La complessità delle infrastrutture informative sta creando molti problemi alla sicurezza digitale delle imprese, anche in quelle più strutturate sotto il profilo delle competenze e delle disponibilità di team tecnici per le azioni di monitoraggio e d’intervento su reti e sistemi. L’imprevedibilità delle minacce di cyber security richiede personale disponibile h24 e sempre aggiornato su modalità d’attacco e contromisure da prendere.
La velocità di rilevamento delle anomalie e relativa reazione è ormai diventata cruciale. Secondo i dati della ricerca“Active Adversary Report for Tech Leaders 2023 di Sophos”, tra l’inizio di un attacco e il suo rilevamento passano oggi in media 8 giorni e in meno di 24 ore possono essere violati sistemi importanti come l’Active Directory, ovvero il repository con le chiavi d’accesso di utenti e amministratori.
Questi sono i motivi che portano molte imprese a dover rivedere i servizi interni a supporto delle attività di SOC e NOC, sempre più sinergici nelle azioni di rilevamento e protezione, oltre a prepararsi alla gestione d’emergenza degli attacchi di cyber security.
Si tratta di servizi che hanno un valore strategico per la tutela dei business e che oggi possono essere acquisiti in modalità as-a-service e integrati con le risorse interne eventualmente presenti. Servizi, dunque, con cui avere maggior controllo su ciò che accade nella rete aziendale e per accelerare la capacità di pronto intervento in caso di attività sospette o attacchi in corso.
SOC e NOC as-a-service sono poi alla portata anche delle PMI che, altrimenti, non avrebbero le competenze e le economie di scala per gestire internamente i presidi di sicurezza.
Indice degli argomenti
I compiti di SOC e NOC per l’operatività in sicurezza di reti e sistemi
Il compito del SOC è rilevare gli allarmi e i segni premonitori relativi a scansioni, intrusioni, presenza di malware o vulnerabilità e, di conseguenza, mettere in atto gli interventi di salvaguardia più urgenti quali, per esempio, l’isolamento dei sistemi a rischio o la riconfigurazione dei firewall.
Il NOC ha, invece, il compito di mantenere le reti aggiornate ed efficienti, identificando ed eliminando problemi e colli di bottiglia al traffico dati, sia quando sono frutto di esigenze di lavoro impreviste, sia quando si è in presenza di utilizzi impropri da parte degli utenti o della circolazione di malware sulla rete.
“Per essere davvero efficaci, SOC e NOC devono poter garantire copertura 24 ore su 24 per 7 giorni alla settimana, compresi i giorni festivi: sono questi i momenti in cui solitamente si concentrano le attività malevoli e d’attacco – sottolinea Christian Parmigiani, CEO di 4wardPRO e Partner & Board Member del Gruppo Impresoft- un compito che richiede un continuo monitoraggio e presidio dei team che devono poter gestire le differenti situazioni d’emergenza”.
Nei SOC lavora personale competente su tecniche d’attacco e di difesa della cyber security, aggiornato sulle migliori pratiche e in contatto con le community internazionali della security per scambi di informazioni e segnalazioni sulle minacce circolanti a livello globale.
Nei NOC lavorano invece i tecnici esperti della rete, che devono gestire gli aggiornamenti delle configurazioni e del software dei dispositivi connessi (non solo apparati WAN e LAN, firewall, ma anche computer), applicare le patch che riducono le vulnerabilità scoperte e capaci di agire prontamente in caso di problemi.
Per essere efficaci nella prevenzione e nel contrasto agli attacchi, SOC e NOC devono idealmente collaborare per avere visione completa del mondo informativo aziendale e ottenere tutte le risorse per rimediare ai problemi. Va da sé che, per governare ambo i servizi, servono investimenti in sistemi e persone, spesso giustificabili soltanto nei contesti dei grandi gruppi d’impresa oppure dei fornitori di servizi gestiti.
Automazione e persone: il valore di SOC e NOC
L’erogazione dei servizi professionali di SOC e NOC non ammette, però, improvvisazioni. “Per questo, per entrare nel mercato italiano dei servizi di cyber security abbiamo scelto di acquisire l’esperienza e le risorse che ci erano utili con operazioni di Mergers&Acquisition -spiega Parmigiani – seguendo tre direttrici: il mondo del cloud, che comprende anche i data center on premise o ibridi, la cyber security e l’intelligenza artificiale”.
Tre ambiti utili per creare sinergie nelle capacità di dare supporto ai servizi gestiti. “Servizi che devono potersi continuamente adattare ai cambiamenti delle esigenze sia dei clienti che nostre – prosegue Parmigiani – per esempio, impieghiamo le proprietà intellettuali nel campo dell’AI non solo peridentificare gli attacchi di cyber security presso i clienti e velocizzare le reazioni ad essi, ma anche al nostro interno per condividere le conoscenze tra i team e facilitare l’inserimento dei nuovi tecnici, sempre difficili da trovare e formare”.
Un campo dove le tecnologie di AI si rivelano strategiche è quello dei triage per assegnare le priorità d’intervento sui sistemi attaccati. Si aggiungono le capacità di esclusione dei falsi positivi/negativi e nelle Root Cause Analysis (RCA) dei problemi.
“Senza l’AI non potremmo analizzare rapidamente centinaia di righe di log per trovare le tracce lasciate da una intrusione oppure automatizzare le risposte per ottenere l’isolamento dei sistemi sotto attacco. Capacità che fanno differenza sia nella mitigazione del danno sia nella risoluzione. Gran parte del valore che si ottiene dai sistemi più avanzati dipende comunque delle capacità delle persone dei team NOC e SOC che li impiegano, adottando gli approcci più efficaci sia nella gestione dei processi sia del ciclo di vita delle componenti di difesa”, precisa Parmigiani.
SOC e NOC, l’importanza di strategia e metodo per la cybersecurity
Poiché tra l’apparire dei primi segnali e l’attacco informatico vero e proprio c’è sempre meno tempo, nella cyber security sono oggi fattori fondamentali la velocità di reazione e la strategia con cui si approcciano allarmi o semplici segnali rilevati da SOC e NOC.
“La velocità fa la differenza tra un danno limitato e un disastro informatico – riporta Parmigiani – ma soprattutto fa danni la falsa convinzione che possa bastare un moderno sistema di SIEM (Security Information & Event Management) gestito all’interno per poter essere al sicuro”.
La cyber security richiede oggi un approccio strategico e un metodo strutturato. “Aspetti che abbiamo messo a punto nel tempo con il nostro metodo S.A.F.E., acronimo di Scan, Acknowledge, Fix ed Enhance – precisa Parmigiani – con S.A.F.E., la sicurezza è un processo circolare che dalle rilevazioni delle minacce giunge all’attivazione delle protezioni più efficaci per bloccare o mitigare gli effetti dell’attacco”.
Nel ciclo di S.A.F.E, il monitoraggio è continuo e le reazioni di difesa e recovery non guardano soltanto ai dispositivi informatici, ma al minore danno economico nelle priorità di ripristino dell’operatività d’impresa. Il ciclo va inoltre a indirizzare il tema degli aggiornamenti ai sistemi di sicurezza che, da una parte, deve considerare l’evolversi continuo delle minacce che circolano in rete e, dall’altro, le esigenze di produttività dell’azienda minimizzando l’impatto sul business.
SOC e NOC: fare sicurezza as-a-service
La sicurezza informatica richiede oggi una strategia collaudata nella gestione della continuità operativa e del rischio, per cui si rivela essenziale la sinergia tra strumenti tecnologici, metodi, persone e servizi. SOC e NOC sono componenti fondamentali per l’operatività aziendale, per rilevare e bloccare prontamente attacchi di cyber security grazie all’impiego congiunto di strumenti tecnologici avanzati e delle competenze di team di esperti.
La modalità as-a-service e i managed services nella security consentono anche alle realtà meno strutturate, che non hanno competenze e personale dedicato, di ottenere il massimo livello di continuità operativa e una riduzione sostanziale dei rischi d’attacco e perdita di dati.
NOC e SOC erogati come servizio aiutano a rendere più efficaci gli strumenti di security già installati, ad aiutare il personale tecnico aziendale nelle competenze e nel supporto di procedure onerose come gli aggiornamenti.
“Ad oggi, abbiamo 200 specialisti impiegati nella gestione dei nostri servizi SOC, NOC e Cloud Security Operation – afferma Parmigiani – attività che riguardano circa 9000 server e oltre 50.000 sistemi client installati presso i nostri clienti. Un apparato capace di gestire 5000 ticket clienti, intervenendo entro due ore nei casi più critici, sulla base degli SLA convenuti”.
Contributo editoriale sviluppato in collaborazione con 4wardPRO
