Il Security Operation Center e il perché della sua urgenza

Al giorno d’oggi, è quasi impossibile negare la necessità di un sistema di sicurezza informatica. Le minacce informatiche possono concretizzarsi creando dei veri e propri incidenti in azienda, con gravi conseguenze a livello economico, legale e di immagine. Gli incidenti di sicurezza possono riguardare non solo le risorse IT, ma anche il personale stesso. Un SOC si inserisce proprio in questo contesto, fornendo un sistema di controllo completo della sicurezza informatica di un’azienda.

COS’È E COME FUNZIONA UN SECURITY OPERATION CENTER?

Un SOC (Security Operation center) è un centro operativo tramite il quale vengono garantiti i servizi di gestione, analisi, monitoraggio e difesa della sicurezza IT di un’azienda. Attraverso un team di professionisti, un SOC analizza l’intero flusso dei dati ed esercita un controllo su tutti i dispositivi aziendali, compresi quelli cloud e di terze parti, individuando e contrastando gli attacchi e le minacce alla cyber security prima che abbiano un impatto sull’azienda.

Un Security Operation Center può quindi occuparsi, nel dettaglio, di:

• supervisionare tutte le attività di gestione delle funzionalità di sicurezza legate alla rete, ai sistemi e alle applicazioni;
• monitorare in tempo reale l’infrastruttura IT per individuare tempestivamente tentativi di intrusione e di attacco;
• contrapporre misure di sicurezza agli incidenti e agli attacchi informatici;
• migliorare il livello di protezione generale dell’organizzazione.

Potremmo quindi dire che il SOC è responsabile di garantire la sicurezza delle informazioni aziendali.

IL SOC E I SUOI SERVIZI

Vi sono differenti funzioni che un Security Operation Center può ricoprire. Alcune rientrano nella mission principale di un SOC. Altre appartengono a una visione più evoluta del contesto dinamico e complesso della cyber security, e sono di fatto dei servizi aggiuntivi, che spesso si confondono con le aree di competenza del CERT (Computer Emergency Response Team), come vedremo in seguito.

In generale, possiamo dire che un SOC è preposto al monitoraggio, alla gestione delle vulnerabilità riscontrate, al risanamento e a trovare risposta a eventuali incidenti rilevati. Tra i principali servizi offerti, troviamo:

SECURITY INCIDENT DETECTION AND MONITORING

Innanzitutto, un SOC di livello 1 deve rilevare anomalie all’interno dei flussi di dati fra l’esterno e l’interno dell’azienda. Si tratta dell’attività centrale di un Security Operation Center, che si identifica tipicamente nelle 3 attività di:

• Log Management, ovvero le attività di raccolta e analisi dei dati tracciati nei messaggi di log: essa rappresenta la registrazione completa degli eventi nell’ambito della sicurezza informatica;
• Security Monitoring and Alerting, che prevede il monitoraggio sulla raccolta informativa di cui al punto precedente;
• Security Incident Management che si realizza nel supporto operativo nel trovare risposte in caso di un incidente di sicurezza informatica.

Tutte queste attività, a partire dalla raccolta delle informazioni sul traffico dei dati riguardanti server, sistemi di sicurezza, impianti IT dell’azienda, vengono effettuate attraverso i SIEM (Security Information and Event Management). Il SIEM si occupa di aggregare dati significativi provenienti da tutte queste fonti per stabilire in tempo reale analisi e correlazioni e individuare comportamenti anomali o segnali critici. In questo caso, i SIEM inviano degli alert, aiutando gli analisti a rintracciare tempestivamente gli eventuali incidenti di sicurezza.

Si tratta quindi di un servizio che include raccolta e analisi dei dati, combinate ad attività di monitoraggio e rilevamento di possibili incidenti di sicurezza. Incidenti a cui il SOC può offrire supporto rivolgendosi al team di Incident Response.

INCIDENT RESPONSE

L’Incident Response (IR), anche chiamato SOC di livello 2, è un servizio che sfocia nella sfera operativa presa in prestito dal CERT (Computer Emergency Response Team) o dal CSIRT (Computer Security Incident Response Team).

Gli esperti di IR analizzano le segnalazioni del SOC di livello 1 e le integrano con altre informazioni di Threat Intelligence in loro possesso e con dati relativi agli asset IT coinvolti nell’incidente, come configurazioni, processi gestiti o altro. Tutto questo fornendo infine assistenza nelle procedure di recovery dagli incidenti di sicurezza informatica individuati dal SOC 1.

Una volta raccolte tutte le informazioni necessarie, infatti, gli specialisti IR definiscono l’attività di risanamento e la gestiscono lavorando in sinergia sia con i responsabili dei sistemi IT sia con gli analisti del SOC di livello 1. Questo lavoro di squadra permette di risolvere problematiche molto specifiche e di suggerire agli esperti del SOC i cambiamenti da effettuare sui sistemi di sicurezza e di monitoraggio per farsi trovare pronti di fronte a future nuove minacce e rischi.

VULNERABILITY ASSESSMENT

Il servizio di Vulnerability Assessment offerto da un SOC è attribuito ad un livello 3, più specializzato nell’analisi proattiva. L’obiettivo è quello di esaminare la sicurezza di applicazioni, database, network, computer, attraverso una serie di Penetration test. Grazie a questi test, è possibile stimare i rischi della sicurezza e del rispetto le normative, come il GDPR, prevenendo danni reputazionali ed economici ed evitando la paralisi del lavoro.

L’insieme degli ulteriori servizi attribuibili ad un SOC può essere molto ampio, e dipende dalla centralità che il SOC ricopre all’interno dell’azienda. Oggi, infatti, il ruolo del Security Operation Center si è sviluppato sempre di più, inglobando al suo interno attività non propriamente tipiche del SOC.

Per questo è necessario fare un ulteriore approfondimento, parlando meglio della simbiosi tra SOC e CERT.

LA SINERGIA TRA SOC E CERT

Non si può parlare di SOC senza citare i Computer Emergency Response Team (CERT).

I CERT sono unità funzionali sorte direttamente dal bisogno di gestire situazioni di crisi nel digitale. Come abbiamo accennato poco fa, la loro sfera d’azione si accosta alle tradizionali funzioni di risposta all’incidente (response), di cui talvolta si appropriano anche i SOC più evoluti (SOC di livello 2).

Ma un CERT non è solo questo: nel tempo, il campo di azione si è ampliato e dalla semplice risposta all’incidente è passato alla readiness, ovvero la capacità di fornire nuovi standard di attività, servizi e funzioni per far sì che la sicurezza di un’organizzazione sia pronta a schivare futuri attacchi cibernetici. La readiness agisce quindi come prevenzione del problema, e la response come contrattacco o rimedio appena il rischio di una minaccia si concretizza in un incidente di sicurezza.

In realtà, come abbiamo detto, molti centri operativi per la sicurezza sono stati potenziati con servizi e attività prese in prestito dalle funzioni del CERT. In ogni caso, non c’è dubbio che SOC e CERT hanno molti punti in comune e, anzi, la loro sinergia può essere fortemente strategica. Ne è un esempio proprio la gestione del SIEM: una tecnologia che è sì gestita dal Security Operation Center ma che sfrutta le funzioni di readiness del CERT nel riconoscere e rilevare tecniche e tattiche in uso da criminali informatici e gruppi hacker.

Un altro esempio è l’attività di Threat Intelligence, altro baluardo del CERT che viene talvolta attribuita al SOC: ulteriore dimostrazione dei punti di contatto e della forte sinergia fra le due sfere del Computer Emergency Response Team e del Security Operation Center.

TIPI DI ATTACCHI INFORMATICI CHE UN SOC POTREBBE EVITARE

Un attacco nell’ambito della sicurezza informatica comprende qualunque manovra da parte di individui o di organizzazioni che colpiscono sistemi informatici, infrastrutture o dispositivi elettronici tramiti azioni malevoli, quali furto, alterazione o distruzione di specifici obiettivi.

Il SOC è estremamente utile per evitare determinati tipi di attacchi o, se dovessero verificarsi, per inviare una risposta tempestiva evitando danni consistenti. Di seguito una serie di attacchi informatici che implicano utenti, siti web e i fornitori stessi.

• Malware: indica un programma che viene installato su un computer all’insaputa dell’utente, con l’obiettivo di renderlo vulnerabile ad attacchi. Per cercare di prevenire l’installazione di questo tipo di software, è consigliata l’attivazione di un buon antivirus.
• Ransomware: Si tratta di una tipologia di malware dalle gravi conseguenze. Una volta installato, blocca completamente il sistema operativo dell’utente, richiedendo il pagamento di un “riscatto” (ransom). Tuttavia, anche in caso di pagamento, non si ha la completa certezza che l’hacker restituisca tutti i dati personali.
• Adware: Molti servizi online e programmi gratuiti contengono delle pubblicità. Alcune di queste portano a siti concreti altre, invece, conducono a siti sospetti o all’installazione inconsapevole di malware e virus, che rendono vulnerabili ad attacchi esterni.
• Attacchi tramite cookie: I cookie sono dei file di testo inviati da un sito al computer dell’utente. I file in sé non creano problematiche, implicano solo la profilazione dell’utente. Eppure, un hacker può sfruttare le vulnerabilità dei siti per intercettare questi cookie e appropriarsi degli account e credenziali di accesso dell’utente.
• DDoS: con Distributed Denial of Service, solitamente abbreviato con DDoS, si intende un attacco che provoca l’interruzione di un servizio. Le vittime dirette di questo tipo di attacchi sono i fornitori, mentre i singoli utenti sono vittime indirette, poiché vengono coinvolti nell’attuazione dell’attacco stesso. Infatti, gli hacker installano nei dispositivi degli utenti dei programmi che inviano molteplici di richieste ai server, i quali interrompono il loro servizio.· Si tratta degli attacchi più allarmanti e difficili da contrastare, in quanto non sono prevedibili e l’attacco coinvolge diverse parti del sistema. Per questo, per contrastarli, è necessaria la presenza di un team di esperti in grado di utilizzare tecniche differenti allo stesso tempo.
• Phishing: con questo termine si indica una truffa realizzata a danno di un utente con l’obiettivo di impossessarsi delle credenziali di accesso ad account di servizi online come e-mail personali e conti bancari. Gli hacker preparano delle pagine Web che replicano i portali di accesso a cui l’utente è iscritto e ottengono così il nome utente e password.
• Data Breach: il termine indica il rendere pubbliche le credenziali di accesso degli utenti. In certi casi, dopo un attacco informatico nei confronti di un fornitore, le informazioni personali degli utenti vengono rese note e i malintenzionati possono approfittarne. Altre volte, invece, un hacker può organizzare un attacco mirato per impossessarsi dei dati di un singolo utente. Ne consegue che gli account non siano più protetti, in quanto le password non sono più sicure e chiunque può accedervi. I singoli utenti hanno possono proteggersi da questo tipo di attacchi utilizzando una password diversa per ogni servizio utilizzato. Di conseguenza, in caso di attacco, solo un account sarebbe compromesso. Inoltre, è opportuno cambiare immediatamente password degli account coinvolti in seguito ad un attacco.
• SQL injection: questo tipo di attacco danneggia i siti web, e consiste nell’inserimento di parti di codice malevolo all’interno del linguaggio SQL proprio del sito. In base al codice modificato, un hacker può accedere a diverse informazioni, come le credenziali degli utenti.
• Sniffing: Hacker esperti possono essere in grado di inserirsi in una rete locale per catturarne il traffico. Per esempio, possono essere in grado di collegarsi alla rete Wifi di un’abitazione e accedere ai vari dispositivi connessi.
• Doxing e attacchi personali: Un sistema poco sofisticato ma comunque molto efficace per impossessarsi di informazioni personali è il doxing. Consiste nell’ottenere con l’inganno i dati sensibili chiedendo ai diretti interessati o effettuando ricerche incrociate. Una volta ottenute queste informazioni, un malintenzionato può utilizzarle per impossessarsi degli account degli utenti.

CHI LAVORA IN UN SOC

Un Security Operation Center è caratterizzato dalla presenza di un SOC manager. Il suo compito è conoscere le esigenze dell’azienda e definire una struttura del sistema di sicurezza. Allo stesso tempo, dovrà condividere le informazioni con il Chief Information Security Officer (CISO) e con altre risorse aziendali coinvolte nella cyber security.

La struttura del sistema di sicurezza comprende sia gli strumenti di sicurezza, ad esempio i software e le tecnologie utilizzati, sia gli individui che compongono il team SOC, che comprende:

• Manager: il leader del gruppo è in grado di ricoprire qualsiasi ruolo e supervisiona i sistemi e le procedure di sicurezza generali;
• Analista: compila e analizza i dati in un determinato periodo di tempo, che può iniziare in seguito ad una violazione o che può comprendere una specifica periodicità (es. trimestre);
• Investigatore: ha il compito di scoprire cosa è accaduto e perché si è verificato un tale evento;
• Risponditore: si tratta di un individuo che ha familiarità con i requisiti associati a una violazione della sicurezza;
• Revisore: conosce la legislazione attuale e futura e garantisce che l’azienda soddisfi la regolamentazione e i suoi obblighi.

A seconda delle dimensioni di un’azienda, un membro del team SOC può svolgere più ruoli, e soddisfare le esigenze dell’ente stesso.

In generale, possiamo dire che coloro che lavorano nel SOC Level 1 hanno capacità sistemistiche, utili a monitorare; chi opera nell’Incident Response e nel Vulnerability Management (SOC 2), invece, ha conoscenze maggiori di programmazione, applicazioni e sicurezza in generale.

DIFFERENZE TRA SOC INTERNO ED ESTERNO

Dotarsi di un SOC significa sicuramente impiegare infrastrutture e strumenti specifici, ma ancora di più vuol dire investire nelle persone che si occuperanno di attività cruciali come l’intelligence e la valutazione del rischio. Le risorse umane interne al SOC devono possedere competenze elevate, da aggiornare con una formazione continua. Si tratta dunque di un’importante voce di costo da prendere in considerazione.

Proprio qui bisogna porre l’accento per capire se per un’azienda sia più conveniente scegliere un Security Operation Center interno o esterno.

La creazione di un SOC interno richiede un investimento assolutamente rilevante per raggiungere una soglia minima. Bisogna infatti creare un team di analisti con competenze elevate che lavorano 7 giorni su 7, 24h su 24h. Non è un caso che siano molto poche le aziende che intraprendono la strada di un Security Operation Center interno.

La maggior parte delle imprese, invece, optano più spesso per affidare le funzionalità di SOC a fornitori esterni specializzati in questi servizi come Maticmind. Le attività vengono gestite in questo caso attraverso sistemi di gestione in remoto. ll che offre anche un altro vantaggio: l’investimento economico può essere infatti studiato in base al volume di dati e attività monitorate. La collaborazione con un servizio di SOC può essere modulata anche attivando solo determinati servizi. Il centro di sicurezza esterno si troverebbe dunque a supportare l’attività di un eventuale team interno o degli amministratori IT dell’azienda, con benefici che vanno al di là della sfera economica e sfociano negli aspetti organizzativi.

IL SOC: UN INVESTIMENTO CONCRETO PER LA SICUREZZA INFORMATICA

Sia che sia esterno o interno, il vantaggio principale di un centro operativo di sicurezza è certamente il miglioramento del rilevamento degli incidenti di sicurezza attraverso il monitoraggio e l’analisi continui dell’attività dei dati.

Per questo si tratta di un investimento fondamentale, anche perché le possibili ripercussioni a livello legale, di immagine ed economico non sono da sottovalutare, soprattutto in un mondo che cambia rapidamente e che vede il dilagare di nuove minacce alla sicurezza informatica, ormai pressoché quotidiane. La costituzione di un SOC potrebbe essere un metodo per massimizzare la capacità di difesa e la tempestività della reazione da parte dell’azienda, migliorandone persino la sua organizzazione in termini di infrastrutture IT.

Il Security Operation center rappresenta quindi la migliore risposta alle esigenze delle organizzazioni in un campo che sta diventando sempre più complesso e pervasivo: l’unica strada per garantire concretamente una sicurezza informatica a 360°.

Sei interessato a scoprire di più sui nostri servizi di sicurezza gestita?