SOC As a Service ha nell’acronimo SOCaaS un’ennesima applicazione del cloud, il che non rende immediatamente comprensibile il suo significato intrinseco.
Trasformare il centro operativo di sicurezza in una chiave di servizio on demand e pay per use, infatti, può generare confusione per diversi motivi. Vediamo quali.
SOC As a Service: che cosa è
Il SOCaaS riflette un modello basato sui servizi che esternalizza parti delle funzioni di un SOC a un fornitore esterno. Il driver principale del SOC in chiave As a Service è stato l’evoluzione sempre più funzionale del cloud. Il passaggio al cloud significa che le informazioni di sicurezza come, per esempio, avvisi, telemetria, registri e informazioni di rete, diventano accessibili tramite canali diversi rispetto alla gestione effettuata tramite ambienti in locale.
Grazie all’applicazione di vari meccanismi, i team di sicurezza ottengono tutta una serie di informazioni a diversi livelli dello stack in un contesto cloud. Ma come si conciliano le informazioni di un SOC As a Service con quelle provenienti da strumenti locali o gestiti direttamente dall’organizzazione?
Il SOCaaS risolve l’integrazione di questi flussi di dati utilizzando strumenti di automazione per tenere traccia delle risorse gestiti dall’ambiente che si vuole presidiare, contrassegnando le anomalie e bloccando o inviando le segnalazioni più opportune. Questo tipo di attività, infatti, può essere fatto in modo totalmente automatizzato oppure, in alcuni casi, può essere soggetto alla revisione di un’analista umano che supervisiona i processi, eliminando i falsi positivi.
Sicurezza sulle nuvole: ci sono fornitori e fornitori
In primo luogo, i professionisti possono mettere in dubbio quale sia la differenza tra SOCaaS e altri modelli come, per esempio, i provider di servizi di sicurezza gestiti (MSSP – Managed Security Service Provider) o il rilevamento e la risposta gestiti (MDR – Managed Detection and Response).
In secondo luogo, il ruolo e la portata di un SOC possono essere molto diversi da impresa a impresa.
A questo punto sorge spontanea la seguente domanda. Quali elementi SOC sono inclusi in una formula as a Service e quali no?
Quali sono le aree presidiate da un SOCaaS
Concentrandosi sugli elementi di monitoraggio di un SOC tradizionale piuttosto che su elementi operativi specifici dell’azienda, il SOC As a Service differisce da una MSSP tradizionale. Gli MSSP, infatti, possono avere la funzione di monitoraggio come parte integrante della loro offerta di servizi. In genere questi ultimi andranno a includere anche il funzionamento di numerosi strumenti di sicurezza locali.
Prendiamo, per esempio, gli elementi sorgente necessari per realizzare quel tipo di monitoraggio. Il servizio può includere controllo e manutenzione di tutti gli strumenti di sicurezza locali, come:
- i sistemi di rilevamento delle intrusioni (IDS) e i firewall
- la raccolta dei dati di telemetria di tutti i dispositivi sulla rete
- la raccolta dei vari log
Un MSSP non solo gestisce una parte del monitoraggio, ma in genere si occupa anche della manutenzione e del funzionamento dell’infrastruttura fisica necessaria a realizzare la raccolta dei dati che cerca di monitorare.
In estrema sintesi, quando si parla di SOC As a Service non tutti i fornitori di servizi o le offerte sono equivalenti. È possibile che si verifichino sovrapposizioni significative man mano che si procede con lo sviluppo di ulteriori funzionalità o che i fornitori procedono a introdurre formule più innovative.
SOCaaS e MDR
Nell’ambito del SOCaaS e dell’MDR generalmente vengono utilizzati strumenti di analisi integrate all’apprendimento automatico e ad altri strumenti o metodi finalizzati a semplificare il processo di rilevamento. Questa semplificazione è più efficace rispetto a quando il set di strumenti di raccolta dei dati è disparato, eterogeneo o è unico per una determinata organizzazione.
A questo punto, alcuni professionisti potrebbero pensare che SOCaaS assomigli molto a MDR. Ci sono aspetti di ciascuno che si sovrappongono.
Analogamente al SOC As a Service, i provider MDR utilizzano generalmente strumenti di apprendimento automatico e strumenti analitici per facilitare il rilevamento degli eventi, appoggiandosi a diversi ambienti sia in cloud che locali.
Il vantaggio di subappaltare a un fornitore la gestione del SOC è che questo, utilizzando il proprio set di strumenti e le proprie tecniche, garantisce economie di scala più interessanti rispetto alla capacità di rilevamento e di risposta di una singola azienda. Il tutto consentendo di ottenere una visione migliore a costi più bassi. A differenza di un modello MSSP tradizionale, un partner MDR generalmente non gestirà o gestirà direttamente strumenti di sicurezza come SIEM, IDS, rilevamento di anomalie del comportamento di rete o filtro di rete nei locali dei clienti.
Come valutare se il SOCaaS è l’opzione giusta
Per valutare il miglior servizio ogni azienda deve prima identificare bene quali sono i requisiti. L’importante, dunque, è iniziare da un’analisi sistematica degli obiettivi che si vogliono centrare con il programma di sicurezza. L’obiettivo potrebbe essere quello di rafforzare la capacità di rilevamento oppure, più semplicemente, di ridurre i costi di monitoraggio o, ancora, di migliorare la visibilità negli ambienti cloud o di rafforzare gli ambienti locali o esterni. Rispondere a queste domande aiuta a migliorare la comprensione e a identificare meglio quale tipo di servizio o fornitore potrebbe essere la soluzione migliore.
Se si tratta di una grande organizzazione con una o più relazioni MSSP già in atto, è possibile che gli stessi provider siano in grado di supportare il monitoraggio aggiungendo una voce di costo al contrato in essere. Se un’organizzazione ha chiaramente delimitato gli ambienti cloud (ad esempio l’uso intensivo di un modello IaaS con un singolo provider), un’offerta SOC As a Service che si rivolge specificamente a quell’ambiente potrebbe essere una valida opzione. Le organizzazioni possono scegliere di coinvolgere un partner MDR per rafforzare la propria capacità di risposta in entrambi i casi. La decisione su quale sia ottimale dipende da ciò che è già in atto e da ciò che l’azienda sta cercando di realizzare, nonché da eventuali criteri specifici dell’organizzazione che possono influenzare il modo in cui ciò viene realizzato.
Come iniziare il rapporto con un fornitore SOC As a Service
Prima di sottoscrivere il contratto, è consigliabile testare il servizio. Per esempio, si può partire dalla richiesta di eseguire test di penetrazione che può aiutare a identificare eventuali singhiozzi inaspettati nella consegna. Alcuni provider, infatti, avranno dei limiti di fattibilità. Inoltre, i team di sicurezza potrebbero non voler impegnarsi in un aggiornamento della loro intera infrastruttura di monitoraggio solo per testare le capacità di un particolare fornitore. Tuttavia, questo tipo di richieste sono ben note ai provider, che hanno esperienza e quindi possono supportare i potenziali clienti nelle loro valutazioni.
Infine, nell’incrociare l’elenco di funzionalità con l’elenco dei fornitori, i team di sicurezza devono mantenere la loro supervisione prima, durante e dopo l’onboarding del fornitore di servizi. Analogamente a come manterrebbero la supervisione di un fornitore cloud per comprendere l’aderenza agli accordi sul livello di servizio, anche con il SOC As a Service le aziende devono assicurarsi di rimanere aggiornate nel tempo sulla tipologia di prestazioni offerta da ogni fornitore di servizi.
SOCaaS e intelligenza artificiale
In questi ultimi anni si sta puntando sempre più su servizi dedicati SOCaas che favoriscono processi automatici per la protezione di infrastrutture e device aziendali.
Alle organizzazioni servono servizi capaci di elaborare grandi quantità di dati, per esempio, per monitorare i comportamenti degli utenti di piattaforme e applicazioni al fine di prevenire (o intervenire tempestivamente) in caso di minacce. Grazie a funzioni as a service è possibile delegare complesse analisi di dati ed eventi a tecnologie veloci e sempre pronte all’uso.
La dimensione proattiva resa possibile dall’uso di tecniche di intelligenza artificiale as a service rende sempre più interessante per le aziende l’adozione di SOCaaS.