L’evoluzione delle minacce di security rende oggi importante disporre di team per la difesa attiva contro il cybercrime attraverso i servizi di SOC as-a-service in grado di fare il monitoraggio continuo delle infrastrutture IT e intervenire nelle situazioni d’attacco. Lo sanno le grandi imprese che da anni hanno investito nella creazione di SOC interni, ma anche le PMI che, attraverso i SOC as-a-service, hanno cominciato a proteggersi dai rischi derivanti dalle carenze di personale esperto sulle tematiche di security e dall’impossibilità di presidiare i sistemi nelle ore notturne e week-end.
Un SOC as-a-service rappresenta una risorsa disponibile senza grandi investimenti, grazie ai servizi offerti da un gran numero di società specializzate. Servizi che stanno avendo grande sviluppo presso ogni tipologia d’impresa, adatti a rimpiazzare o integrare le capacità esistenti di difesa dal cybercrime.
Vediamo di seguito con il supporto di un esperto cos’è davvero importante per un servizio di SOC as-a-service.
Indice degli argomenti
Cosa fa un SOC as-a-service e come evolvono i servizi
Con il nome di SOC as-a-service si connotano i servizi offerti da specifici team di specialisti per tenere sotto controllo l’infrastruttura IT aziendale su base 24×7, rilevare e bloccare gli attacchi informatici e gestire gli eventuali incidenti. Il SOC controlla e protegge i server, le reti, i client, ma anche le infrastrutture ibride che sfruttano servizi di cloud oltre agli utenti connessi da remoto. Ha inoltre la responsabilità di agire proattivamente nel rafforzamento delle difese informatiche per prevenire o contrastare le nuove minacce che continuamente appaiono in rete.
“I servizi di SOC hanno avuto una forte evoluzione negli anni – ci spiega Giulio Patisso, co-fondatore di Thux Systems, realtà con 20 anni di esperienza nei mercati della security e delle soluzioni open source – incorporando nuove attività, tra le quali quelle per la sensibilizzazione degli utenti finali. Su base giornaliera il SOC si deve occupare delle verifiche che, nel passato, potevano essere affidate ai vulnerability e penetration test periodici. “Dove c’era netta distinzione tra le attività di red team e di blue team, oggi è necessaria una integrazione tra competenze offensive e difensive per garantire una tutela efficace”.
Le competenze dei team nei SOC
Il valore di un SOC as-a-service dipende in massima parte dalla qualità dei team. “Per lavorare in un SOC serve avere un forte background tecnico e anni d’esperienza alle spalle – spiega Patisso -. Servono competenze che non si acquisiscono con i corsi online. È finita l’era dell’esperto generalista nella cybersecurity, oggi la sicurezza è un contesto molto complesso che richiede competenze verticali ed esperienza nelle diverse casistiche d’intervento”.
Oltre alle competenze per fare monitoraggio di reti e sistemi o per reagire in modo efficace agli incidenti, il team del SOC deve padroneggiare ambienti informativi diversi e tool tecnologici avanzati d’automazione. “Gli strumenti di SIEM che sono alla base delle attività dei blue team sono migliorati e riescono oggi a correlare un maggior numero di eventi che, messi insieme, possono suggerire le attività sospette. Serve comunque l’esperienza delle persone per capire se le segnalazioni riguardano attività lecite, oppure tracciano il percorso di un attaccante in cerca dei propri obiettivi. Un discrimine fondamentale per mantenere l’operatività e prevenire gli incidenti”.
Il SOC non serve solo a gestire tool complessi, ma aiuta concretamente l’azienda a ridurre i rischi. “La formazione delle persone è un valore aggiunto, assieme alla capacità di predisporre e mettere in atto procedure di sicurezza efficaci. Con lo sviluppo del cloud e dei sistemi serverless, le tradizionali competenze non bastano, servono quelle per operare a livello più alto, comprendendo le applicazioni e le interfacce API con cui comunicano”.
I vantaggi di usare un SOC as-a-service
Utilizzare servizi di SOC as-a-service non solo riduce gli oneri di gestione di una comparabile struttura interna, ma permette di beneficiare delle economie di scala del fornitore, disporre di competenze specialistiche e di strumenti allo stato dell’arte per la prevenzione e la risposta agli incidenti di security. Per le realtà che gestiscono dati critici e sensibili, facilita la conformità con le normative di data protection e di privacy in continua evoluzione, evita rischi e danni d’immagine.
A differenza di quanto accade con la gestione interna dell’IT e della security, un SOC as-a-service riesce a garantire la disponibilità continua delle risorse e delle competenze. “Nel nostro SOC garantiamo la presenza continua di almeno due tecnici, organizzati in tre turni per la copertura delle 24 ore”, precisa Patisso. “Un meccanismo di escalation permette a chi fa monitoraggio di raggiungere rapidamente gli altri tecnici che hanno le competenze per risolvere i problemi rilevati”.
Per essere efficace, il SOC deve poter disporre di alcune prerogative tipiche dei NOC. “Per ridurre i rischi può essere necessario fare interventi sulla segregazione delle reti. In molte aziende troviamo interfacce critiche di amministrazione nelle stesse subnet degli utenti. Vediamo soluzioni non adatte all’uso attuale delle reti o configurazioni che denotano incompetenza. Capita anche di trovare tracce evidenti di compromissioni di sicurezza di cui nessuno si è accorto”.
Come si lavora con un SOC as-a-service
L’obiettivo del SOC è affrontare le minacce in modo preventivo per evitare di doverle gestirle, in modo ben più oneroso, quando diventano delle emergenze. Va da sé che, per avviare un servizio di SOC in outsourcing il partner di servizi richieda un esame approfondito della security aziendale. “Un assessment necessario per conoscere l’infrastruttura aziendale e rilevare le criticità di sicurezza nei differenti settori”, spiega Patisso.
L’esame stabilisce quali sono i punti di contatto, gli strumenti, le sonde e gli interventi da fare anche a livello delle policy per permettere al SOC as-a-service di erogare efficacemente il servizio. “Permette inoltre di valutare sul piano tecnico ed economico qual è l’impegno richiesto. Nel caso di Thux Systems, l’esperienza ci permette di offrire servizi di SOC as-a-service su misura con canone fisso mensile, comprensivo anche della formazione per aiutare il personale del cliente ad accrescere le competenze di security”.
Le maggiori difficoltà nel rafforzamento della cybersecurity aziendale non riguardano più di tanto gli aspetti della tecnologia: “E’ molto più semplice proteggere server e servizi in cloud che non riuscire a chiudere gli utenti in una bolla di sicurezza. Le emergenze che ci troviamo a dover affrontare nascono quasi sempre dagli imprevisti in cui sono coinvolte le persone”, conclude Patisso.
Contributo editoriale sviluppato in collaborazione con Thux