Strutturare un Security Operation Center: regole operative - Cyber Security 360

LA GUIDA PRATICA

Strutturare un Security Operation Center: regole operative

Il SOC si configura sempre più come il centro nevralgico per la difesa delle organizzazioni in quanto consente di gestire i sistemi di sicurezza e governare i processi di Incident Management. Ecco le regole operative per strutturare un Security Operation Center avanzato

21 Gen 2021
P
Guido Pellillo

Information Security Business Unit Manager di S2E|Solutions2Enterprises

Cresce nelle aziende la necessità di disporre e strutturare un team in grado di gestire i sistemi di sicurezza e governare i processi di Incident Management come un SOC, Security Operation Center ovvero l’insieme di persone qualificate, processi e tecnologie a protezione dei sistemi informativi dell’organizzazione attraverso:

  • design e configurazioni proattive;
  • monitoraggio continuo tramite processi standardizzati;
  • rilevamento di azioni e situazioni non desiderabili;
  • coordinamento delle contromisure da adottare per la difesa in caso di incidenti informatici;
  • minimizzazione del danno;
  • miglioramento continuo della postura di sicurezza.

Una necessità dettata dal numero di incidenti di sicurezza in crescita esponenziale, così come evidenziato dal rapporto Clusit 2020 e confermato da innumerevoli altre pubblicazioni. Tanto da ritenere che questo sia stato “l’anno peggiore di sempre” in termini di evoluzione delle minacce cyber e dei relativi impatti.

L’attenzione verso il rischio generato dai potenziali cyber attacchi cresce continuamente tanto da essere riportato come uno tra i maggiori in termini di probabilità e impatto anche dal World Economic Forum nel loro Global Risk Report 2020.

Com’è evoluto il concetto di sicurezza aziendale

Per rispondere a questo trend negativo le aziende cercano di attrezzarsi e trovare il proprio modo di prepararsi a identificare e rispondere alle minacce determinate dagli attacchi informatici e mitigare i rischi relativi alla perdita di confidenzialità integrità e disponibilità dei dati aziendali e personali.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity

Negli anni abbiamo assistito ad un’evoluzione delle tecnologie e dei modelli di sicurezza passando dal concetto di sicurezza perimetrale dove il focus era soprattutto legato alla protezione dei confini esterni del nostro perimetro da proteggere (idea del castello) all’interno del quale si assumeva non arrivassero vettori di minacce, per arrivare ai più recenti concetti di Zero Trust che implica il principio che nessuno è “fidato” né all’esterno e né all’interno dell’organizzazione con il fiorire di soluzioni incentrate ad identificare cosa ogni utente possa essere autorizzato a fare (least privilege), da quale postazione e posizione solitamente lavora e quali sono i suoi comportamenti abituali (behavioural analysis) assumendo che è possibile che si sia già stati violati (assume breach) per essere in grado di intercettare le anomalie e interrompere eventuali situazioni pericolose.

Negli ultimi tempi, però, si stanno anche spostando le risorse, o meglio integrando, dall’essere principalmente concentrate sulla detection del problema verso una maggiore e più immediata capacità di response agli attacchi. Non è più in dubbio se prima o poi saremo vittime di un attacco, piuttosto bisogna ragionare sul quando avverrà e di come reagiremo.

Come funziona un Security Operation Center

Durante la gestione degli alert, gli specialisti della sicurezza decidono se occuparsi direttamente di un incidente nel SOC o se passarlo alla competenza del CSIRT.

Secondo gli standard di riferimento uno CSIRT (Computer Security Incident Response Team) è il team responsabile della gestione degli incidenti attraverso analisi di dettaglio, spesso con attività forensi e di malware analysis e code review con l’obiettivo di completare la chiusura dell’incidente avvenuto ripristinando completamente la situazione originaria. Comprende, inoltre, anche attività di trasferimento di conoscenze e gestione delle vulnerabilità.

Ogni organizzazione ha definito e realizzato il suo Security Operation Center avanzato in maniera diversa (almeno quelle che hanno la fortuna di averne uno), il che è anche estremamente logico se si considera che il disegno di un SOC e i suoi KPI devono essere necessariamente disegnati a partire dall’allineamento con le strategie e obiettivi di Business aziendali e la sua Risk Attitude.

Avere però standard e logiche scorrelate non aiuta soprattutto quando si ha che fare con infrastrutture critiche o Pubbliche Amministrazioni: per questo motivo l’ENISA ha recentemente pubblicato la guida How to setup up CSIRT and SOC per coloro che sono interessati a realizzare un CSIRT o SOC o aggiornarne uno in modo strutturato, facilitando lo scambio informativo attraverso l’utilizzo di una approccio comune.

Perché soltanto attraverso lo scambio aperto e veloce delle informazioni relative alle tecniche di attacco, alle vulnerabilità registrate e alle fonti di minaccia è possibile essere più efficaci.

Come strutturare un Security Operation Center

Per realizzare un SOC ben strutturato sono dunque necessarie le seguenti componenti:

  • People. Prima di tutto attraverso la disponibilità di esperti di sicurezza all’altezza della situazione, questi professionisti sono la prima linea di difesa in questa continua guerra contro i “cattivi”. Serve preparazione tecnica certamente ma anche una capacità di lavorare in situazioni di stress caratteristica questa molto difficile da trasmettere e insegnare.
  • Technology. Servono soluzioni tecnologiche all’avanguardia, l’utilizzo di AI e machine learning sta accelerando l’evoluzione delle tecnologie, purtroppo non solo di quelle difensive e capacità di integrare le soluzioni tra loro per trarne il meglio. Le principali sono le soluzioni di vulnerability management, log management e event management (SIEM), Security Orchestration Automation and Response (SOAR), threat intelligence e incident response.
  • Processes. Servono processi ben strutturati, snelli, condivisi ed estremamente chiari per essere efficaci soprattutto nei momenti critici. Alcuni di questi sono essenziali come Incident Response e alert triage, gestione del knowledge base aggiornato continuamente con le lesson learnt, oltre all’integrazione con gli altri processi Aziendali di gestione dei rischi e crisis management.

Un framework per strutturare un Security Operation Center

Sappiamo quanto sia complicato ottenere un budget adeguato alla sicurezza, troppo spesso percepita come un costo più o meno evitabile, ma altrettanto non vorremmo mai che il nostro esercito fosse mal addestrato e con le armi spuntate per cui è essenziale ottenere il commitment degli stakeholders e individuare il giusto compromesso costi benefici.

Serve un framework strutturato che aiuti a definire i diversi componenti del SOC come, ad esempio, quello disegnato da ENISA:

È un progetto ben disegnato e con il necessario tempo di implementazione a seconda della complessità possono essere richiesti diversi mesi per una realizzazione. Come abbiamo visto i SOC sono degli organismi complessi per cui un approccio per fasi ed evoluzioni progressive è sempre vincente.

Conclusioni

Un Security Operation Center, dunque, è sempre più il centro nevralgico per la difesa delle organizzazioni, le tecnologie evolvono ad una velocità impressionante e il livello di automazione inserito dal SOAR continuerà a crescere sostituendo sempre di più alcune delle attività dagli analisti L1 con un costo comunque significativo per lo sviluppo dei Playbook necessari.

L’integrazione con le capacità di threat intelligence, threat hunting e digital forensics sono sempre più richieste all’interno dei servizi erogabili dal SOC.

Insomma, l’aggiornamento tecnico e l’estensione degli skills richiesti da chi opera all’interno del SOC sono un must have, ma le capacità più importanti per un SOC Analyst o un SOC Manager sono quelle umane.

Chiunque abbia passato del tempo all’interno di un SOC sa che la forza del gruppo è fondamentale, il sapersi aiutare e supportare l’un l’altro, avere voglia di crescere e approfondire le tematiche tecniche, il saper fare una battuta al momento giusto e creare un clima disteso sono essenziali e fanno la differenza all’interno delle “trincee” del SOC.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5