Scai Solution

Security Operations Center


Un Security Operations Center (SOC) è una squadra organizzata, composta da elementi altamente qualificati, la cui missione è il monitoraggio e il miglioramento continui della postura di sicurezza di un’organizzazione, attraverso la prevenzione, la rilevazione, l’analisi e la risposta agli incidenti di sicurezza informatica e tramite l’utilizzo sia di tecnologia che di processi e procedure ben definiti.

La strategia di un SOC deve essere chiaramente definita e specificamente orientata al contesto di business di cui è al servizio; tale strategia è strettamente dipendente dal supporto e dalla “sponsorship” dei livelli manageriali dell’organizzazione, in assenza di tale supporto il SOC stesso non sarà in grado di lavorare correttamente e non verrà percepito come un asset critico dal resto dell’organizzazione.

Una volta che la “mission” e l’ambito di competenza del SOC sono stati identificati, dovrà essere definita e progettata l’infrastruttura tecnologica che sosterrà il SOC; molte componenti sono necessarie per costruire un ambiente tecnologico completo: firewall, IPS/IDS, sonde, soluzioni di “breach detection” e ovviamente un SIEM, solo per fare qualche esempio. Un’attività di “data collection” efficiente ed efficace è fondamentale per un SOC di successo. I flussi di dati, la telemetria di rete, la cattura del traffico di rete, il “data enrichment” e la raccolta di informazioni relative alle vulnerabilità che affliggono l’intero ecosistema oggetto del monitoraggio sono altresì di estrema importanza.



La componente tecnologica e gli strumenti necessari
Un’analisi approfondita delle componenti tecnologiche al servizio del SOC non può prescindere – come è ovvio – da una particolare enfasi posta sulla sicurezza; nemmeno il minimo dettaglio di un approccio alla difesa in profondità può essere trascurato: la segmentazione delle LAN, una soluzione NAC, le VPN, lo hardening degli endpoint, la crittografia dei dati “a riposo”, in uso e in movimento, la protezione dell’intera infrastruttura attraverso IPS/IDS, firewall, router e switch ben configurati e monitorati. Dato che il SOC è una squadra, gli strumenti di “collaboration” devono essere attentamente selezionati e progettati al fine di garantire la migliore “user experience” possibile, in modo da garantire – in ultima analisi – la migliore capacità di produrre valore per l’organizzazione. I dispositivi mobili rappresentano un altro aspetto che non può essere trascurato quando si progetta e costruisce un SOC. Particolare attenzione va posta sulle misure di Data Loss Prevenion, passando dagli endpoint ai server e dalle e-mail agli smartphone.

Senza la pretesa di essere esaustivo, vanno senza dubbio menzionate ulteriori componenti tecnologiche che completano l’ecosistema del SOC: Web Proxy, sandbox, soluzioni di breach detection a livello endpoint e strumenti di computer forensics. Tutti i sistemi coinvolti generano eventi, log, flussi e dati di telemetria che devono essere “digeriti”, elaborati e analizzati inizialmente da una “macchina” e, in ultima istanza, da un essere umano. Nella fase di “ingestione”, elaborazione e correlazione, vale la pena ricordare – ancora una volta – il ruolo centrale del SIEM per un Security Operations Center.

Metodologie e intelligence
Il SOC deve essere attivo e proattivo nello svolgimento del processo di Vulnerability Management: le attività di Risk Assessment unite a un solido approccio alla gestione delle vulnerabilità rappresentano una priorità per il SOC (in questo ambito, a titolo di esempio, la metodologia OWASP può certamente essere un’opzione). Inoltre, è necessario un approccio alla threat intelligence contestualizzato alla realtà in cui opera il SOC al fine di garantire una miglior precisione e maggiore efficacia nella fase di rilevamento e prevenzione dei “data breach” e nella fase di contenimento dei danni subiti.







Contattaci
Torna SU