LA GUIDA PRATICA

Strutturare un Security Operation Center: regole operative

Il SOC si configura sempre più come il centro nevralgico per la difesa delle organizzazioni in quanto consente di gestire i sistemi di sicurezza e governare i processi di Incident Management. Ecco le regole operative per strutturare un Security Operation Center avanzato

Pubblicato il 21 Gen 2021

Guido Pellillo

Information Security Business Unit Manager di S2E|Solutions2Enterprises

Strutturare un Security Operation Center regole operative

Cresce nelle aziende la necessità di disporre e strutturare un team in grado di gestire i sistemi di sicurezza e governare i processi di Incident Management come un SOC, Security Operation Center ovvero l’insieme di persone qualificate, processi e tecnologie a protezione dei sistemi informativi dell’organizzazione attraverso:

  • design e configurazioni proattive;
  • monitoraggio continuo tramite processi standardizzati;
  • rilevamento di azioni e situazioni non desiderabili;
  • coordinamento delle contromisure da adottare per la difesa in caso di incidenti informatici;
  • minimizzazione del danno;
  • miglioramento continuo della postura di sicurezza.

Una necessità dettata dal numero di incidenti di sicurezza in crescita esponenziale, così come evidenziato dal rapporto Clusit 2020 e confermato da innumerevoli altre pubblicazioni. Tanto da ritenere che questo sia stato “l’anno peggiore di sempre” in termini di evoluzione delle minacce cyber e dei relativi impatti.

L’attenzione verso il rischio generato dai potenziali cyber attacchi cresce continuamente tanto da essere riportato come uno tra i maggiori in termini di probabilità e impatto anche dal World Economic Forum nel loro Global Risk Report 2020.

Com’è evoluto il concetto di sicurezza aziendale

Per rispondere a questo trend negativo le aziende cercano di attrezzarsi e trovare il proprio modo di prepararsi a identificare e rispondere alle minacce determinate dagli attacchi informatici e mitigare i rischi relativi alla perdita di confidenzialità integrità e disponibilità dei dati aziendali e personali.

Negli anni abbiamo assistito ad un’evoluzione delle tecnologie e dei modelli di sicurezza passando dal concetto di sicurezza perimetrale dove il focus era soprattutto legato alla protezione dei confini esterni del nostro perimetro da proteggere (idea del castello) all’interno del quale si assumeva non arrivassero vettori di minacce, per arrivare ai più recenti concetti di Zero Trust che implica il principio che nessuno è “fidato” né all’esterno e né all’interno dell’organizzazione con il fiorire di soluzioni incentrate ad identificare cosa ogni utente possa essere autorizzato a fare (least privilege), da quale postazione e posizione solitamente lavora e quali sono i suoi comportamenti abituali (behavioural analysis) assumendo che è possibile che si sia già stati violati (assume breach) per essere in grado di intercettare le anomalie e interrompere eventuali situazioni pericolose.

Negli ultimi tempi, però, si stanno anche spostando le risorse, o meglio integrando, dall’essere principalmente concentrate sulla detection del problema verso una maggiore e più immediata capacità di response agli attacchi. Non è più in dubbio se prima o poi saremo vittime di un attacco, piuttosto bisogna ragionare sul quando avverrà e di come reagiremo.

Come funziona un Security Operation Center

Durante la gestione degli alert, gli specialisti della sicurezza decidono se occuparsi direttamente di un incidente nel SOC o se passarlo alla competenza del CSIRT.

Secondo gli standard di riferimento uno CSIRT (Computer Security Incident Response Team) è il team responsabile della gestione degli incidenti attraverso analisi di dettaglio, spesso con attività forensi e di malware analysis e code review con l’obiettivo di completare la chiusura dell’incidente avvenuto ripristinando completamente la situazione originaria. Comprende, inoltre, anche attività di trasferimento di conoscenze e gestione delle vulnerabilità.

Ogni organizzazione ha definito e realizzato il suo Security Operation Center avanzato in maniera diversa (almeno quelle che hanno la fortuna di averne uno), il che è anche estremamente logico se si considera che il disegno di un SOC e i suoi KPI devono essere necessariamente disegnati a partire dall’allineamento con le strategie e obiettivi di Business aziendali e la sua Risk Attitude.

Avere però standard e logiche scorrelate non aiuta soprattutto quando si ha che fare con infrastrutture critiche o Pubbliche Amministrazioni: per questo motivo l’ENISA ha recentemente pubblicato la guida How to setup up CSIRT and SOC per coloro che sono interessati a realizzare un CSIRT o SOC o aggiornarne uno in modo strutturato, facilitando lo scambio informativo attraverso l’utilizzo di una approccio comune.

Perché soltanto attraverso lo scambio aperto e veloce delle informazioni relative alle tecniche di attacco, alle vulnerabilità registrate e alle fonti di minaccia è possibile essere più efficaci.

Come strutturare un Security Operation Center

Per realizzare un SOC ben strutturato sono dunque necessarie le seguenti componenti:

  • People. Prima di tutto attraverso la disponibilità di esperti di sicurezza all’altezza della situazione, questi professionisti sono la prima linea di difesa in questa continua guerra contro i “cattivi”. Serve preparazione tecnica certamente ma anche una capacità di lavorare in situazioni di stress caratteristica questa molto difficile da trasmettere e insegnare.
  • Technology. Servono soluzioni tecnologiche all’avanguardia, l’utilizzo di AI e machine learning sta accelerando l’evoluzione delle tecnologie, purtroppo non solo di quelle difensive e capacità di integrare le soluzioni tra loro per trarne il meglio. Le principali sono le soluzioni di vulnerability management, log management e event management (SIEM), Security Orchestration Automation and Response (SOAR), threat intelligence e incident response.
  • Processes. Servono processi ben strutturati, snelli, condivisi ed estremamente chiari per essere efficaci soprattutto nei momenti critici. Alcuni di questi sono essenziali come Incident Response e alert triage, gestione del knowledge base aggiornato continuamente con le lesson learnt, oltre all’integrazione con gli altri processi Aziendali di gestione dei rischi e crisis management.

Un framework per strutturare un Security Operation Center

Sappiamo quanto sia complicato ottenere un budget adeguato alla sicurezza, troppo spesso percepita come un costo più o meno evitabile, ma altrettanto non vorremmo mai che il nostro esercito fosse mal addestrato e con le armi spuntate per cui è essenziale ottenere il commitment degli stakeholders e individuare il giusto compromesso costi benefici.

Serve un framework strutturato che aiuti a definire i diversi componenti del SOC come, ad esempio, quello disegnato da ENISA:

È un progetto ben disegnato e con il necessario tempo di implementazione a seconda della complessità possono essere richiesti diversi mesi per una realizzazione. Come abbiamo visto i SOC sono degli organismi complessi per cui un approccio per fasi ed evoluzioni progressive è sempre vincente.

Conclusioni

Un Security Operation Center, dunque, è sempre più il centro nevralgico per la difesa delle organizzazioni, le tecnologie evolvono ad una velocità impressionante e il livello di automazione inserito dal SOAR continuerà a crescere sostituendo sempre di più alcune delle attività dagli analisti L1 con un costo comunque significativo per lo sviluppo dei Playbook necessari.

L’integrazione con le capacità di threat intelligence, threat hunting e digital forensics sono sempre più richieste all’interno dei servizi erogabili dal SOC.

Insomma, l’aggiornamento tecnico e l’estensione degli skills richiesti da chi opera all’interno del SOC sono un must have, ma le capacità più importanti per un SOC Analyst o un SOC Manager sono quelle umane.

Chiunque abbia passato del tempo all’interno di un SOC sa che la forza del gruppo è fondamentale, il sapersi aiutare e supportare l’un l’altro, avere voglia di crescere e approfondire le tematiche tecniche, il saper fare una battuta al momento giusto e creare un clima disteso sono essenziali e fanno la differenza all’interno delle “trincee” del SOC.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

DORA, funzioni essenziali o importanti: regole di conformità ai requisiti normativi