Negli ultimi anni, le grandi aziende hanno intensificato gli sforzi per proteggere le proprie infrastrutture digitali, spesso optando per la creazione di Security Operations Center (SOC) interni. Tuttavia, in un contesto caratterizzato da una cronica mancanza di risorse specializzate e da una crescente complessità delle minacce informatiche, questa scelta si è rivelata molto spesso inefficace. E mentre alcune top enterprise stanno seguendo un modello di internalizzazione del SOC, lasciando alla gestione esterna attività marginali come il Vulnerability Assessment o la Threat Intelligence, la maggior parte delle organizzazioni sta progressivamente virando verso un modello di SOC ibrido, capace di coniugare la gestione interna degli aspetti più strategici della sicurezza – compliance normativa, garanzia della continuità operativa e Risk Management – con il ricorso a fornitori esterni (Managed Security Service Provider e Managed Detection and Response Service) per la presa in carico di tutti gli aspetti più tecnici, ma sempre più critici legati all’identificazione tempestiva e alla risposta efficace a qualsiasi tipo di minaccia.
Cos’è un SOC ibrido
Un SOC ibrido è un centro operativo per la sicurezza che si avvale di professionisti sia interni che esterni, che operano in loco o in remoto, e di software e servizi di protezione in parte gestiti direttamente e in parte erogati da partner professionali – che si fanno carico di tutti gli aspetti operativi.
Il concetto non è nuovo: modelli simili sono stati adottati dalle organizzazioni nel corso degli anni. Quello che però oggi fa propendere un numero sempre più cospicuo di aziende verso questa strada è la capacità di garantire un’efficacia senza precedenti nelle attività di Risk Management. Non solo flessibilità e scalabilità, ma anche accesso a tecnologie all’avanguardia e, soprattutto, a risorse professionali altamente qualificate, certificate e sempre aggiornate.
I limiti dei Security Operation Center esclusivamente “in house”
Questo approccio, in cui le responsabilità della sicurezza sono suddivise tra i team interni e un Managed Security Service Provider (MSSP) o un Managed Detection and Response (MDR) Service, può essere quindi “la soluzione ideale”, evidenzia Marco Bavazzano, Amministratore Delegato di Axitea, “per le organizzazioni che desiderano migliorare la visibilità sulle minacce, ottimizzare le risorse disponibili ma, soprattutto, sviluppare una strategia di sicurezza non più reattiva ma proattiva e, soprattutto, resiliente, in virtù della possibilità di incrociare e mettere a fattor comune competenze e tecnologie dell’azienda e del provider, a vantaggio dell’efficacia complessiva”.
“Chi non opta per un modello di SOC ibrido”, prosegue il CEO, “difficilmente, anche se ha a disposizione un team IT di grandi dimensioni, potrà avere accesso alle competenze specialistiche utili per monitorare gli eventi di sicurezza 24 ore su 24, mettere a punto le tecnologie all’avanguardia utili a identificare le minacce reali e ridurre i falsi positivi, prevenire e rispondere rapidamente agli incidenti”.
Il ruolo dei SOC As a Service nella strategia di Hybrid Security
La combinazione di competenze e tecnologie avanzate che caratterizza l’offerta di un Managed Security Service Provider permette di migliorare significativamente i tempi di risposta, anticipare le situazioni potenzialmente rischiose e prevenire gli incidenti. “Oggi molte aziende hanno compreso l’importanza di presidiare al meglio questi aspetti e cercano di approcciarli costruendosi anche le competenze interne. La vera questione è capire qual è il modello di governance della sicurezza a cui possono aspirare ad arrivare, che chiaramente varia in base alla tipologia di azienda, al business, al settore di appartenenza e agli investimenti che sono in grado di sostenere non solo oggi ma anche in futuro”.
Si tratta, quindi, di una vera e propria scelta strategica, che implica la capacità di saper gestire non tanto il singolo evento di sicurezza, ma tutta l’infrastruttura del SOC, che ha bisogno di aggiornamenti continui e di una manutenzione puntuale. “Non si tratta solo di mettere una patch e risolvere specifici problemi tramite il reboot di un server”, sottolinea Bavazzano, “ma di garantire un’evoluzione continua delle regole e dei criteri per l’individuazione delle minacce, che oggi rappresenta l’aspetto più critico”. E questo richiede investimenti consistenti, non solo nella control room, ma anche nei team che vi operano: personale che deve possedere molteplici certificazioni, competenze altamente specialistiche e che va soggetto a formazione e aggiornamento continui.
Il valore dell’esperienza “sul campo”
“Saper scegliere le giuste tecnologie; integrarle in modo corretto per fare in modo che non ci siano spazi non presidiati correttamente tra endpoint, server, Web application; avere componenti di sicurezza perfettamente integrati è un mestiere complicato, che necessita di skill difficili da reperire sul mercato. Persone abituate a districarsi in situazioni anche molto complesse e che possibilmente abbiano maturato la propria esperienza in settori e aziende diverse. Sì, perché la chiave per migliorare l’efficacia della prevenzione è l’esperienza. Noi gestiamo un parco clienti davvero eterogeneo e siamo diventati sempre più efficaci ed efficienti a farlo nel corso degli anni, passando da una decina di clienti nel 2016, quando abbiamo iniziato, agli oltre 500 attuali”.
Come scegliere il partner di riferimento per le strategie di SOC ibrido
Una volta compreso che le strategie di Hybrid SOC rappresentano la scelta più indicata in molti casi, rimane da capire sulla base di quali criteri compiere la scelta del partner di riferimento a cui “appoggiarsi”. Il consiglio di Bavazzano è di fare attenzione in particolare a questi tre elementi:
- Disponibilità del provider a negoziare i livelli di servizio anziché definire a priori, contrattualmente, SLA che il cliente può solo accettare ma non modificare.
- Modalità di collaborazione che si possono realizzare con la struttura IT interna all’azienda. “Ci sono diverse situazioni, ma noi abbiamo deciso di operare sempre all’insegna della massima trasparenza, per esempio condividendo anche le dashboard relative agli eventi da noi segnalati”, tiene a puntualizzare Bavazzano.
- Strategia del MSSP. “Alcuni offrono semplicemente servizi di Managed Detection and Response, gestiscono gli endpoint oppure la rilevazione e risposta alle minacce, ma non sono provider di servizi SOC completi come noi”, sottolinea il CEO.
Un altro aspetto chiave dell’offerta che Bavazzano sottolinea di approfondire è legato all’impiego più o meno diffuso dell’intelligenza artificiale. “L’adozione dell’AI è un driver di crescita molto forte” conclude il CEO. “Noi la utilizziamo per creare nuovi servizi, come la videoanalisi, ma anche per automatizzare alcuni processi nel SOC che, altrimenti, richiederebbero tempi troppo lunghi per essere eseguiti. Abbiamo un parco clienti che aumenta costantemente, parallelamente al numero delle minacce. Questo significa che cresce in proporzione il numero di eventi da monitorare e gestire e con l’AI riusciamo a essere molto più efficaci di quanto non fossimo anche solo fino a un paio di anni fa”.
