Un Security Operation Center, detto più semplicemente SOC, è un’unità costituita da un insieme di persone, processi e tecnologie che, in modalità continua e da remoto, nel caso di un servizio fornito da un Managed Security Service Provider, presidia sistemi, reti, dispositivi e applicazioni, avvalendosi di soluzioni intelligenti di monitoraggio e di rilevamento degli attacchi. Di fatto, a seconda del tipo di contratto definito con il cliente, le squadre che lavorano nei SOC possono: intercettare in maniera proattiva un attacco informatico, informando tempestivamente l’Incident Response Team (IRT) del cliente; suggerire all’IRT le azioni di risposta all’attacco necessarie a mitigarne o annullarne l’impatto; eseguire le azioni di risposta e raccogliere le evidenze utili per una successiva analisi forense. È per questo motivo che il SOC spesso è sinonimo di Sicurezza Informatica Gestita (SIG), in quanto il suo è un approccio estremamente più evoluto ed emancipato rispetto alla governance delle infrastrutture ICT.
Security Operation Center nell’era dell’Outsourcing 4.0
Oggi stare al passo con il cybercrime è diventata una mission impossible per le aziende. Alle squadre IT si richiede di orchestrare sistemi e servizi di rete sempre più complessi e sofisticati, cablati o wi-fi, aperti o integrati alle infrastrutture di clienti e fornitori. Nell’era dell’Industria 4.0 l’outsourcing non solo è il modo migliore di trasferire oneri e complessità gestionali che non fanno parte del core business su provider specializzati, ma è l’unico modo per avere una sicurezza gestita e garantita 24 ore su 24, 7 giorni su 7, con un alto livello di prevenzione, tempestività e specializzazione. I team di esperti che lavorano in Security Operation Center sono costantemente di guardia a sistemi e infrastrutture; grazie a sofisticati strumenti di monitoraggio e di analisi, gli esperti della sicurezza analizzano un flusso continuo di dati ed eventi, che attingono a una pluralità di fonti, per ricavare informazioni aggiornate con l’obiettivo principale di rilevare e dare la giusta priorità agli incidenti che potrebbero avere un impatto negativo sui sistemi informativi o sui dati di un’organizzazione.
I vantaggi di una sicurezza gestita
Tra i primi 10 SOC eccellenti in Italia troviamo NEST2, system integrator che, da oltre vent’anni, progetta e realizza soluzioni integrate al più alto grado tecnologico e con il massimo livello di certificazioni. Oggi la società è parte di Lutech Group con una mission molto chiara: offrire alle aziende pubbliche e private soluzioni informatiche costruite su misura, indipendentemente dalle dimensioni e dai settori di riferimento, garantendo l’eccellenza nella gestione dei servizi ICT, contribuendo al successo dei clienti che vengono accompagnati nel loro digital transformation journey.
“Del nostro SOC i clienti apprezzano prima di tutto i nostri quindici anni di esperienza – spiega Fabio Ingrosso, IT and Security Business Unit Manager di NEST2 -. Abbiamo costruito un mix di processi, procedure e competenze che contraddistinguono il Security Operation Center per la sua capacità di gestire volumi elevati di attività con qualità ed efficienza. Gestiamo SOC per grandi realtà nazionali, sia Telco sia Enterprise, per un totale di circa 20mila ticket di sicurezza l’anno e oltre 3mila device amministrati”.
Il Security Operation Center di NEST2 copre tutte le fasi operative di gestione della sicurezza, offrendo ai clienti dei diversi settori le migliori tecnologie di cyber security, integrate nelle loro infrastrutture e gestite da remoto con continuità. L’approccio, standardizzato e vendor independent, è basato su standard internazionale ISO 27001:2011 e sulla best practice ITIL, in modo da essere calibrato per definire e mantenere il livello ottimale di sicurezza identificato per ogni cliente. Il portafoglio dell’offerta include Infrastructure and Application monitoring, Cyber Threat Intelligence, Security Incident e Change Management e Security Professional Services.
Terziarizzare con la massima fiducia nel partner
Per offrire massima trasparenza informativa e aiutare le aziende ad acquisire o migliorare le competenze nella gestione della sicurezza, in NEST2 le procedure di gestione dei servizi vengono redatte in base agli investimenti in tecnologie e in aggiornamento professionale e alle informazioni ricavate dai flussi di processo gestiti e presidiati dagli esperti del SOC. Questo rappresenta un vantaggio in termini operativi ma anche e soprattutto in termini di risorse. Quante aziende, infatti, oggi sono in grado di fronteggiare gli attacchi informatici investendo costantemente in tecnologie, risorse e formazione?
“Il problema della sicurezza gestita è costruire una relazione di fiducia con il cliente – prosegue Ingrosso -. Nella prima fase di outsourcing del servizio SOC a un Managed Security Service Provider, infatti, può essere eventualmente delegata solo l’attività di monitoraggio, rilevamento e classificazione degli incidenti di sicurezza (Incident detection, logging e triage). L’esperto SOC si accorge di un’anomalia o di un attacco, lo registra nei dettagli, lo classifica in termini di gravità e lo notifica al cliente. Ma il vero valore aggiunto del SOC è la fase di analisi e di risposta (Incident analysis e response), in cui il cliente con fiducia permette agli esperti del SOC provider l’accesso e la modifica della configurazione dei sistemi su cui è possibile intervenire per prevenire o mitigare, in modo tempestivo, gli impatti di un attacco informatico. Non è un passaggio scontato e nemmeno immediato: generalmente i clienti iniziano con l’affidarci i servizi di monitoring, alerting o early warning. Dalla tipologia di relazione che instauriamo e dagli Incident Report che condividiamo, puntualmente si genera una relazione più stretta che inaugura un dialogo sempre più spinto: la relazione contrattuale con il tempo si trasforma in fiducia”.
Non solo operatività ma anche tanta Ricerca e sviluppo
Nei Security Operation Center lavorano professionisti specializzati in più ambiti di competenza: analisti, figure che si occupano specificatamente dei processi di reazione agli incidenti, threat hunter che triangolano esperienze, competenze e certificazioni per tutte le tecnologie di cybersicurezza monitorate e gestite. In qualità di partner globale, NEST2 si fa carico di tutti i servizi operativi, in outsourcing completo per garantire una business continuity improntata alla massima efficienza, all’ottimizzazione dei costi e al mantenimento del TCO (Total Coast of Ownership). Ciò consente ai clienti di concentrare tutte le loro risorse sul successo del business, senza più preoccupazioni legate alla gestione della sicurezza con la garanzia di avere sempre le migliori risorse al proprio servizio.
“Investiamo costantemente in formazione, ricerca e sviluppo – conclude Ingrosso -. Il sistema di IT Service Management, sviluppato e gestito da NEST2, mette a disposizione dei clienti un accesso H24x7 multicanale al SOC (email, IVR, web portal). Al momento stiamo lavorando per introdurre nuove componenti tecnologiche a livello di correlazione degli eventi di sicurezza, di orchestrazione e di automazione nella gestione dei Security Incident. L’evoluzione è lavorare sulle tecnologie di deep learning e artificial intelligence, in modo che il SOC abbia un approccio dinamico e predittivo, proattivo e non solo reattivo”.