I Security Operations Center (SOC) costituiscono la prima linea di difesa contro l’evoluzione di tipi di attacchi informatici sofisticati. Inoltre, poiché le minacce continuano a diventare più avanzate e persistenti, il ruolo del SOC non è mai stato così cruciale nel rilevare e rispondere alle minacce e nell’anticipare e mitigare in modo proattivo i potenziali rischi cyber.
Il SOC è costituito da un team interno o esterno di esperti di sicurezza IT responsabile del monitoraggio continuo dell’infrastruttura IT di un’organizzazione ed il cui obiettivo principale è rilevare, analizzare e rispondere agli incidenti di sicurezza in tempo reale.
Il team SOC, coordinando varie attività di cyber security, garantisce una supervisione costante delle reti, dei sistemi e delle applicazioni dell’organizzazione, mantenendo una posizione proattiva contro le minacce informatiche.
Inoltre, il SOC gestisce e mantiene gli strumenti e le tecnologie di cyber security dell’organizzazione, analizzando costantemente i dati sulle minacce per rafforzare la posizione di sicurezza complessiva.
È doveroso evidenziare che, nel tempo, anche il SOC è soggetto a ridefinizioni determinate da diverse tendenze chiave e progressi tecnologici per renderlo più efficiente, intelligente e adattabile al mutevole panorama delle minacce.
Indice degli argomenti
Trend SOC nel 2025
Cosa ci dobbiamo attendere nel 2025? Di seguito alcune le tendenze in termini di SOC che sono destinate a ridefinire le modalità di protezioni delle risorse digitali aziendali a fronte delle crescenti minacce informatiche.
Intelligenza artificiale (IA) & machine learning (ML) – L’integrazione dell’IA e del ML rappresenta una delle tendenze più rivoluzionarie che stanno influenzando il SOC, trasformando radicalmente il modo in cui individua, analizza e risponde alle minacce.
L’IA e il ML consentono il rilevamento e la risposta automatizzati alle minacce, riducendo significativamente il tempo necessario per identificare e mitigare gli incidenti di sicurezza, oltre ad essere in grado di setacciare grandi quantità di dati per scoprire modelli e anomalie che potrebbero passare inosservati agli analisti umani.
Sfruttando l’analisi basata sull’intelligenza artificiale, il SOC è in grado di rilevare le minacce in tempo reale, prevedere potenziali vettori di attacco e prepararsi di conseguenza.
Inoltre, l’IA e il ML migliorano anche la personalizzazione delle risposte di sicurezza. Di fatto, questi sistemi, imparando dagli incidenti passati, possono adattare le loro risposte a minacce specifiche, rendendole più efficienti ed efficaci. Due leve strategiche e dinamiche che assistono gli analisti nella definizione delle priorità delle attività, oltre a garantire che le minacce critiche vengano affrontate tempestivamente.
SOC as a Service (SOCaaS)
Si tratta di una soluzione basata su cloud o implementata on-premise e offre tutte le funzionalità di un SOC tradizionale senza la necessità di un’infrastruttura e di risorse interne significative, poiché il monitoraggio, la modifica e la correzione avvengono in remoto.
I servizi SOC gestiti forniscono monitoraggio continuo, rilevamento delle minacce, risposta agli incidenti e reportistica, consentendo alle organizzazioni di stare al passo con le minacce informatiche.
Ancora, a fronte del perdurare del lavoro da remoto, i SOCaaS, basati sul cloud, offrono un vantaggio significativo, garantendo visibilità in tempo reale e protezione automatizzata in tutto l’ambiente cloud, oltre ad assicurare che i dati e le risorse rimangano al sicuro, protetti e conformi.
Inoltre, questa tipologia di SOC consente ai team di monitorare e rispondere alle minacce da qualsiasi luogo, garantendo una protezione continua per una forza lavoro distribuita, migliorando l’agilità e la reattività e permettendo una gestione delle minacce più rapida ed efficace.
Automazione e orchestrazione attraverso piattaforme SOAR (Security Orchestration, Automation, and Response)
Le piattaforme SOAR sono fondamentali per i moderni SOC dato che semplificano i processi di sicurezza, automatizzando le attività di routine e la risposta agli incidenti, oltre a consentire al personale del Team SOC di concentrarsi su attività più complesse e strategiche.
Inoltre, le piattaforme SOAR migliorano l’efficienza degli analisti SOC, automatizzando attività quali: l’indagine sugli incidenti, il contenimento delle minacce e la correzione.
Di fatto, questa automazione garantisce un contenimento delle minacce più rapido ed efficace e, al contempo, riduce il potenziale impatto delle violazioni della sicurezza.
Ancora, le piattaforme SOAR creano un ecosistema di sicurezza coeso che semplifica le operazioni, integrando vari strumenti e sistemi di sicurezza in modo da consentire una correlazione dei dati e un’analisi delle minacce più efficaci, oltre fornire una visione completa del livello di sicurezza dell’organizzazione.
Rilevamento e risposta estesi (Extended Detection and Response – XDR)
È doveroso evidenziare che oggi, le soluzioni XDR stanno guadagnando terreno come approccio olistico alla sicurezza, integrando i dati provenienti da più fonti – tra cui endpoint, reti e ambienti cloud – oltre ad offrire una visione unificata del panorama di sicurezza di un’organizzazione.
Inoltre, l’XDR permette ai SOC di correlare dati provenienti da diverse fonti, facilitando un’identificazione delle minacce più rapida e precisa. Di fatto, tale approccio riduce il rischio di violazioni dei dati e offre una visione completa dell’ambiente di sicurezza, eliminando i silos informativi, oltre a garantire una comprensione unificata delle minacce alla sicurezza.
Ancora, i SOC, grazie alle soluzioni XDR, possono rispondere agli incidenti in modo più efficace, sfruttando le informazioni provenienti da vari domini di sicurezza. Tale integrazione consente una risposta più coordinata e robusta alle minacce complesse, migliorando la posizione di sicurezza complessiva dell’organizzazione.
Architettura Zero Trust (Zero Trust Architecture – ZTA)
La ZTA sta diventando un componente fondamentale nei moderni SOC, considerando che il modello Zero-Trust funziona secondo il principio “non fidarsi mai, verificare sempre”, presupponendo che le minacce possano esistere sia all’interno che all’esterno della rete.
Inoltre, l’implementazione di Zero Trust comporta la verifica continua delle identità degli utenti, garantendo che solo le persone autorizzate abbiano accesso alle risorse critiche, attraverso l’autenticazione a più fattori (Multi Factor Authentication – MFA) e rigorosi controlli di accesso, riducendo il rischio di accesso non autorizzato.
Ancora, la micro-segmentazione è un altro aspetto chiave dell’architettura Zero Trust. Di fatto, dividendo la rete in segmenti più piccoli, le organizzazioni possono limitare il potenziale impatto di una violazione. Ogni segmento opera in modo indipendente, garantendo che un compromesso in un’area non influisca sull’intera rete.
Il fattore umano vs. SOC di nuova generazione
È doveroso evidenziare che, sebbene la tecnologia svolga un ruolo significativo nei SOC di nuova generazione, l’esperienza e l’intuizione degli analisti “umani” rimangono indispensabili.
Pertanto, nel 2025 ed oltre sarà fondamentale concentrarsi sul miglioramento delle capacità dei propri analisti attraverso programmi di formazione e di sviluppo delle competenze continui, aggiornando, così, il personale sulle ultime minacce e tecnologie di sicurezza e metterlo in condizione di gestire minacce sempre più sofisticate.
Inoltre, altrettanto strategico e fondamentale sarà garantire una comunicazione e una collaborazione efficaci all’interno del team SOC sono fondamentali per una gestione efficace delle minacce.
Per questo i SOC dovrebbero incoraggiare un ambiente collaborativo in cui gli analisti possano condividere informazioni e lavorare insieme per risolvere gli incidenti.
Calcolo quantistico e integrazione SOC
Con il progresso dell’informatica quantistica, sarà sempre più necessario integrare misure di sicurezza resistenti ai computer quantistici. Di conseguenza, i SOC dovranno tenere il passo con le minacce quantistiche emergenti.
Di fatto, lo sviluppo e l’implementazione di algoritmi resistenti ai fini quantistici sarà una priorità per i SOC al fine di garantire che i dati crittografati rimangano al sicuro e non possano essere facilmente compromessi, anche con l’avvento dell’informatica quantistica.
Inoltre, i SOC dovranno rimanere costantemente informati sui progressi quantistici, oltre ad aggiornare i protocolli di sicurezza per affrontare le nuove vulnerabilità.
Focus su SOCaaS: principali vantaggi
Di seguito principali vantaggi scaturiti da una soluzione SOCaaS.
Efficienza dei costi in termini di:
Riduzione delle spese in conto capitale – I SOC tradizionali richiedono investimenti sostanziali in hardware, software e personale qualificato, mentre il SOCaaS elimina questi costi iniziali, offrendo un modello pay-as-you-go in linea con il budget, rendendolo particolarmente interessante per le PMI che solitamente hanno un budget ridotto a disposizione e non possono contare su personale dedicato.
Scalabilità – I fornitori di SOCaaS offrono soluzioni scalabili che crescono con le esigenze dell’organizzazione, assicurando di pagare solo per ciò di cui si ha bisogno, consentendo ai responsabili IT di allocare le risorse in modo più efficace.
Accesso alle competenze in termini di:
Professionisti qualificati – I servizi SOC gestiti sono gestiti da professionisti di cybersecurity esperti che conoscono bene le minacce e le strategie di mitigazione più recenti, contribuendo a mantenere solide posizioni di sicurezza.
Apprendimento continuo – I fornitori di SOCaaS rimangono aggiornati con le ultime tendenze e minacce del settore, garantendo che la tua organizzazione tragga vantaggio da pratiche di sicurezza all’avanguardia.
Rilevamento e risposta alle minacce migliorati in termini di:
Monitoraggio 24 ore su 24, 7 giorni su 7 – Il SOCaaS offre un monitoraggio continuo, garantendo che le minacce vengano rilevate e affrontate in tempo reale, riducendo il rischio di violazioni dei dati.
Advanced Threat Intelligence – I fornitori di SCOaaS, sfruttando l’intelligence globale sulle minacce, possono identificare le minacce emergenti e difendersi in modo proattivo da esse.
Conformità migliorata in termini di:
Requisiti normativi – Il SOCaaS aiuta le organizzazioni a soddisfare i requisiti di conformità fornendo report dettagliati e audit trail, garantendo il rispetto degli standard e delle normative del settore.
Riduzione del rischio di sanzioni – Le organizzazioni grazie al SOCaaS contribuisce il rispetto degli standard di settore pertinenti, evitando sanzioni, problemi legali e danni reputazionali associati alle violazioni dei dati, mantenendo la conformità,
Differenza tra MDR e SOCaaS
La differenza risiede nell’approccio alla cybersecurity e nel livello di servizi forniti. E precisamente:
MDR – Si concentra sul rilevamento e la risposta alle minacce, utilizzando tecnologie avanzate e intelligence sulle minacce per identificare e mitigare le potenziali minacce informatiche. Implica una combinazione di strumenti automatizzati, algoritmi di apprendimento automatico e competenze umane per monitorare le reti, identificare le anomalie e rispondere prontamente agli incidenti. I fornitori di MDR offrono servizi di monitoraggio in tempo reale, ricerca delle minacce, risposta agli incidenti e correzione.
SOCaaS – Si caratterizza per un approccio più completo alla cybersecurity fornendo una soluzione completa per il centro operativo di sicurezza. Implica l’esternalizzazione della gestione delle operazioni di sicurezza a un team specializzato di esperti che monitorano, rilevano e rispondono alle minacce informatiche in tempo reale.
I fornitori di SOCaaS offrono una gamma di servizi, tra cui il rilevamento e il monitoraggio delle minacce, la risposta e la gestione degli incidenti, la conformità e il rispetto delle normative, gli aggiornamenti di sicurezza continui e la gestione delle patch, nonché l’analisi e la reportistica avanzate.
Mentre l’MDR si concentra sul rilevamento e la risposta alle minacce, il SOCaaS comprende una gamma più ampia di servizi, tra cui la ricerca proattiva delle minacce, la gestione della conformità e le operazioni di sicurezza complete.
Il SOCaaS è spesso visto come una soluzione più olistica per le aziende che desiderano migliorare la propria posizione di cybersecurity ed esternalizzare completamente le operazioni di sicurezza.
È doveroso evidenziale che la scelta tra MDR e SOCaaS dipende dalle esigenze e dalle risorse specifiche dell’azienda. Le organizzazioni più piccole o quelle con risorse limitate per la cybersecurity potrebbero trovare l’MDR un’opzione adatta per il rilevamento e la risposta mirati alle minacce.
D’altra parte, le aziende che cercano un approccio più completo e proattivo alla cyber security, insieme al monitoraggio e alla gestione continui, possono optare per il SOCaaS. È importante che le aziende valutino le proprie esigenze di cybersecurity e si consultino con un fornitore affidabile per determinare la soluzione migliore per la propria organizzazione.
Differenza tra SOCaaS e SIEMaaS (Security Information and Event Management as- a -Service)
Quando si tratta di cyber security, due componenti importanti sono i SOC e SIEM. Sebbene entrambi svolgano un ruolo cruciale nella protezione delle aziende dalle minacce informatiche, ci sono differenze distinte tra i due.
SOC – È un’unità centralizzata all’interno di un’organizzazione che gestisce e supervisiona la sicurezza della propria infrastruttura IT. È costituito da un team di professionisti della cybersecurity che monitorano e analizzano gli eventi di sicurezza in tempo reale. Il SOC è responsabile del rilevamento, dell’indagine e della risposta agli incidenti di sicurezza, nonché dell’implementazione di misure di sicurezza per prevenire attacchi futuri. Funge da centro di comando per le operazioni di cybersecurity di un’organizzazione.
SIEMaaS – È costituito da soluzioni tecnologiche che raccolgono, analizzano e correlano i dati degli eventi di sicurezza provenienti da varie fonti all’interno dell’ambiente IT di un’organizzazione, i.e.: firewall, sistemi di rilevamento delle intrusioni, software antivirus e altro ancora. I sistemi SIEM utilizzano analisi avanzate e algoritmi di apprendimento automatico per identificare modelli e anomalie che potrebbero indicare una violazione della sicurezza o un’attività sospetta. Forniscono alle organizzazioni informazioni preziose e avvisi in tempo reale. Questi avvisi consentono di rilevare e rispondere agli eventi imprevisti di sicurezza.
In sintesi, un SOC può essere concepito come il braccio operativo di una strategia di cybersecurity, costituito da un team di esperti, mentre un sistema SIEM è uno strumento tecnologico che supporta le operazioni del SOC raccogliendo e analizzando i dati degli eventi di sicurezza. Il SOC si affida al sistema SIEM per fornire loro i dati e le informazioni necessarie per identificare e rispondere alle minacce e, insieme, formano una potente combinazione nella difesa dalle minacce informatiche e nella protezione di risorse preziose.
ROI del SOC
Secondo la società di ricerche americana Statista, il costo stimato del cyber crime nel mercato della cyber security è previsto aumentare costantemente dal 2024 al 2029, registrando un incremento complessivo del 69,41% sino a raggiungere il picco di 15,63 trilioni di dollari entro il 2029. Pertanto, le organizzazioni dovranno essere in grado di individuare investimenti soluzioni di cyber security per contrastare le minacce.
Inoltre, secondo gli ultimi dati degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, i budget ICT sono destinati ad aumentare dell’1,5% entro il 2025, mantenendo il trend degli ultimi nove anni, sebbene con un tasso di crescita inferiore rispetto al 2023 (i.e. +1,9%).
È doveroso ricordare che, nell’ottica di ottenimento di budget adeguati, risulta altresì fondamentale misurare il ROI del SOC, considerando che non si tratta solo di una metrica finanziaria, ma rappresenta i benefici tangibili e intangibili degli investimenti aziendali in termini di difese di cybersecurity.
Di fatto, la capacità di quantificare il ROI offre all’organizzazione una valutazione della sua postura di sicurezza complessiva e relativa efficacia. Ovvero, comprendere e comunicare il ROI del SOC permette all’organizzazione di prendere decisioni informate sull’allocazione delle risorse, consentendo ai leader della sicurezza di ottimizzare le strategie, oltre ad assicurare che ogni investimento si traduca in vantaggi misurabili, quali: tempi di risposta agli incidenti ridotti, minimizzazione delle perdite finanziarie da potenziali violazioni e una maggiore conformità ai requisiti normativi.
Metriche e report del SOC – Le metriche SOC sono misure quantitative e qualitative che valutano le prestazioni, l’efficienza e l’efficacia del SOC. I report SOC sono documenti che presentano e interpretano le metriche SOC per vari stakeholder, tra cui il top management, le parti interessate o gli enti regolatori.
Alcuni esempi di metriche SOC sono il tempo medio di rilevamento (MTTD – Mean Time To Detect), il tempo medio di risposta (MTTR – Mean Time To Respond), il volume degli incidenti, la gravità degli incidenti, il tasso di risoluzione degli incidenti, il tasso di falsi positivi e la soddisfazione del cliente.
Inoltre, è doveroso evidenziare che le metriche e i report SOC sono importanti per diversi motivi. E precisamente perché aiutano a:
- Valutare lo stato attuale della postura di sicurezza del SOC e a identificare le aree di miglioramento.
- Allineare gli obiettivi e le strategie di sicurezza del SOC con gli obiettivi e le priorità aziendali.
- Dimostrare il valore e l’impatto degli investimenti in sicurezza e a giustificare il budget e le risorse del SOC.
- Comunicare le prestazioni e i risultati in materia di sicurezza agli stakeholder interni ed esterni e a creare fiducia e sicurezza.
Come usare metriche e report SOC per calcolare il ROI
Per calcolare il ROI del SOC, è necessario confrontare i benefici e i costi degli investimenti in sicurezza. Come sopra indicato, i benefici includono risultati positivi o perdite evitate grazie alle attività di sicurezza, come la riduzione del rischio, il miglioramento della conformità, l’aumento della reputazione o della produttività.
I costi, invece, comprendono gli oneri o le spese associate alle attività di sicurezza, quali: le spese operative generali, gli investimenti in conto capitale, la formazione del personale o la risposta agli incidenti.
Di fatto, le metriche e i report SOC possono essere utilizzati per stimare sia i benefici sia i costi degli investimenti in sicurezza, applicando formule, modelli o framework adatti al contesto e agli obiettivi specifici.
La formula dell’Annualized Loss Expectancy (ALE) – i.e. ALE = ARO (Annualized Rate of Occurrence) x SLE (Single Loss Expectancy) – rappresenta la perdita monetaria attesa in un anno per effetto del verificarsi della minaccia e può essere impiegata per stimare le potenziali perdite da incidenti informatici e confrontarle con il Costo Annualizzato del Controllo (Annualized Control Cost -ACC) per valutare i risparmi derivanti dagli investimenti in sicurezza.
Inoltre, l’ALE è il valore che va confrontato con la spesa annua per la sicurezza per calcolare il RoSI (Return of Security Investment) che scaturisce dalla formula RoSI = (Benefici dell’investimento in sicurezza – Costo dell’investimento in sicurezza) / Costo dell’investimento in sicurezza.
Come comunicare efficacemente ai decisori aziendali il ROI del SOC
Tra le strategie da considerare quando si comunica il ROI del SOC:
Visualizzazione dei dati – Un report completo e visivo composto dalla metodologia utilizzata, dai dati raccolti e dal conseguente calcolo del ROI può essere di supporto a prendere decisioni. Inoltre, una soluzione SIEM con dashboard di gestione degli incidenti può aiutare nella visualizzazione dei dati delle prestazioni del team SOC.
KPI basati sul rischio – Molti membri del personale non tecnico del top management potrebbero non comprendere alcuni concetti tecnici ed essere più interessati ad aree come il risparmio finanziario e i livelli di rischio, pertanto, si consiglia di adattare la proposta di investimenti in questi termini.
Narrazione – Si consiglia di presentare case history per fornire una visione chiara dell’importanza del SOC, ad esempio, per evidenziare l’efficienza e l’efficacia del team SOC.
Benchmarking – Il confronto delle prestazioni di sicurezza con quelle dei concorrenti del settore dimostra al CISO che si è consapevoli delle tendenze e che si pensa in modo strategico.
Strategie di miglioramento – Essere trasparenti in termini di aree di miglioramento del team SOC e presentare le strategie per il miglioramento futuro ai decisori aziendali può infondere un senso di fiducia e di sicurezza, oltre a dimostrare l’impegno per il miglioramento continuo.
Conclusione
Il futuro dei SOC sarà sempre più plasmato dall’intersezione tra avanzamenti tecnologici e l’evoluzione delle sfide di sicurezza. DI fatto, l’adozione di tecnologie come l’intelligenza artificiale, il machine learning, la sicurezza del cloud, la ZTA, il rilevamento e la risposta estesi permetterà ai SOC di potenziare le loro capacità e di affrontare efficacemente le minacce emergenti.
Si ritiene che nel 2025, l’integrazione di tecnologie avanzate e lo sviluppo continuo delle competenze umane saranno fondamentali per mantenere difese informatiche solide.
Inoltre, i SOC dovranno sempre più essere flessibili e innovativi, sfruttando le ultime tendenze per proteggere le organizzazioni, oltre a garantire scalabilità, automazione e rilevamento completo delle minacce.
In particolare, i SOCaaS si riveleranno particolarmente adatti alle PMI che dispongono di limitate risorse economiche e di personale dedicato. Si consiglia – in un’ottica di approccio risk-based e resilience-based oltre che di ratio costi-benefici – di valutare attentamente il ROI del SOC e predisporre documentazione chiara che evidenzi benefici in modo da ottenere il budget necessario per tale investimento e porre le basi idonee per essere conformi alle normative in termini di cyber resilience e conseguire gli obiettivi aziendali.
