Il Security Operations Center (SOC)
Un SOC (Security Operations Center) è composto da un team di professionisti di sicurezza informatica interno all’azienda (o in outsourcing) dotato di sofisticate tecnologie, che monitora l’intera infrastruttura IT di un’organizzazione, 24 ore al giorno, 7 giorni alla settimana, per rilevare in tempo reale gli eventi relativi alla sicurezza informatica e affrontarli nel modo più rapido ed efficace possibile.
Un SOC, inoltre, seleziona, gestisce e mantiene le tecnologie di sicurezza informatica dell’organizzazione e analizza continuamente i dati su minacce e vulnerabilità per migliorarne il perimetro di sicurezza.
Cos’è un SOC
Il SOC è spesso considerato come la realizzazione più tangibile e visibile della real-time security situational awareness e, data l’accelerazione evolutiva della minaccia digitale, è ancora oggi un asset importante per ogni organizzazione, sia che lo utilizzi per la propria protezione, sia che lo offra come servizio di outsourcing.
Al pari delle evoluzioni digitali, anche i SOC hanno subito evoluzioni progressive trasformandosi nel tempo: da centri di solo allertamento per eventi di network (NOC), sono stati progressivamente dotati di capacità reattive e proattive, fino a raggiungere il livello di centri operativi di monitoraggio e risposta proattiva, spesso supportati da processi automatizzati.
Il principale vantaggio di gestire o assegnare in outsourcing un SOC è unificare e coordinare gli strumenti e le pratiche di sicurezza in risposta ai security incident.
Questo generalmente determina il miglioramento delle misure preventive e delle politiche di sicurezza, consente un rilevamento più rapido delle minacce e una risposta più veloce, efficiente ed efficace in termini di costi alle minacce di sicurezza.
Inoltre, un SOC può contribuire ad incrementare la fiducia dei clienti e semplificare e rafforzare la conformità di un’organizzazione alle normative in materia di privacy e sicurezza del settore, nazionali e globali.
A cosa serve?
L’obiettivo di un Security Operations Center è quello di prevenire rischi cyber, rilevare, analizzare e rispondere agli attacchi informatici rivolti contro l’organizzazione, utilizzando soluzioni tecnologiche e diversi approcci.
I SOC monitorano e analizzano l’attività su reti, server, endpoint, database, applicazioni, siti web e altri sistemi, alla ricerca di vulnerabilità informatiche o comportamenti anomali che potrebbero indicare un attacco alla sicurezza o una compromissione del sistema.
Il SOC deve garantire che i potenziali attacchi siano adeguatamente identificati, analizzati, difesi, investigati e segnalati.
Perché è importante per le aziende?
La ragione principale per cui è utile dotarsi di un SOC è la possibilità di prevenire, individuare e rispondere agli attacchi alla sicurezza attraverso il monitoraggio dei dati e il security monitoring. Tuttavia, allestire e gestire un Security Operations Center è complicato e costoso.
Le aziende ne usufruiscono per diverse ragioni, come ad esempio:
- Proteggere i dati sensibili;
- Rispettare i regolamenti del settore come PCI DSS;
- Rispettare i regolamenti governativi come il GDPR HIPAA.
Il SOC monitora i dati di rete, server, endpoint e database 24 ore al giorno, 7 giorni su 7.
Ciò consente alle aziende di prevenire e difendersi da eventuali attacchi malevoli, indipendentemente dal tipo di fonte o di attacco, così come dall’ora dell’evento.
Avere un SOC aiuta le organizzazioni a ridurre il tempo necessario per rivelare una minaccia alla sicurezza. In questo modo, si può intervenire prima che il sistema venga danneggiato.
Differenze fra SOC, CERT e CSIRT
Spesso chi si occupa di attività legate al SOC viene chiamato per attività di sicurezza gestita ma poi, altrettanto spesso, il coinvolgimento si estende alla incident response.
I termini CERT (Computer Emergency Response Team), CSIRT (Computer Security Incident Response Team), CIRT (Computer Incident Response Team) e SOC sono usati spesso in relazione alla “risposta agli incidenti”, ma non a tutti è chiara la differenza fra le sigle.
CERT, CSIRT e CIRT sono spesso usati come sinonimi per descrivere i team incentrati sulla risposta agli incidenti, mentre il SOC ha in genere un significato più ampio legato alle diverse capacità espresse dai team di security che lo compongono.
In particolare, il CSIRT è formalmente definito dalla Carnegie Mellon University come “un’entità organizzativa concreta (cioè uno o più membri del personale) a cui è assegnata la responsabilità di coordinare e supportare la risposta a un evento o incidente di sicurezza informatica”.
Il termine CERT, invece, è legato al suo operato indicato come “partner con il governo, l’industria, le forze dell’ordine e il mondo accademico per migliorare la sicurezza e la resilienza dei sistemi e delle reti informatiche, sviluppando metodi e strumenti avanzati.
L’iSOC di Telsy
L’iSOC è il Security Operations Center di Telsy e del Gruppo TIM, una struttura composta da personale altamente specializzato nella identificazione, gestione e rimediazione di incidenti di sicurezza informatica rivolti ad aziende e Pubbliche Amministrazioni.
Come specificato da Adriano Forte, SOC Manager di Telsy, al suo interno operano due anime, una rivolta al delivery ed alla successiva gestione di tutti quei sistemi a salvaguardia di una infrastruttura, l’altra dove convergono tutti i servizi professionali di Red e Blue Team.
Nello specifico il Blue Team è costituito dal gruppo di difesa votato a monitorare ed analizzare la tipologia delle minacce e verificare la portata dell’azione malevola in corso, mentre il Red Team, è il gruppo che ha il compito di identificare i vari tipi di minacce all’interno dell’infrastruttura del cliente.
Dalla sua sede nel Centro Direzionale di Napoli l’iSOC opera h24, 365 giorni l’anno, per assicurare l’attivazione delle misure di protezione, contenimento e filtraggio degli attacchi cyber alle organizzazioni che si affidano a Telsy, TIM Enterprise e alle relative soluzioni di Managed Detection & Response per monitorare le proprie infrastrutture e garantire la continuità operativa in caso di incidenti informatici.
L’iSOC opera sia tramite tecnologie proprietarie, sia con prodotti di vendor leader di mercato che permettono di gestire, in base alle esigenze del cliente, tutte le proposizioni progettuali.
Telsy – conclude Adriano Forte – è presente capillarmente su tutto il territorio nazionale grazie al bacino di clienti TIM, in quanto centro di competenza ed eccellenza in materia cybersecurity e crittografia.
Scopri tutte le soluzioni di Telsy per gli altri strumenti di sicurezza preventiva e reattiva dedicati alle aziende.