Un SOC (Security operation center) è un insieme di persone, processi e tecnologie, spesso centralizzati, che – come minimo – riceve e analizza reportistica e data feed (flusso continuo di dati strutturati che fornisce agli utenti informazioni ogni volta aggiornate da una o più fonti), ad esempio i log, dai sistemi IT e di cyber security, con l’obiettivo principale di rilevare e dare la giusta priorità agli incidenti che potrebbero avere un impatto negativo sui sistemi informativi o sui dati di un’organizzazione.
Esistono poi differenze tra le funzioni di un Security operation center e l’altro: alcuni si limitano a questo ruolo di monitoraggio, altri gestiscono anche le vulnerabilità riscontrate e il risanamento degli eventuali incidenti rilevati; altri ancora, sebbene non si occupino direttamente delle azioni di risanamento, hanno come compito quello di supportare e coordinare le azioni di risposta agli incidenti.
Nello svolgimento dei loro compiti, i SOC possono quindi fornire servizi di gestione o monitoraggio di una serie di tecnologie di prevenzione e rilevamento intrusioni (per esempio firewall, IDS-Intrusion detection system, IPS-Intrusion prevention systems), gateway di sicurezza web ed e-mail, tecnologie avanzate di difesa dalle minacce, tecnologie SIEM (Security information and event management), soluzioni, che includono vari strumenti, pensate per una security unificata)
Lavorano nei SOC persone con più ambiti di competenza: per esempio analisti, figure che si occupano specificatamente dei processi di reazione agli incidenti, threat hunter.
Scegliere il fornitore: primi elementi di riflessione
Poiché le organizzazioni si scontrano con un numero crescente di minacce e attacchi, l’istituzione di un SOC, che nascendo sistematizzi e massimizzi la capacità di difesa e reazione dell’azienda, sta diventando necessaria per sempre più realtà. Tuttavia realizzare un SOC nel proprio data center è spesso un’impresa complessa, che richiede tempo, denaro, persone, competenze specifiche. Per questo molte aziende valutano la possibilità di esternalizzare alcuni o tutti i propri servizi Security operation center a società terze, fornitori di servizi SOC, che evidentemente godono del vantaggio fondamentale di essere specializzate nella materia e poter studiare il cybercrime, osservando i propri clienti, all’interno di molte e diverse realtà aziendali.
E tuttavia, dal momento che, come accennato, esistono molte differenze tra i compiti e le funzioni di un SOC e l’altro, non sempre è facile scegliere quale sia quello ideale per la propria realtà.
Per valutare è certamente utile innanzitutto identificare i sistemi di sicurezza informatica che l’organizzazione ha già implementato, consapevole della loro utilità, ma che non vengono utilizzati in modo efficace (es. firewall, IDS/IPS) a causa di criticità tecniche o mancanza di esperienza e competenze. In secondo luogo, è necessario identificare quali altri servizi e sistemi di sicurezza sarebbe utile integrare, ma che per ragioni di mancanza di skill interni e di capacità tecniche non possono essere implementati e gestiti in modo efficace (es. strumenti di threat intelligence).
Cosa valutare nel fornitore Soc – Security operation center
Fatta questa analisi, ci si deve poi domandare se può bastare all’azienda rivolgersi a un provider di servizi Security operation center che svolga solo compiti di monitoraggio o se si vuole un fornitore con più funzioni, per alleggerire ulteriormente l’organizzazione.
Indipendentemente dalla risposta a questo interrogativo, è utile in ogni caso verificare una serie di aspetti:
- Il fornitore deve mettere a disposizione un portale web per il cliente con autenticazione a più fattori e controllo degli accessi basato sui ruoli. Questo portale deve fornire strumenti di analisi e immagini per la visualizzazione delle informazioni, aggiornamenti in tempo reale, report personalizzabili in base alle esigenze dell’utente.
- Il fornitore dovrebbe essere in grado di erogare i servizi richiesti 24 ore su 24, 7 giorni su 7, offrendo molteplici vie di contatto (es. telefono, e-mail, chat);
- Esperienza e competenze sono evidentemente fondamentali in un’area così critica; ci dev’essere personale certificato per tutte le tecnologie di cybersicurezza monitorate o gestite. Altrettanto importante è anche però verificare che i servizi SOC individuati si integrino nel piano di risposta agli incidenti di sicurezza dell’organizzazione; i servizi devono cioè essere customizzabili, non è compito dell’azienda-cliente adattarsi a un modello standard di servizio.
Stabilità e sicurezza del fornitore
Per individuare un partner degno di fiducia, è utile accertarsi che questi sia finanziariamente stabile e che abbia un forte tasso di customer-retention. Deve offrire accordi basati sui livelli di performance dei servizi che includano la possibilità di interrompere il rapporto di collaborazione in caso di inadeguatezza delle performance stesse.
L’utilizzo di un provider di servizi Security operation center comporterà probabilmente la condivisione di dati sensibili o l’accesso del fornitore ad alcuni dei sistemi informativi della vostra organizzazione. Per prevenire incidenti o carenza di conformità alle regole è necessario che il Security operation center fornisca i servizi richiesti da almeno due siti distribuiti geograficamente per assicurare ridondanza e capacità di disaster recovery; deve essere certificato in almeno uno degli standard riconosciuti di sicurezza informatica (per esempio. PCI DSS, la Federal Risk and Authorization Management Program e ISO 27001) e avere una valutazione SSAE16 (Statement on Standards Attestation Engagements 16) eseguita regolarmente; dovrebbe anche essere in grado di ricevere e inviare dati da e verso l’organizzazione cliente tramite metodi crittografati, come TLS 1.1+. Determinante è poi la disponibilità del provider a “farsi controllare”: dovrebbe consentire all’azienda-cliente di eseguire una due diligence del proprio stato di security e periodicamente sottoporsi a un controllo esterno di sicurezza informatica da parte di terzi affrontando penetration test interni ed esterni almeno una volta all’anno.
