Che cos'è un centro per le operazioni di sicurezza (SOC)?

Un'azienda ospita il proprio team di sicurezza informatica.

Un team di sicurezza che lavora da remoto.

Gruppi più grandi e di alto livello che supervisionano i SOC più piccoli.

Il reparto IT di un'azienda collabora con un fornitore o una fornitrice di un SOC esterno per gestire la sicurezza.

I/le responsabili del SOC dirigono la propria organizzazione a un livello superiore, che include la gestione del personale, il budgeting e delle priorità. In genere, lavorano un gradino sotto un CISO (Chief Information Security Officer).

Reagiscono e analizzano gli avvisi di sicurezza nel momento in cui si verificano. Utilizzano tipicamente una gamma di strumenti di monitoraggio per analizzare la gravità degli avvisi e intervengono una volta che un avviso è stato etichettato come un incidente rilevante.

Cacciatori e cacciatrici di minacce cercano in modo pro-attivo minacce e punti deboli all'interno di una rete. Idealmente, identificano minacce e vulnerabilità prima che possano avere un impatto sull'azienda.

L'analista, che indaga e raccoglie informazioni dopo un attacco, conserva le prove digitali per future misure preventive.

Sono responsabili dell'escalation di potenziali minacce dopo un' analisi delle stesse e la determinazione dei livelli di gravità.

Il SOC è responsabile di dispositivi, applicazioni e processi, nonché di strumenti difensivi per garantire una protezione costante.

Le risposte possono essere messe in atto rapidamente, ma un team ben attrezzato deve comunque prepararsi e adottare misure preventive per garantire la resilienza informatica.

Il monitoraggio deve essere eseguito 24 ore su 24, 7 giorni su 7, in quanto possono verificarsi anomalie o attività sospette in qualsiasi momento della giornata. Un sistema di monitoraggio SOC per 24 ore su 24 può essere immediatamente informato, il che consente di rispondere tempestivamente agli incidenti. Alcune organizzazioni distribuiscono strumenti di monitoraggio come una soluzione EDR e la maggior parte include una soluzione SIEM, entrambi dotati di funzionalità che consentono di analizzare la differenza tra operazioni normali e comportamenti simili a quelli delle minacce.

Il SOC è responsabile di osservare attentamente ogni avviso proveniente dagli strumenti di monitoraggio. Ciò offre l'opportunità di valutare adeguatamente le minacce.

Un'azienda ha bisogno di tempi di inattività della rete minimi per mantenere le operazioni. Il SOC notifica all'azienda qualsiasi violazione della sicurezza che possa avere ripercussioni sulla rete.

Il SOC funge da primo soccorso in caso di un incidente di sicurezza. Si possono eseguire azioni come isolare gli endpoint, terminare i processi dannosi, impedire l'esecuzione dei processi ed eliminare i file. Idealmente, il SOC garantisce che l'incidente di sicurezza causi tempi di inattività ridotti al minimo.

Il SOC funzionerà per ripristinare i sistemi e recuperare tutto ciò che è stato perso. Parte di questo processo può includere il riavvio e la cancellazione degli endpoint, la distribuzione dei backup o la riconfigurazione dei sistemi.

Il SOC raccoglie e rivede i registri di tutte le attività di rete per l'intera organizzazione. I registri contengono dati che possono indicare una baseline per la normale attività di rete e che cosa potrebbe essere indicativo di una minaccia; tali dati aiutano anche nelle analisi forensi in seguito a un incidente.

Dopo l'incidente, è responsabilità del SOC ricercare la causa originaria di un incidente di sicurezza. Si possono utilizzare i dati di registro per trovare una possibile fonte o identificare un'anomalia, in cui è possibile applicare misure preventive.

Le misure di sicurezza appropriate richiedono una costante vigilanza, che include l'affinamento e il miglioramento delle misure di sicurezza. Vengono applicati i piani delineati in una roadmap per la sicurezza a cui vengono costantemente aggiunte delle misure contro i criminali informatici, che stanno sempre perfezionando i loro metodi.

La presenza del SOC da diversi anni ha portato a una serie di best practice.

Un SOC monitora l'attività di rete 24 ore su 24, 7 giorni su 7, consentendo una risposta rapida agli incidenti. Nel momento in cui viene rilevata una minaccia, il team SOC deve rispondere in maniera tempestiva per garantire che la minaccia venga neutralizzata prima che possa contribuire a qualsiasi inattività o causare la perdita di dati o privacy.

I sistemi di machine learning hanno la funzionalità di monitorare i registri e i flussi di traffico, che funzionano su un algoritmo addestrato per rilevare le anomalie e segnalare immediatamente le attività sospette. Ciò consente di risparmiare tempo e permettere agli operatori della sicurezza di concentrarsi su modelli e anomalie e di lavorare in modo più efficiente.

Il cloud ha reso più complessa la sicurezza informatica, in quanto una serie di dispositivi interconnessi ha permesso ai criminali informatici di avere a disposizione una superficie più ampia per penetrare in un firewall. Tutte le connessioni dell'infrastruttura cloud devono essere analizzate per identificare dove è possibile individuare minacce e vulnerabilità.

I criminali informatici stanno diventando sempre più innovativi nei loro metodi di attacco. I team addetti alla sicurezza informatica devono adottare un approccio altrettanto innovativo e creativo per i piani preventivi in previsione di minacce in continua evoluzione.

È essenziale che un'organizzazione protegga i propri dati e asset. Un SOC è in grado di proteggere una rete e garantire che un'organizzazione sia meno vulnerabile agli attacchi, garantendo la massima tranquillità a clienti e dipendenti.

Tutto il traffico di rete da fonti interne ed esterne, inclusi server, database e router.

Un Network Operations Center (NOC) si concentra sul monitoraggio del tempo di attività di una rete anziché sulle minacce alla sicurezza informatica.

Security Information and Event Management (SIEM) è una soluzione di monitoraggio della rete che fornisce avvisi e benchmark di utilizzo della rete per i team SOC.