a rispondere rapidamente alle intrusioni, ma migliorano anche costantemente i processi di rilevamento e prevenzione.
La maggior parte delle grandi organizzazioni dispone di SOC interni, mentre le aziende senza il personale o le risorse per mantenerne uno in proprio possono scegliere di esternalizzare alcune o tutte le responsabilità SOC a un provider di servizi gestiti (MSP), al cloud o a un SOC virtuale ospitato. I SOC si trovano comunemente nei settori della sanità, dell'istruzione, della finanza, dell'e-commerce, del governo, delle operazioni militari e della tecnologia avanzata.
Cosa fa un centro operativo di sicurezza? La strategia generale di un centro operativo di sicurezza ruota attorno alla gestione delle minacce, che include la raccolta di dati e l'analisi di tali dati per attività sospette al fine di rendere più sicura l'intera organizzazione.
I dati grezzi monitorati dai team SOC sono rilevanti per la sicurezza e vengono raccolti da firewall, informazioni sulle minacce, sistemi di prevenzione e rilevamento delle intrusioni (IPS/IDS), sonde e sistemi SIEM (Security Information and Event Management). Gli avvisi vengono creati per comunicare immediatamente ai membri del team del centro operativo di sicurezza, quando i sistemi rilevano una possibile anomalia o indicatori di compromissione (IOC).
Le responsabilità di base di un team SOC comportano un'elevata consapevolezza di tutti gli strumenti, software, hardware e tecnologie utilizzati all'interno dell'organizzazione, ai fini di gestire in maniera efficiente e sostenibile le risorse necessarie. La continuità operativa del SOC è caratterizzata dall’esigenza che tutte le risorse funzionino correttamente e vengano regolarmente aggiornate con le patch di sicurezza più recenti.
Ciò consente ai SOC di attribuire lo stesso peso alle misure reattive e proattive poiché qualsiasi irregolarità nell'attività viene rilevata istantaneamente. I modelli comportamentali addestrano i sistemi di raccolta dati su quali attività sono sospette e possono essere utilizzati per modificare le informazioni che potrebbero essere registrate come falsi positivi. La conservazione dei registri delle attività, ovvero i log, consente la SOC di tornare indietro o individuare le azioni precedenti che potrebbero aver provocato una violazione.
Tutte le comunicazioni e le attività all'interno di un'organizzazione devono essere registrate dal SOC. La classificazione della gravità degli avvisi aiuta a garantire che gli avvisi più gravi o urgenti vengano gestiti per primi. Il SOC deve classificare regolarmente le minacce alla sicurezza informatica in termini di potenziali danni.
Una delle attività fondamentali del SOC consiste nella redazione di un piano di risposta agli incidenti (IRP) per difendere i sistemi da attacchi vecchi e nuovi. Gli esperti del security operation center devono adattare ed aggiornare i contenuti del piano qualora intervengano nuove informazioni.
Il ripristino degli incidenti consente a un'organizzazione di recuperare i dati compromessi. Ciò include attività come la riconfigurazione, l'aggiornamento e il backup dei sistemi informativi. Il mantenimento della conformità è al tempo stesso fondamentale per garantire l’osservanza degli standard normativi e organizzativi vigenti durante l'esecuzione dei piani aziendali.
Ulteriori funzionalità SOC potrebbero includere reverse engineering, analisi forense, telemetria di rete e crittoanalisi. Attività di cybersecurity implementabili in base alle specifiche esigenze dell'organizzazione che si intende proteggere.
L’edizione 2023 di MSP DAY ha peraltro consentito di identificare l’inversione di rotta di un SOC moderno rispetto alle procedure di cybersicurezza tradizionali.
In particolare, negli ultimi cinque anni, alcuni SOC si sono evoluti tantissimo. Se fino a qualche tempo fa un SOC entrava in azione sulla base del rilevamento di una anomalia o di un problema da parte del cliente, per poi tentare di risolverlo, oggi vi è la necessità di una maggior tempestività d’azione sia lato preventivo, sia lato difesa.
Il SOC di ReeVo è proprio l’anello di congiunzione e di integrazione tra il mondo della prevenzione cyber e quello della difesa, garantendo alcuni principi fondamentali, tra i quali la copertura costante del servizio H24x7x365 e, appunto, l’automazione della risposta agli attacchi.
Grazie all’uso di tecnologie avanzate di analisi, correlazione eventi, il SOC ReeVo cerca proattivamente di anticipare potenziali problemi prima che accadano e – in caso di incident – dispone dei livelli di automazione delle risposte grazie alla componente di SOAR (security orchestration, automation and response) fondamentali per contrastare senza alcun indugio, un attacco e limitandone di molto la portata.
Tra queste azioni automatiche ReeVo include ad esempio l’isolamento del client compromesso, la modifica di policy sul firewall o, ancora, il blocco dell’utenza su Active Directory con relativa forzatura di un cambio password.
La tecnologia quindi raccoglie e produce tante informazioni. Chiaramente l’uso corretto delle stesse (ad esempio alzando o abbassando la severità di un segnale) dipende anche dal know-how degli esperti che operano quotidianamente nel SOC chiamati a valutare il contesto in cui gli eventi o gli attacchi si verificano. Questo vale anche per limitare l’effetto di falsi positivi.
Il SOC di ReeVo, secondo il dato aggiornato al maggio 2023, ha gestito ben 8921 incidenti di sicurezza informatica, con origini che vanno ormai ben oltre la rete intesa in senso tradizionale. Un SOC deve essere in grado di monitorare aspetti come il mobile, il cloud, i container o le API, così come essere estremamente attento ad argomenti di threat intelligence come quelli che coinvolgono le attività come il dark web e il deep web, dove avviene buona parte del traffico criminale.
Un ulteriore aspetto è relativo alla difficoltà oggettiva di trovare professionisti da integrare nei team dei security operation center, che richiedono competenze importanti sia dal punto di vista tecnologico che per quanto concerne la capacità di lavorare sotto pressione, potenzialmente 24/7 per 365 giorni all’anno. Il cybercrimine, com’è ampiamente noto alle cronache, non va mai in vacanza, anzi, sfrutta i periodi in cui è possibile un possibile “rilassamento” delle misure di protezione per sferrare i propri attacchi più violenti.
Se implementato correttamente, un centro operativo di sicurezza può fornire a un'organizzazione numerosi vantaggi, inclusi i seguenti: monitoraggio e analisi ininterrotti per attività sospette; miglioramento dei tempi e delle pratiche di risposta agli incidenti; riduzione dei divari tra il tempo di compromissione e il tempo medio di rilevamento; risorse software e hardware centralizzate per un approccio alla sicurezza più olistico; comunicazione e collaborazione efficaci; costi ridotti al minimo associati agli incidenti di sicurezza informatica; clienti e dipendenti che si sentono più a loro agio nel condividere informazioni sensibili; maggiore trasparenza e controllo sulle operazioni di sicurezza; e una catena di controllo stabilita per i dati, necessaria se ci si aspetta che un'organizzazione persegua coloro che sono attribuiti a un crimine informatico.
Uno dati più rilevanti del sondaggio condotto da ReeVo per l’edizione 2022, consisteva nel fatto che il 51% degli MSP coinvolti avesse chiesto un servizio co-managed di SOC H24, mentre il 41% ha fatto espressa richiesta di servizi di Penetration Test. A questo proposito, pur offrendo anche questo tipo di servizio, ReeVo caldeggia sempre più l’uso di Cyber Attack Simulation, in grado di simulare penetration test in maniera continuativa con milioni di attacchi, ma senza mai impattare i sistemi di produzione, siano essi IT ma anche IOT e OT. La cyber attack simulation è anche utile per prevenire attacchi cui sarebbe oggetto l’infrastruttura, per via di modifiche, upgrade o in generale, evoluzioni a cui l’IT sta pensando.
I dati relativi al 2023 confermano l’esigenza di garantire ai clienti un monitoraggio costante, in tempo reale e, soprattutto, la capacità di reagire dinamicamente appena identificata una minaccia. In questi aspetti risiede la vera sfida della rivoluzione “as a service” su cui ReeVo è pronta grazie al proprio ecosistema completo di servizi di cybersecurity.
