Con l’espressione SOC security si intende l’insieme di attività di sicurezza e di difesa informatica gestite da un Security Operations Center (SOC), che per molte aziende rappresenta il cuore delle operazioni di prevenzione, monitoraggio e risposta agli incidenti cyber.
Uno dei benefici cardine della SOC security è l’integrazione. Nonostante la sempre maggiore complessità dei paradigmi moderni di cybersecurity, che constano di numerosi processi, livelli di operatività e strumenti, il Security Operations Center (SOC) rappresenta il punto di riferimento principale (se non unico) per tutte le attività di gestione della sicurezza informatica.
SOC security e la rilevazione delle minacce cyber
Come funziona la SOC security? Si è soliti classificare le attività, e le relative responsabilità, di un Security Operations Center in tre macroaree:
- preventiva, che si sostanzia in attività preparatorie, di analisi e pianificazione;
- rilevazione e gestione delle minacce, che ovviamente segue un filo cronologico ben definito;
- recovery successiva agli eventi di sicurezza più impattanti.
La fase di pianificazione
Le attività di natura preparatoria e strategica rientrano quindi nella prima fase, della quale infatti fa parte la definizione dell’incident response plan, il documento che definisce attività, ruoli, processi e responsabilità da attivare nel caso di incidente verificato. Il SOC, in questa fase, lavora di concerto con le altre aree aziendali: con l’IT, in primis, ma anche con il business per comprendere correttamente il funzionamento dell’azienda, la criticità (o meno) di certi processi, le policy e la normativa cui l’azienda è soggetta, e le performance da garantire, soprattutto in chiave di ripristino dei sistemi.
I tool per la rilevazione e gestione delle minacce
Per quanto concerne, invece, la rilevazione tempestiva degli attacchi cyber, ciò che contraddistingue positivamente un SOC è la capacità di monitorare tutta l’infrastruttura IT di un’azienda, a prescindere dalla sua complessità. Il SOC vigila sulla rete, gli endpoint, i server, le applicazioni e le risorse cloud attraverso una sinergia di competenze e di tool allo stato dell’arte, che fanno perno sull’automazione e su capacità di analisi potenziate dall’Intelligenza Artificiale.
Non tutti i SOC sono attivi 24/7 e tutti i giorni dell’anno. Un utile criterio per la scelta è proprio la copertura temporale di assistenza cyber che si riesce ad ottenere.
I sistemi SIEM (Security Information and Event Management) hanno sempre occupato una posizione centrale nella cyber security e in un SOC, data la loro capacità di raccogliere, analizzare e aggregare dati e log da varie fonti identificando pattern anomali e potenziali minacce. I SOC gestiscono sistemi NDR (Network Detection and Response) per la rilevazione di anomalie nel traffico di rete, effettuano continue scansioni delle vulnerabilità al fine di monitorare e ridurre la superfice d’attacco. Governano in modo sinergico tool avanzati come le soluzioni XDR (extended detection and response) e molto altro.
Come identificare e rispondere correttamente alle minacce
Di fronte a un potenziale attacco, è compito del team identificare i segnali meritevoli di attenzione separandoli dai falsi positivi, ed è qui che esperienza, competenze e tecniche avanzate come il Machine Learning vengono in soccorso evidenziando pattern sospetti ed effettuando contestualmente un’attività di classificazione del rischio (scoring), così da identificare anche il livello di priorità corretto.
Il successivo processo di incident response segue le strategie e le metodologie identificate dal SOC e/o dall’IT aziendale. Tipiche strategie di risposta, che ovviamente dipendono da un caso all’altro, sono l'isolamento di un sistema compromesso, il blocco di traffico malevolo, la disabilitazione di un’utenza compromessa, la comunicazione interna ed esterna e, se necessario, il coinvolgimento delle autorità competenti, cosa che si verifica in caso di Data Breach ed è uno specifico requisito del GDPR.
Sotto il profilo tecnico, la SOC security può inoltre gestire l’incidente disattivando specifiche applicazioni e/o processi, isolando segmenti di rete per evitare la propagazione delle minacce (oggi si parla frequentemente di microsegmentazione), eliminando file danneggiati o infetti, scollegando gli endpoint dalla rete e molto altro. Molte di queste attività di risposta possono essere automatizzate grazie all’impiego di tool di ultima generazione e al lavoro di integrazione degli stessi nei tool e nelle practice operative del SOC.
Recovery e business continuity
La fase successiva è quella del recovery, nella quale il SOC interviene supervisionando il ripristino alla situazione precedente. Vengono in soccorso operazioni di ripristino dei dati da backup nonché il processo di disaster recovery definito all’interno dell’apposito plan, nel quale sono anche identificati gli obiettivi di RTO (Recovery Time Objective) e RPO (Recovery Point Objective) funzionali alla strategia aziendale di business continuity. A seconda della tipologia di incidente, poi, il SOC supporta i team di operation monitorando la situazione a seguito di ripristino delle password, degli endpoint, delle applicazioni e molto altro.
Dunque, il SOC può essere responsabile anche della comunicazione a tutti gli utenti aziendali, agli stakeholder e alle autorità, e si fa carico di esaminare l’accaduto al fine di identificare nuove vulnerabilità e minacce, così da rivedere nuove ricorrenze future.