SICUREZZA INFORMATICA

Affidare la gestione della security a un SOC esterno: ecco perché conviene

Per garantire la sicurezza dei dati e dei servizi aziendali è indispensabile avere un team di esperti attivo 24/7, qualcosa che non tutte le aziende possono permettersi. Il ricorso a un SOC esterno rappresenta una soluzione per superare gli ostacoli all’implementazione di un sistema di sicurezza adeguato

03 Giu 2021
S
Marco Schiaffino

Giornalista

Quando si parla di esternalizzazione dei servizi, di solito, si pensa immediatamente a una manovra orientata esclusivamente per ridurre i costi. Nel mondo della cyber security, però, i vantaggi di ricorrere ai servizi gestiti superano di gran lunga il semplice aspetto economico.

La formula, ormai ampiamente diffusa, è quella di una gestione attraverso SOC (Security Operation Center) dedicati a cui è affidata la gestione di tutti gli aspetti della cyber security e che sono in grado di erogare tutti quei servizi che molte imprese non potrebbero gestire internamente.

Un compito sempre più complesso

A rendere attraente (se non inevitabile) l’affidamento della sicurezza informatica a un SOC esterno, è principalmente il nuovo quadro della security che si trovano ad affrontare le aziende. Negli ultimi anni, infatti, lo scenario si è evoluto con una rapidità tale da imporre un radicale cambio di prospettiva nel contrasto agli attacchi informatici.

Uno degli aspetti più rilevanti riguarda la struttura stessa delle reti aziendali, che si sono rapidamente estese provocando una vera e propria evaporazione di quel concetto di “perimetro” su cui si basava la tradizionale strategia di protezione dei sistemi aziendali. Lavoro in mobilità, collaborazioni da remoto e utilizzo sempre più intensivo delle piattaforme cloud per il trattamento dei dati e la gestione delle risorse hanno frammentato il network al cui interno transitano i dati delle imprese, rendendo impossibile distinguere un “dentro” e un “fuori”.

New call-to-action

“La rapidità con cui questi cambiamenti sono stati introdotti nelle aziende ha reso obsoleti i sistemi di cyber security che utilizzavano” conferma Roberto Leone Cyber Security Advisor di Lutech. “Soprattutto in Italia, dove ci sono molte aziende di piccole e medie dimensioni, l’evoluzione digitale ha lasciato scoperti vari ambiti, provocando un aumento della superficie di attacco a disposizione dei pirati informatici”.

A concorrere al fenomeno, c’è il fatto che è cambiato anche lo stesso ecosistema digitale, soprattutto a livello dei dispositivi utilizzati. “L’esigenza in questo nuovo scenario è di accedere rapidamente a dati che vengono trattati da numerose tipologie di dispositivi” spiega Aldo Di Mattia, Manager Systems Engineering – Centre/South Italy di Fortinet. “In molti casi questi device non possono essere protetti con i classici sistemi endpoint e la loro sicurezza deve essere garantita attraverso strumenti più evoluti”.

L’accelerazione del cyber crimine

Accanto a questi fattori, incide anche l’incremento di attività da parte dei pirati informatici. Il fenomeno della digital transformation, nell’ottica di un cyber criminale, rappresenta infatti un’opportunità per incrementare i suoi guadagni illeciti.

I casi di furto di proprietà intellettuale ed estorsioni tramite ransomware sono aumentati esponenzialmente. Non solo: i pirati informatici hanno progressivamente modificato il loro modus operandi, abbandonando le campagne di attacco “a pioggia”, basate per esempio sull’invio di malware allegati ai messaggi di posta elettronica, per adottare strategie più raffinate, che sfruttano tecniche di phishing e di ingegneria sociale per garantirsi un accesso alla rete, per poi eseguire un movimento laterale che gli consente di colpire i punti nevralgici del network aziendale.

“Per rilevare attacchi con queste caratteristiche è indispensabile implementare strumenti di monitoraggio che permettano di analizzare rapidamente qualsiasi attività sulla rete” spiega Roberto Leone.

Il tema è quello dei sistemi SIEM (Security Information and Event Management), il cui compito è quello di raccogliere i log all’interno del network, ordinarli, correlarli e selezionare quelli rilevanti.

Ed è qui che entra in gioco il SOC: l’analisi di questi dati, così come le attività di contrasto degli attacchi, richiede l’intervento di professionisti che abbiano capacità e conoscenze adeguate.

In altre parole, per poter garantire la sicurezza dei dati e dei servizi aziendali, è indispensabile avere un team di esperti attivo 24/7, qualcosa che non tutte le aziende possono permettersi.

I vantaggi di un SOC gestito

Il ricorso a un SOC esterno, in quest’ottica, rappresenta una soluzione che consente di superare gli ostacoli all’implementazione di un sistema di sicurezza adeguato alle nuove esigenze.

Il successo della formula, spiega l’esperto di Lutech, non è dovuto soltanto alla possibilità di poter ottimizzare i costi o sgravare i responsabili IT da un compito sempre più impegnativo, ma anche dal fatto che creare un SOC interno è tutt’altro che facile.

“I professionisti della cyber security continuano a essere pochi rispetto alle richieste del mercato” spiega Leone. “In molti casi, inoltre, per un ‘analista l’attività che copre una sola azienda è poco stimolante e le risorse più talentuose finiscono inevitabilmente per cercare ambiti in cui trovano maggiori motivazioni”.

In altre parole, ricorrere a un partner che è in grado di erogare un servizio di security attraverso un SOC esterno è anche una garanzia di avere a disposizione le migliori professionalità sulla piazza.

La prospettiva futura: dal SIEM al SOAR

Così come il panorama IT, anche quello della cyber security sta vivendo una fase di prepotente evoluzione e le tecnologie sviluppate dalle società di sicurezza per fronteggiare le nuove sfide spingono inevitabilmente vero una (parziale) automazione anche nel settore della sicurezza.

In questo caso la chiave è rappresentata dai sistemi SOAR (Security Orchestration, Automation and Response), che offrono la possibilità di automatizzare alcune operazioni sia in fase di analisi, sia in fase di risposta agli eventuali attacchi informatici.

“I sistemi SOAR andranno inevitabilmente ad affiancare il tradizionale SIEM” commenta Aldo Di Mattia. “Ciò che dobbiamo tenere presente è che le soluzioni tecniche non possono sostituire il ruolo degli analisti, ma la loro evoluzione attraverso l’introduzione di funzioni automatizzate permette di rendere il loro compito più agevole”.

Insomma: il giorno in cui sarà possibile affidare la sicurezza delle reti IT a un sistema completamente automatizzato è ancora lontano, ma l’evoluzione tecnologica in questo settore sta procedendo spedita.

Contributo editoriale sviluppato in collaborazione con Lutech e Fortinet

@RIPRODUZIONE RISERVATA