Questo sito utilizza i cookie per migliorare la navigazione e raccogliere statistiche. Per conoscere in dettaglio la nostra policy sui cookie consulta l'informativa completa.
Continuando a navigare o cliccando X, acconsenti all'uso dei cookie.

Big Cover - 2021-06-07T165005.369 (1)
IDEAS

Cosa è un SOC (Security Operation Center) e perché le aziende ne hanno estremo bisogno

Gestire la protezione delle aziende è un’attività di alto livello che il Gruppo Lutech offre a più di mille clienti in Italia grazie a un team di 30 persone e a piattaforme di vendor leader di mercato come Fortinet.

Più di 1000 clienti gestiti

Il Next Generation SOC opera da più di 15 anni e gestisce la sicurezza informatica di più di un migliaio di clienti Corporate e della Pubblica Amministrazione, processando oltre 30mila ticket di sicurezza su un perimetro di gestione complessivo di oltre 3mila apparati.

Scopri di più

Capire cosa è un SOC (Security Operation Center) è semplice, comprendere come funzioni, quali servizi eroghi e perché sia sempre più strategico per le aziende, richiede un approfondimento.

Chiariamo subito che per SOC si può anche intendere un Service Operation Center, un centro operativo da cui gestire tutti i servizi applicativi aziendali. Ma SOC significa anche Security Operation Center, ed è questa l’accezione che vogliamo sviluppare. D’altronde, i servizi di gestione della sicurezza sono una parte consistente dei servizi erogati da un Service Operation Center.

L'NG-SOC, Next-Generation Security Operations Center, del Gruppo Lutech è uno dei più estesi e completi d’Italia. È un centro operativo in cui un team di oltre 30 tecnici certificati e specializzati eroga e gestisce un vasto catalogo di servizi modulari e flessibili 24x7 basati su processi standard riconosciuti e best practices internazionali. Tra questi, i servizi di sicurezza sono certamente i più rilevanti.

I servizi del NG-SOC di Lutech comprendono:

Cyber Security Assessment
Ethical Hacking
Cyber Threat Intelligence
Advanced Device Management
Real-Time Device Monitoring
Incident Identification&Notification
Alert&Early Warning
Incident Analysis & Triage
Incident Containment & Response.

Perché affidarsi a un SOC (Security Operation Center) di un partner It

Un SOC è un centro di comando da cui gestire e monitorare l’architettura informatica di un’azienda. In principio i SOC nascono nelle realtà enterprise, che li realizzavano all’interno del proprio data center.

Insieme alla diffusione dell’as-a-service per gli applicativi, lo sviluppo del cloud ha portato alla trasposizione dello stesso modello su ambienti fisici. Il cloud è stato prima pubblico e offerto dagli hyperscaler o privato per estendere il paradigma alle strutture on premise e, infine, è diventato la combinazione di più ambienti (ibrido e multicloud), in una parola: distribuito.

La struttura informatica distribuita e l’incremento dei workload aziendali svolti all’esterno del perimetro aziendale hanno richiesto uno nuovo modello di protezione per ambienti eterogenei, impossibile da fornire se non attraverso un centro unificato di controllo. Inoltre, affidarsi a un SOC “on top” dell’infrastruttura distribuita permette di usufruire di una protezione di classe enterprise anche alle aziende più piccole, grazie alla modalità per cui il cliente paga una fee fissa calcolata in base alla propria architettura e agli obiettivi di business.

In questo modo, le risorse di gestione e monitoraggio della protezione sono “democraticamente” messe a disposizione di tutte le aziende, indipendentemente da dimensione e capacità di spesa. Proprio le economie di scala e gli indubbi risparmi sui costi, si pensi solo al TCO e al ROI di un centro interno da realizzare ex novo, spingono naturalmente il mercato verso la scelta di un SOC esterno gestita da un partner It.

Gli obiettivi di un SOC (Security Operation Center)

In un centro operativo per la protezione convivono piattaforme di sicurezza e servizi applicativi complementari finalizzati a:

  • Realizzare uno standard di protezione proattiva
  • Garantire il monitoraggio dell’infrastruttura 24x7
  • Reagire immediatamente ad alert e incidenti
  • Ristabilire l’operatività dell’infrastruttura dopo un blocco
  • Adeguare alla compliance dati e applicazioni
  • Fornire servizi di protezione sempre aggiornati

Successivamente a una profonda analisi preliminare dell’infrastruttura del cliente, dei workload, dei nodi di accesso alla rete aziendale e, soprattutto, delle priorità di protezione di dati e applicazioni in base alle esigenze di business, il partner It e l’azienda cliente sono pronti a sviluppare un contratto di erogazione di servizi personalizzato con precisi SLA (Service Level Agreement).

Da specificare, inoltre, che la scelta di un SOC richiede una certa attenzione. È fondamentale avere delle garanzie su competenze, certificazioni, struttura, offerta e referenze del partner It perché, di fatto, il cliente sta affidando la protezione del proprio business a un’entità esterna.

Le principali componenti di servizio di un SOC

Lutech è Fortinet Expert Partner

Fortinet è leader mondiale nella protezione avanzata della rete e del suo contenuto e nella sicurezza degli accessi, del cloud pubblico e privato, degli endpoint.

fortinet logo 400x100 Scopri di più

Il Gruppo Lutech sfrutta diverse soluzioni Fortinet all’interno del proprio SOC di Cinisello Balsamo (MI). Questo perché non è opportuno affidarsi a un’unica piattaforma omnicomprensiva per la gestione della sicurezza. Per garantire la massima qualità ai propri clienti, il Gruppo Lutech ha individuato un ampio portfolio di servizi applicativi best-in-class integrabile, in cui ogni singola componente assolve (al meglio) un compito specifico.

All’interno di un Security Operations Center, sono tre le componenti di servizio essenziali: SIEM, SOAR e XDR, ciascuna con una specifica finalità. In un SOC non sono presenti solo servizi SIEM, SOAR e XDR, ma è indubbio che senza la disponibilità di questi non si può parlare di SOC.

Cosa è il SIEM (Security Information & Event Management)

Il SIEM (Security Information & Event Management), erogato attraverso la soluzione FortiSIEM di Fortinet, è il tool di gestione degli eventi di sicurezza registrati nei log dei singoli asset It, compresi i device e gli apparati IoT. Una piattaforma SIEM è una buona alleata per i tecnici di un centro operativo per la protezione. Infatti, il numero di alert che si generano dalle attività di un’infrastruttura It è elevatissimo e non è possibile pensare di gestirli senza un applicativo che li collezioni, li aggreghi, li identifichi e li analizzi.

FortiSIEM, inoltre, genera anche una risposta automatica o un rimedio, configurandosi come soluzione di protezione completa. FortiSIEM è anche integrabile e scalabile, ovvero è possibile estendere dinamicamente l’attività di FortiSIEM successivamente a un incremento dei workload o di apparati e dispositivi grazie a un’architettura basata su virtual machine.

La piattaforma unificata FortiSIEM, inoltre, riduce la complessità grazie al supporto multi-tenancy – una singola istanza fruibile in modo indipendente da diverse applicazioni – e multi-vendor, che garantisce la massima interazione con le piattaforme utilizzate dal cliente. Infine, con FortiSIEM il Gruppo Lutech sfrutta tutti i vantaggi di un’unica console centralizzata, di un sistema di detection dai tempi ridotti e garantisce ai propri clienti un ROI estremamente rapido.

Cosa è il SOAR (Security Orchestration, Automation and Response)

Sebbene una soluzione SIEM sia alla base di un servizio SOC, per garantire una protezione completa può non essere sufficiente. Questo anche perché una soluzione SIEM richiede regolari interventi di settaggio e fine tuning.

Integrato nella piattaforma Fortinet Security Fabric, FortiSOAR offre gestione, automazione e orchestrazione innovative degli eventi di sicurezza. Si tratta, ancora una volta, di uno strumento ideato per semplificare la vita degli specialisti, aiutando a unificare le operazioni e a ridurre i tempi di gestione degli alert, il cambio dinamico dei contesti e il tempo medio necessario per rispondere agli incidenti. In particolare, FortiSOAR fornisce tempi di risposta fino al 98% più veloci delle operazioni manuali.

Il vantaggio di una soluzione SOAR è, inoltre, di aggregare gli alert provenienti dai diversi asset It e isolarli. In questo modo, grazie anche ai modelli predefiniti (playbook) messi a disposizione, gli specialisti di sicurezza del Gruppo Lutech hanno tutto il tempo di analizzare e giudicare gli alert attraverso una visione unificata e un processo automatizzato.

Cosa è l'XDR (eXtended Detection & Response)

Ultimo tool che fa parte della dotazione basilare di un SOC è lo strumento di rilevazione e risposta multilivello. FortiXDR è l’estensione del concetto di EDR – strumento di rilevazione e risposta pensato per gli endpoint – all’intera infrastruttura It del cliente.

Si tratta di uno strumento aggiuntivo che fornisce un ulteriore livello di controllo successivo a quelli erogati da SIEM e SOAR. In questo caso si lavora sulla correlazione automatica di più livelli di sicurezza (endpoint, mail, server, workload in cloud e rete), ovvero sull’individuazione di un potenziale rischio che può passare inosservato poiché si manifesterebbe solo in correlazione a un evento relativo a un altro silos applicativo.

In definitiva, i servizi di gestione e il monitoraggio delle attività di applicazioni e dell’infrastruttura erogati da un SOC richiedono un set di soluzioni specifiche per l’interpretazione e l’aggregazione delle informazioni provenienti dai log dei diversi asset It. Queste soluzioni nascono con lo scopo di semplificare il lavoro degli specialisti di sicurezza del partner It e, grazie ad algoritmi di machine learning e di automazione e a modelli preimpostati di gestione, sono in grado di fornire risposte tempestive e coerenti alle problematiche di sicurezza che emergono dai diversi log generati dalle componenti dell’infrastruttura It.

Contatta Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

ideas

Vision & Trends sulla Digital Transformation