Security Operation Center (SOC) cosa è e come implementarlo con Lutech

Per SOC si può  intendere sia un Service Operation Center, ovvero un centro operativo da cui gestire tutti i servizi applicativi aziendali, sia il Security Operation Center, ovvero un centro di servizi di gestione della sicurezza, che sono del resto una parte consistente dei servizi erogati da un Service Operation Center.

Un Security Operation Center (SOC) è un team di professionisti della sicurezza IT interno all'azienda o in outsourcing che monitora l'intera infrastruttura IT di un'organizzazione, 24 ore al giorno, 7 giorni su 7, per rilevare gli eventi di sicurezza informatica in tempo reale e affrontarli nel modo più rapido ed efficace possibile.

Un Security Operation Center è un centro di comando da cui gestire e monitorare l’architettura informatica di un’azienda. In principio i SOC nascono nelle realtà enterprise, che li realizzavano all’interno del proprio data center.

Insieme alla diffusione dell’as-a-service per gli applicativi, lo sviluppo del cloud ha portato alla trasposizione dello stesso modello su ambienti fisici. Il cloud è stato prima pubblico e offerto dagli hyperscaler o privato per estendere il paradigma alle strutture on premise e, infine, è diventato la combinazione di più ambienti (ibrido e multicloud), in una parola: distribuito.

La struttura informatica distribuita e l’incremento dei workload aziendali svolti all’esterno del perimetro aziendale hanno richiesto uno nuovo modello di protezione per ambienti eterogenei, impossibile da fornire se non attraverso un centro unificato di controllo in outsourcing. Inoltre, affidarsi a un Security Operation Center “on top” dell’infrastruttura distribuita permette di usufruire di una protezione di classe enterprise anche alle aziende più piccole, grazie alla modalità per cui il cliente paga una fee fissa calcolata in base alla propria architettura e agli obiettivi di business.

In questo modo, le risorse di gestione e monitoraggio della protezione sono “democraticamente” messe a disposizione di tutte le aziende, indipendentemente da dimensione e capacità di spesa. Proprio le economie di scala e gli indubbi risparmi sui costi, si pensi solo al TCO e al ROI di un centro interno da realizzare ex novo, spingono naturalmente il mercato verso la scelta di un SOC esterno gestito da un partner IT.

In un centro operativo per la protezione convivono piattaforme di sicurezza e servizi applicativi complementari finalizzati a:

• Realizzare uno standard di protezione proattiva
• Garantire il monitoraggio dell’infrastruttura 24x7
• Reagire immediatamente ad alert e incidenti
• Ristabilire l’operatività dell’infrastruttura dopo un blocco
• Adeguare alla compliance dati e applicazioni
• Fornire servizi di protezione sempre aggiornati

Successivamente a una profonda analisi preliminare dell’infrastruttura del cliente, dei workload, dei nodi di accesso alla rete aziendale e, soprattutto, delle priorità di protezione di dati e applicazioni in base alle esigenze di business, il partner It e l’azienda cliente sono pronti a sviluppare un contratto di erogazione di servizi personalizzato con precisi SLA (Service Level Agreement).

Da specificare, inoltre, che la scelta di un Security Operation Center richiede una certa attenzione. È fondamentale avere delle garanzie su competenze, certificazioni, struttura, offerta e referenze del partner It perché, di fatto, il cliente sta affidando la protezione del proprio business a un’entità esterna.

Proteggi il tuo business

Nel team di un Security Operation Center ci sono diverse professionalità, ognuna con un compito ben specifico a seconda dell’organizzazione aziendale. Solitamente, sono sempre presenti:

• Un SOC manager, che ha la funzione di dirigere le altre figure professionali e,  risponde solitamente al CISO (Chief Information Security Officer);
• A seconda delle necessità e delle dimensioni del SOC, diversi ingegneri e sistemisti che implementano e gestiscono l’architettura di sicurezza, generando strumenti e tecnologie di monitoraggio della cyber security e lavorando a stretto contatto con i team di sviluppo
• Gli analisti della sicurezza, detti anche investigatori o soccorritori, incaricati di segnalare, assegnare la priorità e intervenire tempestivamente in caso di minacce o incidenti.  Identificano gli host, gli endpoint e gli utenti influenzati e intraprendono azioni appropriate per mitigare e contenere l'impatto della minaccia o dell'incidente;
• I “cercatori di minacce” o analisti di sicurezza esperti, che rilevano e neutralizzano le minacce più avanzate, cioè quelle che sono riuscite ad aggirare i sistemi di difesa automatizzati;

Un Security Operation Center può includere altri membri, secondo le esigenze, le dimensioni dell’azienda e il settore di riferimento. Per esempio, le realtà più strutturate potrebbero inserire un Direttore delle risposte agli incidenti, che si occupa della comunicazione e il coordinamento delle risorse per la risoluzione degli incidenti. Inoltre, i  SOC più strutturati includono investigatori forensi, specializzati nel recupero dati da dispositivi danneggiati dopo un incidente di cyber security.

Lutech innova il concetto di Security Operation Center con la creazione dell'NG-SOC, il Next-Generation Security Operations Center: uno dei più estesi e completi d’Italia. Il Next-Generation Security Operation Center è un centro operativo in cui un team di tecnici certificati e specializzati eroga e gestisce un vasto catalogo di servizi modulari e flessibili 24x7 basati su processi standard riconosciuti e best practices internazionali. Tra questi, i servizi di sicurezza sono certamente i più rilevanti.

Il Security Operation Center del Gruppo di Lutech assicura un elevato grado di sicurezza individuando e rispondendo agli attacchi in real time prima che abbiano un impatto rilevante sulle reti, dati e servizi di business del Cliente.

I servizi del nostro Next Generarion SOC attraversano tutte le fasi di gestione di un eventuale attacco informatico:

PREDICT - Understanding Risk

• Cyber Security Assessment,
• Ethical Hacking
• Cyber Threat Intelligence
• Continuous Security Validation

PREVENT - Protect against attack

• Advanced Device Management

DETECT- Detect relevant threats

• Real-Time Device Monitoring
• Incident Identification&Notification
• Alert&Early Warning

RESPOND - Incident Response

• Incident Analysis & TriageIncident
• Containment & Response

In particolare nella fase iniziale di analisi, con il Cyber Security Assessment si compie un’analisi proattiva della sicurezza dell’azienda, per  saminare la sicurezza di applicazioni, database, network, computer, attraverso strumenti come il Penetration test. Grazie a questi test, è possibile stimare i rischi della sicurezza e del rispetto le normative, come il GDPR, prevenendo danni reputazionali ed economici ed evitando la paralisi del lavoro.
Cruciale è naturalmente la fase di identificazione e monitoraggio che rileva anomalie all’interno dei flussi di dati tra l’esterno e l’interno dell’azienda e viene svolto attraverso un SIEM (Security Information and Event Management);

Nella fase di Incident Response, gestita attraverso il SOAR (Security Orchestration, Automation and Response), si gestiscono invece operativamentegli incidenti.

Il Gruppo Lutech sfrutta diverse soluzioni all’interno del proprio SOC di Cinisello Balsamo (MI). Questo perché non è opportuno affidarsi a un’unica piattaforma omnicomprensiva per la gestione della sicurezza. Per garantire la massima qualità ai propri clienti, il Gruppo Lutech ha individuato un ampio portfolio di servizi applicativi best-in-class integrabile, in cui ogni singola componente assolve (al meglio) un compito specifico.

All’interno di un Security Operations Center, sono tre le componenti di servizio essenziali: SIEM, SOAR e XDR, ciascuna con una specifica finalità. In un SOC non sono presenti solo servizi SIEM, SOAR e XDR, ma è indubbio che senza la disponibilità di questi non si può parlare di SOC.

Sebbene una soluzione SIEM sia alla base del servizio di un Security Operation Center, per garantire una protezione completa può non essere sufficiente. Questo anche perché una soluzione SIEM richiede regolari interventi di settaggio e fine tuning. È in questo scenario che si rende indispensabile un SOAR, la soluzione che  offre gestione, automazione e orchestrazione innovative degli eventi di sicurezza. Si tratta, ancora una volta, di uno strumento ideato per semplificare la vita degli specialisti, aiutando a unificare le operazioni e a ridurre i tempi di gestione degli alert, il cambio dinamico dei contesti e il tempo medio necessario per rispondere agli incidenti.

Il vantaggio di una soluzione SOAR è, inoltre, di aggregare gli alert provenienti dai diversi asset It e isolarli. In questo modo, grazie anche ai modelli predefiniti (playbook) messi a disposizione, gli specialisti di sicurezza del Gruppo Lutech hanno tutto il tempo di analizzare e giudicare gli alert attraverso una visione unificata e un processo automatizzato.

Sebbene una soluzione SIEM sia alla base del servizio di un Security Operation Center, per garantire una protezione completa può non essere sufficiente. Questo anche perché una soluzione SIEM richiede regolari interventi di settaggio e fine tuning. È in questo scenario che si rende indispensabile un SOAR ,la soluzione che offre gestione, automazione e orchestrazione innovative degli eventi di sicurezza. Si tratta, ancora una volta, di uno strumento ideato per semplificare la vita degli specialisti, aiutando a unificare le operazioni e a ridurre i tempi di gestione degli alert, il cambio dinamico dei contesti e il tempo medio necessario per rispondere agli incidenti.

Il vantaggio di una soluzione SOAR è, inoltre, di aggregare gli alert provenienti dai diversi asset It e isolarli. In questo modo, grazie anche ai modelli predefiniti (playbook) messi a disposizione, gli specialisti di sicurezza del Gruppo Lutech hanno tutto il tempo di analizzare e giudicare gli alert attraverso una visione unificata e un processo automatizzato.

Ultimo tool che fa parte della dotazione basilare di un Security Operation Center è lo strumento di rilevazione e risposta multilivello. L’ XDR è l’estensione del concetto di EDR – strumento di rilevazione e risposta pensato per gli endpoint – all’intera infrastruttura It del cliente.

Si tratta di uno strumento aggiuntivo che fornisce un ulteriore livello di controllo successivo a quelli erogati da SIEM e SOAR. In questo caso si lavora sulla correlazione automatica di più livelli di sicurezza (endpoint, mail, server, workload in cloud e rete), ovvero sull’individuazione di un potenziale rischio che può passare inosservato poiché si manifesterebbe solo in correlazione a un evento relativo a un altro silos applicativo.

In definitiva, i servizi di gestione e il monitoraggio delle attività di applicazioni e dell’infrastruttura erogati da un SOC richiedono un set di soluzioni specifiche per l’interpretazione e l’aggregazione delle informazioni provenienti dai log dei diversi asset It. Queste soluzioni nascono con lo scopo di semplificare il lavoro degli specialisti di sicurezza del partner It e, grazie ad algoritmi di machine learning e di automazione e a modelli preimpostati di gestione, sono in grado di fornire risposte tempestive e coerenti alle problematiche di sicurezza che emergono dai diversi log generati dalle componenti dell’infrastruttura It.