Che cos'è un centro operazioni per la sicurezza (SOC)?
Scopri in che modo i team dei centri operazioni per la sicurezza rilevano, classificano in ordine di priorità e valutano rapidamente i potenziali cyberattacchi.
Che cos'è un SOC?
Un SOC è una funzione o un team centralizzato responsabile del miglioramento della postura di cybersecurity di un'organizzazione e della prevenzione, individuazione e risposta alle minacce. Il team SOC, che può essere in sede o esternalizzato, monitora identità, endpoint, server, database, applicazioni di rete, siti Web e altri sistemi per scoprire potenziali cyberattachi in tempo reale. Inoltre, si dedica a un'attività di sicurezza proattiva, impiegando le informazioni più aggiornate sulle minacce per tenersi al passo con i gruppi di rischio e le infrastrutture, e per identificare e risolvere le vulnerabilità nei sistemi o nei processi prima che possano essere sfruttate dagli utenti malintenzionati. La maggior parte degli SOC opera 24 ore su 24, 7 giorni su 7. Le grandi organizzazioni con presenza in più paesi possono affidarsi a un centro operazioni per la sicurezza globale (GSOC) per tenere sotto controllo le minacce alla sicurezza a livello mondiale e coordinare il rilevamento e la risposta tra i vari SOC locali.
Funzioni di un SOC
I membri del team SOC si occupano delle seguenti funzioni per prevenire, rispondere e rimediare agli attacchi.
Inventario di asset e strumenti
Per eliminare i punti ciechi e le lacune nella copertura, l'SOC necessita di una chiara visione degli asset che sta proteggendo e della piena comprensione degli strumenti che utilizza per difendere l'organizzazione. Ciò significa che è necessario tenere conto di tutti i database, i servizi cloud, le identità, le applicazioni e gli endpoint sia in locale che in più cloud. Il team tiene inoltre traccia di tutte le soluzioni di sicurezza usate nell'organizzazione, ad esempio firewall, antimalware, anti-ransomware e software di monitoraggio.
Riduzione della superficie di attacco
Una responsabilità chiave dell’SOC è la riduzione della superficie di attacco dell'organizzazione. L’SOC svolge questo compito mantenendo un inventario completo di tutti i carichi di lavoro e degli asset, applicando patch di sicurezza al software e ai firewall, identificando configurazioni errate e aggiungendo nuovi asset man mano che vengono resi disponibili online. I membri del team sono anche incaricati di monitorare minacce emergenti e di analizzare l'esposizione, in modo da essere sempre un passo avanti rispetto alle ultime minacce.
Monitoraggio continuo
Utilizzando soluzioni di analisi della sicurezza, come una soluzione SIEM (security information enterprise management), una soluzione SOAR (security orchestration, automation, and response) o una soluzione XDR (funzionalità di rilevamento e reazione estese), i team SOC monitorano l'intero ambiente locale, i sistemi cloud, le applicazioni, le reti e i dispositivi tutto il giorno, tutti i giorni, per scoprire anomalie o comportamenti sospetti. Questi strumenti raccolgono dati di telemetria, aggregano i dati e in alcuni casi automatizzano la risposta agli incidenti.
Intelligence sulle minacce
Inoltre, l'SOC utilizza l'analisi dei dati, i feed esterni e i report sulle minacce dei prodotti per comprendere il comportamento, l'infrastruttura e le motivazioni degli utenti malintenzionati. Questa intelligenza fornisce una visione generale di ciò che avviene su Internet e aiuta i team a comprendere come operano i gruppi. Sulla base di queste informazioni, l'SOC è in grado di individuare rapidamente le minacce e di proteggere l'organizzazione dai rischi emergenti.
Rilevamento delle minacce
I team SOC utilizzano i dati generati dalle soluzioni SIEM e XDR per identificare le minacce. Inizialmente filtrano i falsi positivi dai problemi reali. Quindi classificano le minacce in base alla gravità e al potenziale impatto sull'azienda.
Gestione dei log
Inoltre, l'SOC è responsabile della raccolta, della manutenzione e dell'analisi dei dati di log prodotti da ogni endpoint, sistema operativo, macchina virtuale, applicazione locale ed evento di rete. L'analisi consente di stabilire una baseline per la normale attività e rivela le anomalie che possono indicare la presenza di malware, ransomware o virus.
Risposta agli incidenti
Una volta identificato un cyberattacco, l'SOC interviene rapidamente per limitare i danni all'azienda con la minore interruzione possibile dell'attività. Le misure da adottare possono comprendere l'arresto o l'isolamento degli endpoint e delle applicazioni interessate, la sospensione degli account compromessi, la rimozione dei file infetti e l'esecuzione di software antivirus e antimalware.
Ripristino e correzione
In seguito a un attacco, l’SOC è responsabile del ripristino dello stato originale dell'azienda. Il team si occuperà di cancellare e ricollegare dischi, identità, posta elettronica ed endpoint, riavviare le applicazioni, passare ai sistemi di backup e recuperare i dati.
Analisi della causa radice
Per evitare che un attacco simile si ripeta, l'SOC svolge un'indagine approfondita per identificare le vulnerabilità, i processi di sicurezza insufficienti e altri elementi che hanno contribuito all'incidente.
Perfezionamento della sicurezza
L'SOC utilizza le informazioni raccolte durante un incidente per risolvere le vulnerabilità, migliorare i processi e i criteri e aggiornare la roadmap di sicurezza.
Gestione conformità
Una parte fondamentale della responsabilità di un SOC è garantire che le applicazioni, gli strumenti di sicurezza e i processi siano conformi alle normative sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR), il California Consumer Privacy Act (CCPA) e l'Health Insurance Portability and Accountability Act (HIPPA). I team controllano regolarmente i sistemi per garantire la conformità e assicurarsi che le autorità di regolamentazione, le forze dell'ordine e i clienti siano informati dopo una violazione dei dati.
Ruoli chiave in un SOC
A seconda delle dimensioni dell'organizzazione, un tipico SOC include i seguenti ruoli:
Direttore della risposta agli incidenti
Questo ruolo, tipicamente presente solo in grandi organizzazioni, è responsabile del coordinamento della rilevazione, analisi, contenimento e recupero durante un incidente di sicurezza. Gestisce anche la comunicazione con gli stakeholder appropriati.
Manager dell’SOC
La supervisione dell’SOC è affidata al Manager, che di solito riporta al Chief Information Security Officer (CISO). Le sue responsabilità includono la supervisione del personale, la gestione delle operazioni, la formazione dei nuovi dipendenti e la gestione delle finanze.
Tecnici della sicurezza
I tecnici della sicurezza mantengono i sistemi di sicurezza dell'organizzazione funzionanti. Ciò include la progettazione dell'architettura di sicurezza e la ricerca, implementazione e manutenzione delle soluzioni di sicurezza.
Analisti della sicurezza
Gli analisti di sicurezza, i primi a rispondere a un incidente di sicurezza, identificano le minacce, le classificano in ordine di priorità e quindi intervengono per contenere i danni. Durante un attacco informatico potrebbero dover isolare l'host, l'endpoint o l'utente infettato. In alcune organizzazioni gli analisti della sicurezza sono suddivisi in livelli in base alla gravità delle minacce che devono gestire.
Cacciatori di minacce
In alcune organizzazioni, gli analisti della sicurezza più esperti vengono chiamati cacciatori di minacce. Queste persone identificano e rispondono a minacce avanzate che non vengono rilevate dagli strumenti automatizzati. Si tratta di un ruolo proattivo progettato per approfondire la comprensione dell'organizzazione delle minacce note e scoprire minacce sconosciute prima che si verifichi un attacco.
Analisti forensi
Le organizzazioni più grandi possono anche assumere analisti forensi, che raccolgono informazioni dopo una violazione per determinarne le cause principali. Cercano vulnerabilità di sistema, violazioni dei criteri di sicurezza e modelli di cyberattacco che possono essere utili per prevenire compromissioni simili in futuro.
Tipi di SOC
Esistono diversi modi in cui le organizzazioni configurano i propri SOC. Alcune scelgono di creare un SOC dedicato con personale a tempo pieno. Questo tipo di SOC può essere interno, con una sede fisica in loco, o virtuale, con il personale che si coordina da remoto utilizzando strumenti digitali. Molti SOC virtuali utilizzano una combinazione di personale a contratto e a tempo pieno. Un SOC esternalizzato, che può anche essere chiamato SOC gestito o centro operazione per la sicurezza come servizio, è gestito da un provider di servizi di sicurezza gestiti, che si assume la responsabilità di prevenire, rilevare, analizzare e rispondere alle minacce. È anche possibile utilizzare una combinazione di personale interno e un provider di servizi di sicurezza gestiti. Questa versione è chiamata SOC co-gestito o ibrido. Le organizzazioni usano questo approccio per apportare miglioramenti al proprio personale. Ad esempio, se non hanno investigatori delle minacce interni, potrebbe risultare più semplice assumere terze parti anziché cercare di reclutare personale interno.
Importanza dei team SOC
Un SOC affidabile è fondamentale per aziende, enti pubblici e altre organizzazioni per stare al passo con lo scenario in continua evoluzione delle minacce informatiche. Non si tratta di un'attività semplice. Sia gli utenti malintenzionati che la community di difesa spesso sviluppano nuove tecnologie e strategie. Gestire tutti questi cambiamenti richiede tempo e dedizione costante. Grazie alla conoscenza del panorama generale della cybersecurity e alla comprensione delle vulnerabilità interne e delle priorità aziendali, gli SOC consentono all'organizzazione di sviluppare una roadmap di sicurezza in linea con le esigenze a lungo termine dell'azienda. Gli SOC possono anche limitare l'impatto aziendale quando si verifica un attacco. Poiché svolgono un monitoraggio costante della rete e analizzano i dati degli avvisi, è più probabile che siano in grado di individuare le minacce in anticipo rispetto a un team che deve dividere la sua attenzione tra diverse altre priorità. Grazie a una formazione costante e processi ben documentati, l'SOC è in grado di gestire rapidamente un incidente in corso, anche in condizioni di stress estremo. Questo può essere difficile per i team che non si dedicano alle operazioni di sicurezza in modo costante.
Vantaggi di un SOC
Unificando le persone, gli strumenti e i processi utilizzati per proteggere un'organizzazione dalle minacce, un SOC consente a un'organizzazione di difendersi in modo più efficiente ed efficace da attacchi e violazioni.
Solida postura di sicurezza
Migliorare la sicurezza di un'organizzazione è un processo che non finisce mai. Sono necessari monitoraggio, analisi e pianificazione continui per scoprire le vulnerabilità e rimanere al passo con i cambiamenti tecnologici. Quando le persone hanno priorità contrastanti, è facile che questo lavoro venga trascurato a favore di attività che sembrano più urgenti.
Un SOC centralizzato consente di migliorare in modo continuo i processi e le tecnologie, riducendo il rischio di successo degli attacchi.
Conformità alle normative sulla privacy
I diversi settori, stati, paesi e aree geografiche sono soggetti a normative differenti che regolano la raccolta, l'archiviazione e l'uso dei dati. Molte di queste normative obbligano le organizzazioni a segnalare le violazioni dei dati e a cancellare i dati personali su richiesta del consumatore. Disporre di processi e procedure adeguati è importante quanto la tecnologia. I membri di un SOC supportano le organizzazioni nel rispetto delle normative, assumendosi la responsabilità di mantenere aggiornati i processi tecnologici e la gestione dei dati.
Risposta rapida agli incidenti
Fa una grande differenza la rapidità con cui un cyberattacco viene scoperto e bloccato. Con gli strumenti, le persone e l'intelligence adeguate, molte violazioni vengono bloccate prima di causare danni. Tuttavia, gli utenti malintenzionati sono anche abili nel rimanere nascosti, rubando enormi quantità di dati e aumentando i loro privilegi senza che nessuno se ne accorga. Un incidente di sicurezza è anche un evento molto stressante, soprattutto per chi non ha esperienza nella risposta agli incidenti.
Utilizzando informazioni unificate sulle minacce e procedure ben documentate, i team SOC sono in grado di rilevare, rispondere e riprendersi rapidamente dagli attacchi.
Riduzione dei costi delle violazioni
Una violazione andata a buon fine può comportare costi elevati per le organizzazioni. Il ripristino spesso comporta tempi di inattività significativi e molte aziende perdono clienti o hanno difficoltà ad acquisirne di nuovi subito dopo un incidente. Anticipando le mosse degli utenti malintenzionati e rispondendo rapidamente, un SOC consente alle organizzazioni di risparmiare tempo e denaro e di tornare alla normale operatività.
Procedure consigliate per i team SOC
A fronte di tante responsabilità, un SOC deve essere organizzato e gestito in modo efficiente per ottenere risultati. Le organizzazioni con SOC efficaci implementano le seguenti procedure consigliate:
Strategia allineata all'azienda
Anche l'associazione che dispone di maggiori fondi deve decidere dove impiegare il proprio tempo e denaro. In genere le organizzazioni iniziano con una valutazione del rischio per identificare le maggiori aree di rischio e le maggiori opportunità per l'azienda. In questo modo è possibile identificare cosa proteggere. Un SOC deve anche comprendere l'ambiente in cui si trovano gli asset. Molte aziende hanno ambienti complessi con dati e applicazioni in locale e altri distribuiti in più cloud. Un'apposita strategia consente di stabilire se i professionisti della sicurezza devono essere disponibili tutti i giorni e a tutte le ore, e se è meglio avere un SOC all'interno dell'azienda o ricorrere a un servizio professionale.
Personale di talento e ben formato
La caratteristica principale di un SOC efficiente è la presenza di uno personale altamente qualificato e in costante miglioramento. Tutto inizia con la ricerca dei migliori talenti, ma questo può essere difficile perché il mercato del personale di sicurezza è altamente competitivo. Per evitare un divario di competenze, molte organizzazioni cercano di trovare persone con svariate conoscenze, come il monitoraggio dei sistemi e dell'intelligence, la gestione degli avvisi, il rilevamento e l'analisi degli incidenti, la rilevazione alle minacce, l'hacking etico, la cibernetica forense e il reverse engineering. Inoltre, utilizzano una tecnologia che automatizza le attività per consentire ai team più piccoli di essere più efficienti e aumentare il rendimento degli analisti più giovani. Investire in una formazione continua permette alle organizzazioni di trattenere il personale più qualificato, colmare eventuali lacune nelle competenze e favorire lo sviluppo professionale dei propri dipendenti.
Visibilità end-to-end
Poiché un attacco può partire da un singolo endpoint, è fondamentale che l'SOC abbia visibilità dell'intero ambiente di un'organizzazione, compreso quello gestito da terze parti.
Gli strumenti giusti
Gli eventi di sicurezza sono davvero tanti e i team possono ritrovarsi facilmente sopraffatti. Gli SOC efficienti investono in strumenti di sicurezza di alta qualità che interagiscono efficacemente tra loro e impiegano intelligenza artificiale e automazione per identificare e evidenziare i rischi significativi. L'interoperabilità è fondamentale per evitare lacune nella copertura.
Strumenti e tecnologie SOC
SIEM (Security Information and Event Management)
Uno degli strumenti più importanti di un SOC è la soluzione SIEM basata su cloud, che aggrega i dati provenienti da più soluzioni di sicurezza e file di log. Attraverso l'uso di intelligence sulle minacce e intelligenza artificiale, questi strumenti permettono agli SOC di identificare minacce in evoluzione, accelerare la risposta agli incidenti e contrastare efficacemente gli utenti malintenzionati.
SOAR (Security Orchestration, Automation, and Response)
Una SOAR automatizza le attività di arricchimento, risposta e rimedio ricorrenti e prevedibili, permettendo di risparmiare tempo e risorse per indagini e ricerche più approfondite.
XDR (funzionalità di rilevamento e reazione estese)
XDR è uno strumento SaaS che offre una sicurezza olistica ottimizzata integrando dati e prodotti di sicurezza in soluzioni semplificate. Le organizzazioni usano queste soluzioni per affrontare in modo proattivo ed efficiente le minacce in continua evoluzione e complessi problemi di sicurezza in un ambiente ibrido multi-cloud. A differenza di sistemi come EDR (rilevamento e reazione dagli endpoint), XDR amplia l'ambito della sicurezza, integrando la protezione in una vasta serie di prodotti, tra cui gli endpoint di un'organizzazione, i server, le applicazioni cloud, la posta elettronica e altro ancora. XDR combina prevenzione, rilevamento, indagine e risposta per fornire visibilità completa, analisi approfondite, allarmi per incidenti correlati e risposte automatiche. Tutto ciò contribuisce a migliorare la sicurezza dei dati e a contrastare le minacce in modo più efficace.
Firewall
Un firewall monitora il traffico da e verso la rete, consentendo o bloccando il traffico in base alle regole di sicurezza definite dall’SOC.
Gestione dei log
Spesso compresa in una soluzione SIEM, una soluzione di gestione dei log registra tutti gli avvisi provenienti da ogni software, hardware ed endpoint in funzione nell'organizzazione. Questi log forniscono informazioni sull'attività di rete.
Questi strumenti analizzano la rete per identificare eventuali punti deboli che potrebbero essere sfruttati da un utente malintenzionato.
Analisi del comportamento degli utenti e delle entità
Integrata in molti strumenti di sicurezza moderni, l'analisi del comportamento degli utenti e delle entità utilizza l'intelligenza artificiale per analizzare i dati raccolti da vari dispositivi e stabilire una baseline di attività normali per ogni utente ed entità. Quando un evento si discosta dalla baseline, viene contrassegnato per un'ulteriore analisi.
SOC e SIEM
Senza un SIEM sarebbe estremamente difficile per un SOC raggiungere il proprio obiettivo. Un SIEM moderno offre:
- Aggregazione log: Un SIEM raccoglie i dati di log e mette in relazione gli avvisi, che gli analisti utilizzano per il rilevamento e la ricerca delle minacce.
- Contesto: Poiché un SIEM raccoglie dati in tutti i sistemi tecnologici dell'organizzazione, contribuisce a stabilire un collegamento tra i singoli incidenti per identificare gli attacchi più sofisticati.
- Meno avvisi: Sfruttando l'analisi e l'intelligenza artificiale per correlare gli avvisi e identificare gli eventi più gravi, un SIEM riduce il numero di incidenti da esaminare e analizzare.
- Risposta automatica: Le regole integrate consentono ai SIEM di identificare le probabili minacce e di bloccarle senza l'interazione di persone.
Inoltre, è importante notare che un SIEM, da solo, non è sufficiente a proteggere un'organizzazione. Sono necessarie persone per integrare il SIEM con altri sistemi, definire i parametri per il rilevamento basato su regole e valutare gli avvisi. Per questo motivo è fondamentale definire una strategia SOC e assumere il personale giusto.
Soluzioni SOC
È disponibile un'ampia gamma di soluzioni per consentire a un SOC di difendere l'organizzazione. Le migliori funzionano insieme per fornire una copertura completa sia in locale che in più cloud. Microsoft Security offre soluzioni complete per consentire agli SOC di eliminare le lacune nella copertura e di ottenere una visione a 360 gradi del proprio ambiente. Microsoft Sentinel è un SIEM basato sul cloud che si integra con le soluzioni di rilevamento e risposta estese di Microsoft Defender in modo da fornire agli analisti e ai cacciatori di minacce i dati necessari per individuare e bloccare i cyberattacchi.
Scopri di più su Microsoft Security
SIEM e XDR di Microsoft
Ottieni una protezione dalle minacce integrata per dispositivi, identità, app, posta elettronica, dati e carichi di lavoro cloud.
Microsoft Defender XDR
Blocca gli attacchi con la protezione dalle minacce tra più domini, grazie a Microsoft XDR.
Microsoft Sentinel
Rileva minacce avanzate e rispondi in modo deciso con una soluzione SIEM potente e intuitiva, basata sul cloud e sull'intelligenza artificiale.
Microsoft Defender Threat Intelligence
Identifica e respingi gli utenti malintenzionati e i loro strumenti con una panoramica completa della minaccia in corso.
Gestione della superficie di attacco esterna di Microsoft Defender
Ottieni visibilità continua oltre il firewall per individuare le risorse non gestite e individuare i punti deboli nell'ambiente multi-cloud.
Domande frequenti
-
Un centro operativo di rete (NOC) è incentrato sulle prestazioni e sulla velocità della rete. Non si limita a rispondere alle interruzioni, ma monitora anche in modo proattivo la rete per identificare i problemi che potrebbero rallentare il traffico. Anche un SOC monitora la rete e altri ambienti, ma cerca le prove di un cyberattacco. Poiché un incidente di sicurezza può compromettere le prestazioni della rete, i NOC e gli SOC devono coordinare le attività. Alcune organizzazioni ospitano il proprio SOC all'interno dell'NOC per favorire la collaborazione.
-
I team SOC monitorano server, dispositivi, database, applicazioni di rete, siti web e altri sistemi per scoprire potenziali minacce in tempo reale. Inoltre, svolgono un lavoro di sicurezza proattivo rimanendo aggiornati sulle minacce più recenti e identificando e risolvendo le vulnerabilità di sistema o di processo prima che un utente malintenzionato le sfrutti. Se l'organizzazione subisce un attacco efficace, il team SOC è responsabile della rimozione della minaccia e del ripristino dei sistemi e dei backup, a seconda delle necessità.
-
Un SOC è composto da persone, strumenti e processi che consentono di proteggere un'organizzazione dai cyberattacchi. Per raggiungere gli obiettivi prefissati, svolge le seguenti funzioni: inventario di tutte le risorse e le tecnologie, manutenzione ordinaria e preparazione, monitoraggio continuo, rilevamento delle minacce, intelligence sulle minacce, gestione dei log, risposta agli incidenti, recupero e rimedio, indagini sulle cause radici, perfezionamento della sicurezza e gestione della conformità.
-
Un SOC efficace consente a un'organizzazione di gestire la sicurezza in modo più efficiente ed efficace, unificando i difensori, gli strumenti di rilevamento delle minacce e i processi di sicurezza. Le organizzazioni dotate di un SOC sono in grado di migliorare i processi di sicurezza, di rispondere più rapidamente alle minacce e di gestire meglio la conformità rispetto alle aziende che non dispongono di un SOC.
-
Un SOC è l'insieme di persone, processi e strumenti responsabili della difesa di un'organizzazione dai cyberattacchi. SIEM è uno dei tanti strumenti utilizzati dal SOC per tutelare la visibilità e rispondere agli attacchi. Un SIEM aggrega i file di log e usa l'analisi e l'automazione per segnalare ai membri dell'SOC le minacce concrete, i quali decidono come rispondere.
Segui Microsoft