Cosa è un SOC (Security Operation Center) e perché le aziende ne hanno estremo bisogno

Capire cosa è un SOC (Security Operation Center) è semplice, comprendere come funzioni, quali servizi eroghi e perché sia sempre più strategico per le aziende, richiede un approfondimento.

Chiariamo subito che per SOC si può anche intendere un Service Operation Center, un centro operativo da cui gestire tutti i servizi applicativi aziendali. Ma SOC significa anche Security Operation Center, ed è questa l’accezione che vogliamo sviluppare. D’altronde, i servizi di gestione della sicurezza sono una parte consistente dei servizi erogati da un Service Operation Center.

L'NG-SOC, Next-Generation Security Operations Center, del Gruppo Lutech è uno dei più estesi e completi d’Italia. È un centro operativo in cui un team di tecnici certificati e specializzati eroga e gestisce un vasto catalogo di servizi modulari e flessibili 24x7 basati su processi standard riconosciuti e best practices internazionali. Tra questi, i servizi di sicurezza sono certamente i più rilevanti.

Un SOC è un centro di comando da cui gestire e monitorare l’architettura informatica di un’azienda. In principio i SOC nascono nelle realtà enterprise, che li realizzavano all’interno del proprio data center.

Insieme alla diffusione dell’as-a-service per gli applicativi, lo sviluppo del cloud ha portato alla trasposizione dello stesso modello su ambienti fisici. Il cloud è stato prima pubblico e offerto dagli hyperscaler o privato per estendere il paradigma alle strutture on premise e, infine, è diventato la combinazione di più ambienti (ibrido e multicloud), in una parola: distribuito.

La struttura informatica distribuita e l’incremento dei workload aziendali svolti all’esterno del perimetro aziendale hanno richiesto uno nuovo modello di protezione per ambienti eterogenei, impossibile da fornire se non attraverso un centro unificato di controllo. Inoltre, affidarsi a un SOC “on top” dell’infrastruttura distribuita permette di usufruire di una protezione di classe enterprise anche alle aziende più piccole, grazie alla modalità per cui il cliente paga una fee fissa calcolata in base alla propria architettura e agli obiettivi di business.

In questo modo, le risorse di gestione e monitoraggio della protezione sono “democraticamente” messe a disposizione di tutte le aziende, indipendentemente da dimensione e capacità di spesa. Proprio le economie di scala e gli indubbi risparmi sui costi, si pensi solo al TCO e al ROI di un centro interno da realizzare ex novo, spingono naturalmente il mercato verso la scelta di un SOC esterno gestita da un partner It.

In un centro operativo per la protezione convivono piattaforme di sicurezza e servizi applicativi complementari finalizzati a:

• Realizzare uno standard di protezione proattiva
• Garantire il monitoraggio dell’infrastruttura 24x7
• Reagire immediatamente ad alert e incidenti
• Ristabilire l’operatività dell’infrastruttura dopo un blocco
• Adeguare alla compliance dati e applicazioni
• Fornire servizi di protezione sempre aggiornati

Successivamente a una profonda analisi preliminare dell’infrastruttura del cliente, dei workload, dei nodi di accesso alla rete aziendale e, soprattutto, delle priorità di protezione di dati e applicazioni in base alle esigenze di business, il partner It e l’azienda cliente sono pronti a sviluppare un contratto di erogazione di servizi personalizzato con precisi SLA (Service Level Agreement).

Da specificare, inoltre, che la scelta di un SOC richiede una certa attenzione. È fondamentale avere delle garanzie su competenze, certificazioni, struttura, offerta e referenze del partner It perché, di fatto, il cliente sta affidando la protezione del proprio business a un’entità esterna.

Il Gruppo Lutech sfrutta diverse soluzioni Fortinet all’interno del proprio SOC di Cinisello Balsamo (MI). Questo perché non è opportuno affidarsi a un’unica piattaforma omnicomprensiva per la gestione della sicurezza. Per garantire la massima qualità ai propri clienti, il Gruppo Lutech ha individuato un ampio portfolio di servizi applicativi best-in-class integrabile, in cui ogni singola componente assolve (al meglio) un compito specifico.

All’interno di un Security Operations Center, sono tre le componenti di servizio essenziali: SIEM, SOAR e XDR, ciascuna con una specifica finalità. In un SOC non sono presenti solo servizi SIEM, SOAR e XDR, ma è indubbio che senza la disponibilità di questi non si può parlare di SOC.

Il SIEM (Security Information & Event Management), erogato attraverso la soluzione FortiSIEM di Fortinet, è il tool di gestione degli eventi di sicurezza registrati nei log dei singoli asset It, compresi i device e gli apparati IoT. Una piattaforma SIEM è una buona alleata per i tecnici di un centro operativo per la protezione. Infatti, il numero di alert che si generano dalle attività di un’infrastruttura It è elevatissimo e non è possibile pensare di gestirli senza un applicativo che li collezioni, li aggreghi, li identifichi e li analizzi.

FortiSIEM, inoltre, genera anche una risposta automatica o un rimedio, configurandosi come soluzione di protezione completa. FortiSIEM è anche integrabile e scalabile, ovvero è possibile estendere dinamicamente l’attività di FortiSIEM successivamente a un incremento dei workload o di apparati e dispositivi grazie a un’architettura basata su virtual machine.

La piattaforma unificata FortiSIEM, inoltre, riduce la complessità grazie al supporto multi-tenancy – una singola istanza fruibile in modo indipendente da diverse applicazioni – e multi-vendor, che garantisce la massima interazione con le piattaforme utilizzate dal cliente. Infine, con FortiSIEM il Gruppo Lutech sfrutta tutti i vantaggi di un’unica console centralizzata, di un sistema di detection dai tempi ridotti e garantisce ai propri clienti un ROI estremamente rapido.

Sebbene una soluzione SIEM sia alla base di un servizio SOC, per garantire una protezione completa può non essere sufficiente. Questo anche perché una soluzione SIEM richiede regolari interventi di settaggio e fine tuning.

Integrato nella piattaforma Fortinet Security Fabric, FortiSOAR offre gestione, automazione e orchestrazione innovative degli eventi di sicurezza. Si tratta, ancora una volta, di uno strumento ideato per semplificare la vita degli specialisti, aiutando a unificare le operazioni e a ridurre i tempi di gestione degli alert, il cambio dinamico dei contesti e il tempo medio necessario per rispondere agli incidenti. In particolare, FortiSOAR fornisce tempi di risposta fino al 98% più veloci delle operazioni manuali.

Il vantaggio di una soluzione SOAR è, inoltre, di aggregare gli alert provenienti dai diversi asset It e isolarli. In questo modo, grazie anche ai modelli predefiniti (playbook) messi a disposizione, gli specialisti di sicurezza del Gruppo Lutech hanno tutto il tempo di analizzare e giudicare gli alert attraverso una visione unificata e un processo automatizzato.

Ultimo tool che fa parte della dotazione basilare di un SOC è lo strumento di rilevazione e risposta multilivello. FortiXDR è l’estensione del concetto di EDR – strumento di rilevazione e risposta pensato per gli endpoint – all’intera infrastruttura It del cliente.

Si tratta di uno strumento aggiuntivo che fornisce un ulteriore livello di controllo successivo a quelli erogati da SIEM e SOAR. In questo caso si lavora sulla correlazione automatica di più livelli di sicurezza (endpoint, mail, server, workload in cloud e rete), ovvero sull’individuazione di un potenziale rischio che può passare inosservato poiché si manifesterebbe solo in correlazione a un evento relativo a un altro silos applicativo.

In definitiva, i servizi di gestione e il monitoraggio delle attività di applicazioni e dell’infrastruttura erogati da un SOC richiedono un set di soluzioni specifiche per l’interpretazione e l’aggregazione delle informazioni provenienti dai log dei diversi asset It. Queste soluzioni nascono con lo scopo di semplificare il lavoro degli specialisti di sicurezza del partner It e, grazie ad algoritmi di machine learning e di automazione e a modelli preimpostati di gestione, sono in grado di fornire risposte tempestive e coerenti alle problematiche di sicurezza che emergono dai diversi log generati dalle componenti dell’infrastruttura It.