SOC Security Operations Center
Il Security Operations Center, o SOC network, è il team incaricato di garantire la sicurezza delle informazioni di una azienda.
Il Security Operations Center, o SOC network, è il team incaricato di garantire la sicurezza delle informazioni di una azienda. Il SOC è l'unità organizzativa che ha il compito di supervisionare e gestire la sicurezza dei sistemi informativi. Esso raggiunge questo obiettivo utilizzando strumenti per la raccolta e, soprattutto, per la correlazione di eventi.
Il SIEM (Security Information Event Management) è lo strumento principale del SOC, poiché permette di gestire gli eventi di un sistema informativo IS.
Perché utilizzare un SOC?
L'obiettivo di un Security Operations Center è quello di prevenire, rilevare, analizzare e rispondere agli attacchi informatici rivolti contro la cyber security, utilizzando soluzioni tecnologiche e diversi approcci. I SOC monitorano e analizzano l'attività su reti, server, endpoint, database, applicazioni, siti web e altri sistemi, alla ricerca di segnali deboli o comportamenti anomali che potrebbero indicare un attacco alla sicurezza o una compromissione del sistema. Il SOC deve garantire che i potenziali attacchi siano adeguatamente identificati, analizzati, difesi, investigati e segnalati.
Chi lavora in un SOC?
I Security Operations Center sono tipicamente composti da analisti e ingegneri della security, così come da manager che supervisionano le operazioni di sicurezza. Questi specialisti rispondono al CTO (Chief Technical Officer). Le capacità aggiuntive di alcuni SOC possono includere l'analisi avanzata, la crittoanalisi e il reverse engineering del malware. I team SOC lavorano a stretto contatto con i team di incident response: ciò è funzionale a garantire che il problema di sicurezza, una volta rilevato, sia affrontato e risolto.
Come funziona un SOC?
Il primo passo per creare un SOC è definire la strategia di gestione della sicurezza informatica. Tale strategia deve considerare gli obiettivi specifici dei vari dipartimenti sotto la guida del CTO. Una volta stabilita la strategia, vengono acquisite le risorse umane e le infrastrutture tecnologiche necessarie a realizzarla. La dotazione tipica include differenti tecnologie, tra le quali firewall, IPS/IDS, soluzioni di rilevamento delle violazioni, sonde e un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM). La tecnologia utilizzata deve essere in grado di raccogliere dati attraverso feed, metriche, acquisizione di pacchetti, syslog e altri metodi, in modo che le attività possano essere correlate e analizzate. Il centro operativo di sicurezza monitora le reti e gli endpoint alla ricerca di ogni potenziale vulnerabilità.
Vantaggi nell’utilizzare un servizio SOC
La ragione principale per cui è utile dotarsi di un centro operativo di sicurezza è la possibilità di prevenire, individuare e rispondere agli attacchi alla sicurezza attraverso il monitoraggio dei dati. Tuttavia, allestire e gestire un Security Operations Center è complicato e costoso. Le aziende li creano per diverse ragioni, come ad esempio:
- Proteggere i dati sensibili;
- Rispettare i regolamenti del settore come PCI DSS;
- Rispettare i regolamenti governativi come il GDPR HIPAA.
Il SOC monitora i dati di rete, server, endpoint e database 24 ore al giorno, 7 giorni su 7. Ciò consente alle aziende di prevenire e difendersi da eventuali attacchi malevoli, indipendentemente dal tipo di fonte o di attacco, così come dall'ora dell'evento. Avere un centro operativo di sicurezza aiuta le organizzazioni a ridurre il tempo necessario per rivelare una minaccia alla sicurezza. In questo modo, si può intervenire prima che il sistema venga danneggiato