Guida

Il SOC: cos’è, quali sono i compiti e i vantaggi per le aziende

Home TechTarget Search Security Cybersecurity
Indirizzo copiato

Un Security Operation Center (SOC) rappresenta un asset critico per un’organizzazione che può subire attacchi informatici. Può essere creato in azienda, fruito come servizio gestito, oppure implementato in modo ibrido. L’importante è averlo e farlo cooperare con le analoghe strutture nazionali

Pubblicato il 15 nov 2022
concept di soc
  • Un SOC (Security Operation Center) è un centro operativo per la sicurezza informatica che monitora, analizza e protegge un’organizzazione da minacce informatiche. Può essere interno all’azienda o gestito da un fornitore esterno (MSSP).
  • Un SOC è composto da persone, tecnologie e processi. Le persone includono analisti della sicurezza che monitorano i sistemi e rispondono agli incidenti, manager SOC che gestiscono le operazioni del SOC e dirigenti aziendali che definiscono la strategia di sicurezza informatica.
  • Il SOC implementa misure di sicurezza per proteggere l’organizzazione da attacchi informatici, come firewall, sistemi di rilevamento delle intrusioni e software antivirus.

Un SOC, Security Operation Center, è una struttura dove vengono centralizzate tutte le informazioni sullo stato di sicurezza dell’IT di un’azienda o di più aziende (nel caso che il SOC appartenga a un Managed Security Service Provider, MSSP).

Creare un SOC, cogliere le opportunità dei servizi offerti dal SOC, mantenere un SOC operativo nel migliore dei modi, sono obiettivi che richiedono il sostegno dei livelli più elevati di un’azienda.

Cos’è un Security Operation Center e a cosa serve

Un SOC è costituito da persone, tecnologie e processi. Le sue dimensioni dipendono dalle esigenze di gestione sicurezza informatica di una specifica azienda. Per le aziende più grandi, può essere possibile e conveniente crearlo al proprio interno. Per le medie e le piccole aziende il ricorso a SOC inclusi fra i Managed Security Services di un fornitore esterno può essere la soluzione ideale.

Quello che non si può mettere in discussione è che oggi la sola sicurezza perimetrale, basata sull’installazione di firewall dietro al router con cui un’azienda si interfaccia con internet e, quindi, il mondo esterno, non è più sufficiente. Gli incidenti che possono causare gravi danni economici, legali e di immagine a un’organizzazione possono derivare da attacchi che prendono di mira le sue risorse IT e il suo personale nei modi più imprevisti, sia che si trovino in azienda, in branch, in mobilità e in smart working.

Ogni azienda ha bisogno di qualcuno che tenga costantemente sotto controllo quello che avviene nei traffici dei dati che coinvolgono i suoi utenti, i suoi processi e le sue tecnologie.

I servizi offerti dal SOC

Vediamo ora quali sono i possibili servizi offerti da un SOC.

Security Incident Detection and Monitoring

Un SOC, per la precisione il suo livello 1 (SOC Level 1), deve innanzitutto essere in grado di rilevare anomalie che possono verificarsi nei flussi di dati fra l’esterno e l’interno dell’azienda, considerando la labilità che ha oggi il concetto di perimetro aziendale.

La raccolta e la prima scrematura delle informazioni su traffici di dati ed eventi provenienti da server, endpoint, sistemi di sicurezza e apparati di network dell’ecosistema IT aziendale dei viene effettuata da soluzioni chiamate SIEM (Security Information and Event Management).

I security alert generati dai SIEM sono quindi messi a confronto con informazioni “di contesto” provenienti dal mondo esterno (nuovi malware, campagne di attacco in corso nel mondo, vulnerabilità di software scoperte, etc.) fornite da servizi di Cyber Threat Intelligence.

Questo matching è sempre più spesso eseguito da sistemi automatizzati configurati dagli addetti del SOC (con un’ottica di prevention, quindi, oltre a quella di detection e monitoring). Analizzando le segnalazioni filtrate da queste tecnologie, gli addetti del Security Operation Center 1 possono effettuare un primo “triage” degli incidenti e decidere se possono effettuare direttamente una remediation (attraverso il Security Device Management) oppure se aprire un ticket verso il team di Incident Response, predisponendo un accurato reporting.

Incident Response

L’Incident Response (IR) è un servizio di cui si occupano analisti che operano o in quello che viene chiamato SOC Level 2, o in strutture separate definite CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team). Gli esperti di IR analizzano le segnalazioni del SOC 1 e le integrano con altre informazioni di Thread Intelligence in loro possesso e con dati relativi agli asset IT coinvolti nell’incidente (configurazioni, processi gestiti etc.). Quindi definiscono e coordinano attività di remediation coinvolgendo sia chi si occupa di gestione dei sistemi IT (in grado di risolvere problematiche specifiche di Fault Management e di Configuration Management dei sistemi loro affidati) sia gli analisti del SOC 1, ai quali suggeriscono cambiamenti da effettuare sui sistemi di sicurezza e di monitoring.

DDos Mitigation

Nella gestione della sicurezza informatica, un’attività molto importante è la DDoS Mitigation. Gli attacchi Distributed Denial of Service sono sempre tra i più temibili e difficili da contrastare. Giungono all’improvviso, in modo imprevisto, con un fuoco incrociato proveniente da diverse parti del pianeta, e utilizzando tecniche di diversi tipi. Per contrastarli servono team di esperti con skill complementari.

Vulnerability Assessment

Tra i servizi di un Security Operation Center (SOC) spicca anche il vulnerability assessment. Queste attività sono attribuite a un livello 3 del SOC, più specializzato nell’analisi proattiva. L’obiettivo è verificare in modo preventivo la sicurezza di applicazioni, database, network, computer, endpoint, con l’uso soprattutto di penetration test.

Come fare un SOC in casa

Un Security Operation Center è generalmente situato in un edificio che può coincidere con la sede o il campus di un’azienda o una facility distante (una scelta che alcune organizzazioni effettuano per non avere un unico punto debole attaccabile).

Le dimensioni di un SOC devono tenere conto della quantità di persone che vi lavorano oggi e che lo faranno nel breve-medio termine. Il tipico layout prevede alcune file di scrivanie, ciascuna delle quali riservata a un addetto per ogni turno di lavoro (un SOC deve essere operativo H24 per sette giorni) e che utilizza un pc con un paio di monitor, un telefono VoIP, un smartphone e spesso tablet. La possibilità di usare più strumenti di comunicazione e collaborazione è fondamentale in un SOC.

Le scrivanie sono rivolte verso un’unica grande parete su cui sono disposti grandi schermi che visualizzano mappe geografiche con flussi di attacchi in corso, tabelle con i dettagli dei principali incidenti rilevati sulla rete aziendale, e così via. In una zona del salone sono previsti anche schermi più piccoli connessi a canali tv all news e meteo: questo perché è importante che gli analisti del SOC possano essere sempre informati su eventi e situazioni che possono rappresentare contesti per incidenti informatici.

Le sale devono essere accessibili solo previo riconoscimento (badge, PIN o riconoscimento biometrico). Altri aspetti da considerare sono l’illuminazione, l’isolamento acustico, la climatizzazione, nonché ridondanze a livello di alimentazione elettrica e connettività.

Differenze tra SOC a uso interno o esterno, le sinergie tra questi centri e i CERT

Per i SOC interni o esterni valgono in larga misura gli stessi requisiti in quanto a tecnologie, personale e processi.

II Managed Security Service Provider deve prevedere anche l’uso di soluzioni, metodologie e processi che permettono di definire, offrire e dimostrare il rispetto di Security Service Agreement. Inoltre, nel predisporre il planning e il budgeting della creazione di SOC, devono considerare l’attuale crescita della domanda di servizi Security Operation Center e CERT sia da parte di aziende medie e grandi che decidono di non creare queste strutture “in house”, sia da parte di realtà che non rinunciano ad avere SOC di proprietà ma desiderano integrarli con Managed Security Service abbracciando l’emergente modello hybrid SOC.

A proposito delle attività di un CERT è importante ricordare che possono esserci interessanti sinergie con quelle dei SOC (molte aziende, soprattutto le più grandi, sono dotate di questi centri o fruiscono delle prestazioni di CERT esterni privati o istituzionali).

Il fine ultimo è accompagnare le aziende nel consolidare strategie tese a costruire una vera e propria “readiness” relativa al contrasto delle minacce cyber.

Nello specifico, i CERT possono erogare servizi preventivi (per esempio alert su attacchi in corso); veri e propri bollettini sulla sicurezza; formazione e gestione dei servizi di sicurezza.

Chi lavora in un SOC

Un Security Operation Center deve avere un SOC manager che interloquisce con il CISO (Chief Information Security Officer) e con altri stakeholder aziendali.

Sempre più spesso questa figura dovrà dialogare con entità impegnate nella cyber security a livello nazionale, come previsto dalla direttiva europea NIS. Presto sarà finalmente operativo una sorta di SOC nazionale, il CSIRT Italia, che integrerà le funzioni attualmente svolte dal CERT Nazionale Italia (operante presso il Ministero dello Sviluppo Economico) e dal CERT-PA (Agenzia dell’Italia Digitale) e che dipenderà dalla Presidenza del Consiglio dei Ministri.

I rapporti fra SOC e i CERT nazionali diventeranno sempre più cruciali in futuro.

Il principale compito di un SOC manager, è analizzare le esigenze di personale in termini sia quantitativi sia qualitativi, cercare e assumere le risorse, motivarle, assicurarne il training, e guidarle facendo sentire a tutti una missione comune.

Il personale impiegato in un SOC deve possedere skill diversificati. In genere possiede una laurea specialistica in Informatica o Ingegneria Informatica, con un titolo ulteriore (master di primo livello, laurea magistrale, master di secondo livello, dottorato di ricerca) in cyber security.

Chi lavora nel SOC Level 1, di solito, ha skill più di tipo sistemistico (integrazione fra security monitoring tool, apparati di networking, computer, endpoint, etc.); chi opera nell’Incident Response e nel Vulnerability Management, invece, ha conoscenze maggiori di programmazione, applicazioni e sicurezza in generale (attaccanti, motivazioni, tecniche, dark web, etc.).

Quanto spendere in un SOC: investimenti e ROI

Costruire un Security Operation Center richiede investimenti in facility, tecnologie avanzate, personale sufficiente per coprire tutti i turni al completo e molto qualificato. Prevede frequenti refresh tecnologici e acquisizione di nuove certificazioni da parte degli addetti. Forse non è esagerato prevedere un range di investimenti annui che oscilla fra il milione di euro a qualche decina di milioni.

Fondamentale, quindi, analizzare il ROI delle diverse opzioni di SOC e CERT on-premise, ibrido o integralmente fruito tramite MSSP per ogni caso specifico.

SOCaaS, ecco cos’è il SOC as a service e perché sceglierlo

Il significato di abbracciare il modello SOCaaS – SOC as a service sta nel fatto di poter utilizzare servizi in cloud per difendere e prevenire attacchi informatici alla propria organizzazione.

Si ricorre al SOC as a service quando l’azienda (nelle figure di CISO e/o CIO) ritiene che è troppo costoso acquisire tutto quel che serve, incluse ovviamente le competenze, per realizzare un SOC interno.

Inoltre, grazie al paradigma as a service, è possibile avere accesso a tecnologie evolute che altrimenti risulterebbero inaccessibili. Si pensi, per fare un solo esempio, alla threat intelligence…

Non solo. Avendo accesso a un sistema centralizzato è possibile attingere alla conoscenza di più aziende. Inevitabilmente, infatti quel che si verifica in una realtà, si mette a fattor comune.

È ovviamente importantissimo (anche) in questo caso siglare SLA precisi per regolare il servizio fruibile in cloud. Usare il SOCaaS, infatti, vuol dire far transitare delicate informazioni sulla sicurezza attraverso canali diversi e poi integrarle con quelle gestite dall’azienda.

Una volta tutelati i livelli di servizio, il SOCaaS stesso, mediante strumenti di automazione può risolvere le questioni di integrazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale Digital Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

  • Analisi

    Internet of Things satellitare, il futuro della IoT verso una copertura globale

    17 Gen 2025

    di Giorgio Fusari

    Condividi

  • SPONSORED STORY

    Modernizzazione dei mainframe: il contributo dell’AI alla gestione delle infrastrutture

    03 Dic 2024

    Condividi

  • SPONSORED STORY

    Il vero impatto di automazione e AI nella gestione dei dati

    26 Set 2024

    di Maria Rosaria Iovinella

    Condividi

  • NEWS

    Meno ghiaccio, più cavi: l’Artico entra nella geografia della connettività “grazie” alla crisi climatica

    03 Mag 2024

    Condividi

Prossimo

Internet of Things satellitare, il futuro della IoT verso una copertura globale

Articolo 1 di 5