Tradizionalmente, le funzioni di sicurezza e gestione della rete sono sempre state svolte separatamente all’interno delle organizzazioni e affidate a differenti centri operativi, ovvero NOC e SOC.
Il Network Operations Center (NOC) è la postazione incaricata di presidiare la rete e responsabile della manutenzione dell’infrastruttura tecnica dell’azienda. Il Security Operations Center (SOC), invece, è l’unità si occupa del rilevamento, della risposta e della gestione degli incidenti che coinvolgono reti e sistemi.
Il NOC funge, quindi, da prima linea di difesa contro le interruzioni e i guasti della rete, mentre il SOC è incaricato della protezione dalle minacce informatiche. Sebbene i due centri mantengano ruoli e focus differenti, l’avvento delle tecnologie basate sul cloud e la virtualizzazione dei sistemi di rete e di sicurezza hanno facilitato una collaborazione più stretta tra le due funzioni.
Dal momento, infatti, che gli elementi critici dell’infrastruttura di rete sono sempre più esternalizzati, l’attenzione dei team incaricati della gestione della rete si è allargata dal mero presidio della disponibilità della rete anche ad attività legate al traffico e al consumo di banda. L’ampliamento del perimetro ha avuto un impatto anche sui team di sicurezza, alle prese con ambienti cloud dinamici e la proliferazione degli endpoint. Ciò ha fatto emergere nuove opportunità di convergenza tra NOC e SOC, nell’ottica di una maggiore protezione degli asset aziendali.
NOC e SOC, le differenze
I team NOC e SOC hanno priorità e competenze diverse. Entrambi si occupano di incidenti che possono inficiare le attività di un’organizzazione, ma diversa è l’origine degli eventi che sono chiamati a gestire. I NOC si concentrano sulla prevenzione delle interferenze di rete determinate da eventi naturali, guasti ai sistemi, interruzioni di corrente, mentre i SOC si occupano di monitorare e gestire le minacce informatiche messe in atto dai criminali informatici.
Pertanto, il NOC gestisce quegli eventi che compromettono le normali operazioni di rete: l’obiettivo è garantire che l’azienda continui a rimanere operativa ed efficiente in ogni situazione. Gli analisti del SOC hanno, invece, il compito di identificare e mitigare le minacce che intendono accedere alla rete non solo per minarne il funzionamento e l’operatività, ma spesso anche per mettere le mani su dati e asset aziendali. L’obiettivo del SOC è, infatti, quello di tutelare la disponibilità l’integrità delle risorse informative contro qualsiasi intrusione esterna.
Per garantire il raggiungimento dei rispettivi scopi, NOC e SOC sono operativi in modo pressoché costante. I NOC devono garantire buone prestazioni della rete 24 ore su 24, prevenire eventuali inattività e gestire gli aggiornamenti della rete. I SOC monitorano in modo continuo gli ambienti aziendali – rete, cloud, endpoint, identità – rilevando vulnerabilità e potenziali segnali di minaccia e rispondendo alle violazioni.
NOC e SOC, le opportunità
Pur nei rispettivi campi, NOC e SOC devono, insomma, essere dotati della capacità di monitorare il funzionamento della rete e di identificare e risolvere i problemi che interessino l’operatività dell’organizzazione. Ecco perché per proteggere in modo efficace le proprie reti le aziende dovrebbero dotarsi di entrambi i centri operativi. Una migliore collaborazione tra NOC e SOC permette infatti di migliorare la risposta alle crisi.
Per non perdere l’opportunità di incrementare la sicurezza e l’efficienza aziendale, NOC e SOC dovrebbero intensificare gli sforzi di cooperazione su alcuni elementi comuni, prima fra tutti l’attività di monitoraggio e allerta: la condivisione di informazioni e avvisi, rilevati dai rispettivi sistemi di controllo, permetterebbe di identificare potenziali minacce alla sicurezza che si manifestano come anomalie di rete e viceversa, potenziando così la visibilità sull’intera infrastruttura.
Anche a livello di incident response sono possibili sinergie interessanti: il SOC è capace di identificare e mitigare le minacce alla sicurezza, mentre il NOC individua potenziali anomalie di rete o problemi che possono indicare una compromissione. Coordinando il lavoro di entrambi i team, migliorando la comunicazione reciproca e promuovendo la collaborazione tra i team, è possibile affrontare in maniera più tempestiva l’incidente, riducendo al minimo l’impatto.
