SOC, Security Operation Center. È questa la risposta, non 42. Douglas Adams, autore di Guida Galattica per gli Autostoppisti, permettendo. Ma quando si parla di cybersecurity per le nuove architetture It, non si può non parlare di SOC.
Il contesto è inevitabile e il motivo del perché affidarsi a una sicurezza centralizzata è presto detto. Siamo di fronte ad architetture distribuite, ad ambienti cloud con strutture diverse, ad access point sempre più numerosi. E il modello economico ormai universalmente riconosciuto si basa sul concetto di servizio.
E poi la sicurezza non è più quella di una volta. L’approccio tradizionale non è più efficace di fronte a incursioni finalizzate all’acquisizione di dati e informazioni e perpetuate attraverso canali apparentemente sicuri. Incursioni dai tempi lunghissimi, attività silenti che si manifestano timidamente, senza dare troppo nell’occhio e che sguazzano nelle architetture distribuite.
Come scegliere un SOC, Security Operation Center
Così, la cybersecurity si dimostra efficace e pronta a intercettare gli attacchi solo se utilizza un approccio nuovo. Una security as-a-service erogata attraverso un SOC, security operation center, appunto.
Dimentichiamoci una varietà di soluzioni applicative eterogenee, licenze, aggiornamenti, manutenzione. Dimentichiamoci la gestione dei dispositivi aziendali da remoto e la protezione dei dispositivi IoT. Dimentichiamoci, come team It aziendale, di doverci sobbarcare tutte le incombenze di un approccio alla security che, per quanto efficiente, non può essere mai certo.
Torniamo a supervisionare l’It aziendale e a progettarlo per le future esigenze di business e lasciamo il “lavoro sporco” agli operatori di un SOC, Security Operation Center di un system integrator o un managed service provider strutturato e certificato.
Dunque, prima di tutto, l’azienda cliente dovrà selezionare con attenzione il MSP, prestando attenzione essenzialmente a tre caratteristiche:
- Tipologia di servizio, SLA e operatività
- Struttura e ampiezza del SOC
- Certificazioni e referenze.
Cosa ci trovo dentro un SOC, Security Operation Center
Ci sarà, dunque, da ispezionare attentamente il SOC, capire che livelli di protezione garantisce, ad aziende di quali dimensioni e che soluzioni utilizza. Generalmente, infatti, il managed service provider è partner certificato di un certo numero di vendor e ognuno di loro fornisce una soluzione che risolve uno specifico problema.
Si tratta di soluzioni di monitoraggio dell’attività di rete e di protezione degli access point che oggi sfruttano il machine learning. Grazie all’autoapprendimento, questi servizi applicativi imparano le abitudini di chi accede alla rete aziendale, individuando immediatamente le attività anomale.
Il MSP, poi, utilizzerà altri servizi per il deployment contemporaneo degli eventuali tool di sicurezza, delle patch e degli aggiornamenti sui singoli dispositivi.
SOC, Scegli tu il tuo livello di servizio, e il tuo SLA
Infine, il partner mette una squadra a disposizione del cliente 24x7 secondo SLA definiti, che vigila costantemente non solo sul traffico in entrata e in uscita dalla rete aziendale, ma ha una visione di insieme degli attacchi che si propagano in un certo momento nel mondo. Immaginate un SOC come una sala di comando con enormi display pieni di luci che si accendono e si spengono e decine di operatori chini sui terminali pronti a intervenire? Bene, l’apparenza è esattamente così, la sostanza è un approccio innovativo alla protezione.
Un progetto per la cybersecurity aziendale sfrutta strumenti standard ma ogni progetto è diverso. Prima di attivare il servizio, infatti, gli specialisti di un SOC costruiscono una mappa dell’architettura di rete del cliente, ne definiscono i confini, ne individuano le criticità e studiano le vulnerabilità dei software presenti. In questa fase di assessment, poi, si procede a un’attività estremamente delicata. Ovvero alla revisione di tutti i privilegi di accesso alla rete aziendale, ridefinendo ruoli e priorità. Si tratta di un task fondamentale, visto che la maggior parte degli attacchi alla rete aziendale si propagano attraverso account noti.
E se il SOC non ce l’hai?
Un SOC non si inventa dalla sera alla mattina. Abbiamo detto che le aziende clienti devono affidarsi a un partner It che possa mettere a disposizione un SOC strutturato.
Il Security Operation Center, come abbiamo appena affermato, sarebbe la soluzione ideale per garantire la cyber security in azienda, al di là di hardware e software. Tuttavia, mettere in piedi un SOC come si deve è molto costoso e richiede investimenti, non solo economici, ma anche in termini di formazione di personale qualificato.
Quindi, tutte le aziende avrebbero bisogno di un SOC, ma quasi nessuna può permetterselo realmente… Quindi come fare?
Questo assioma non taglia fuori necessariamente i Managed Service Provider che non possiedono un centro operativo per la sicurezza.
Una soluzione c’è: l’outsourcing! È possibile, infatti, stringere una collaborazione con un partner strutturato che, come Reevo, mette a disposizione, all’interno del proprio portafoglio di servizi di sicurezza, anche un SOC As a Service, ideale per system integrator che non possono strutturare il proprio Security Operation Center, ma che vogliono comunque offrire questo servizio ai propri clienti.