Security Operation Center (SOC): cos'è e perché da solo non basta

Dall'introduzione dei Security Operations Center (SOC) circa 15 anni fa, la loro importanza è cresciuta gradualmente, ma in modo significativo, soprattutto negli ultimi anni. Ciò è dovuto principalmente all’incremento esponenziale degli attacchi informatici anche gravi, alla fondamentale necessità di prevenirli e alla conseguente adozione di operazioni di sicurezza centralizzate nelle aziende.

Analizzando pro e contro, è possibile comprendere i motivi del ricorso a un SOC in outsourcing mediante ricorso ai Managed Security Services.

Anche con questo accorgimento, tuttavia, la sola presenza del SOC può non essere sufficiente alla piena situational awareness. Normalmente, infatti, dovrebbe comprendere tanto informazioni dall’interno del perimetro aziendale quanto dall’esterno, mediante dotazione di Cyber Threat Intelligence.

Definizione e composizione di un SOC

Per definire e capire in cosa consiste un SOC si può consultare la specifica pubblicazione dell’ENISA, l’agenzia per la sicurezza europea, che ha emesso le linee guida dedicate proprio ai Computer security incident response teams e ai SOC, dal titolo “How to setup up CSIRT and SOC".

Il SOC è un’entità che “fornisce un servizio di rilevamento degli incidenti, osservando gli eventi tecnici nelle reti e nei sistemi e può anche essere responsabile della risposta e della gestione degli incidenti. Nelle grandi imprese, i SOC a volte si concentrano solo sui servizi di monitoraggio e rilevamento, poi passano la gestione degli incidenti a un CSIRT (Computer security incident response teams) separato. Nelle organizzazioni più piccole, CSIRT e SOC sono spesso considerati sinonimi”.

Le dotazioni dei SOC permettono il monitoraggio degli eventi di sicurezza mediante tool appositi, come i sistemi di controllo perimetrale e i SIEM. Spesso è necessario che i team SOC automatizzino il proprio lavoro, adottando tecnologie per liberare gli analisti da lavori di routine e specializzarli sulle minacce più evolute.

Non di rado, sono stabiliti dei KPI per evidenziare:

• velocità di rilevamento
• ampiezza di rilevamento
• copertura
• tassi di falsi positivi
• incidenti gestiti
• rapporto tra avvisi / eventi / incidenti, numero di escalation e carico di lavoro per incidente

Tipicamente i SOC si occupano di Information security Incident management, Vulnerabillity Management, Situational Awareness, Information security event Management e Knowledge Transfer.

I benefici di business del SOC

Le capacità del SOC possono apportare diversi vantaggi a una azienda. Nello studio dal titolo “Security Operations Centers - A Business Perspective” sono elencati i più significativi: il SOC, prevenendo gli incidenti, mitigandone gli effetti e diminuendo gli impatti rovinosi normalmente collegati agli incidenti di sicurezza, portano all’azienda un immediato ROI e un’immediata elusione dai costi potenziali correlati all’effettivo accadimento di un incidente. Un conseguente beneficio è anche la protezione della reputazione aziendale sul mercato.

Un SOC, inoltre, può contribuire alle valutazioni dei rischi di sicurezza, consentendo una migliore capacità decisionale verso le azioni riduzione dei rischi, con impatti positivi sulla capacità di governance e favorendo investimenti mirati con la conseguente ottimizzazione dei costi.

Questa governance mirata e oculata può favorire la fiducia di clienti e investitori verso l’azienda facendone aumentare il core business.

Ma tutto ciò, nello scenario attuale, da solo non è più sufficiente.

Il SOC da solo non basta

Nonostante le positive ricadute per le aziende, vi sono tuttavia svariati challenges significativi per i SOC che riguardano principalmente: 

• l’identificazione di appropriate tecnologie da acquistare, da configurare secondo le esigenze e da manutenere nel tempo
• la ricerca e l’assunzione di figure competenti e capaci, da mantenere costantemente aggiornate professionalmente e da organizzare mediante processi snelli efficaci ed efficienti
• Organizzare un team in grado di operare 24/7 

In particolare, sul fronte dello staff interno è necessario anche evitare demotivazione del team e favorire il lavoro di squadra, la collaborazione e il trasferimento di conoscenza.

Sul fronte delle tecnologie è necessario perseguire l’innovazione tecnologica, l’automazione, la misura delle performance e la rispondenza alla compliance, agli standard operativi e alle best practice. È fondamentale, quindi, mantenere aggiornati i tre pillar insieme: strumenti, processi e persone (Fonte “Security Operations Center: A Systematic Study and Open Challenges”.

Protezione efficace abbinata all’intelligenza artificiale

Premesso che normalmente le aziende PMI non hanno abbastanza budget per realizzare efficacemente un SOC aziendale, è vero anche che nemmeno tutte le aziende di dimensione Corporate riescono a sviluppare un SOC interno.

Una prima soluzione possibile è il ricorso a un servizio gestito capace quindi fornire le capacità di un SOC in modalità Managed Security Service.

Considerando i costi flat correlati ai servizi attivabili con questo tipo di scelta in outsourcing, è immediatamente comprensibile il beneficio economico. Inoltre, è possibile definire SLA e KPI per verificare la bontà dell’investimento nel tempo.

Superato lo scoglio economico, tuttavia, sempre in ottica servizi di sicurezza gestiti, la sola verifica delle minacce nel perimetro interno all’azienda può rivelarsi non sufficiente a proteggere completamente l’azienda dalle minacce incombenti.

Ecco, quindi, la necessità di un passo in più, di dotarsi anche delle attività di analisi tipiche della threat intelligence in Open Source Intelligence (OSINT), nel Deep Web e nel dark Web. Queste possono aiutare nel completare la visione a 360 gradi, costituite dalle informazioni dall’interno per la situational awareness e da quelle dall’esterno. In questo modo si potrà avere una visibilità omnnicompresiva dello scenario della minaccia.

Questa full Managed Security Suite può essere considerata pienamente risolutiva.