Un SOC (Security Operations Center) - a volte definito ISOC (information security operations center, centro per le operazioni di sicurezza delle informazioni) – è un team di professionisti della sicurezza IT interno all'azienda o in outsourcing che monitora l'intera infrastruttura IT di un'organizzazione, 24 ore al giorno, 7 giorni alla settimana, per rilevare in tempo reale gli eventi relativi alla sicurezza informatica e affrontarli nel modo più rapido ed efficace possibile.
Un SOC, inoltre, seleziona, gestisce e mantiene le tecnologie di sicurezza informatica dell'organizzazione e analizza continuamente i dati sulle minacce per trovare modi per migliorare il profilo di sicurezza dell'organizzazione.
Il principale vantaggio di gestire o assegnare in outsourcing un SOC è unificare e coordinare gli strumenti e le pratiche di sicurezza e a risposta agli incidenti di sicurezza. Questo generalmente determina il miglioramento delle misure preventive e delle politiche di sicurezza, consente un rilevamento più rapido delle minacce e una risposta più veloce, efficiente ed efficace in termini di costi alle minacce di sicurezza. Inoltre, un SOC può migliorare la fiducia dei clienti e semplificare e rafforzare la conformità di un'organizzazione alle normative in materia di privacy del settore, nazionali e globali.
Le attività e le responsabilità del SOC possono essere suddivise in tre categorie generali.
Inventario degli asset. Un SOC deve gestire un inventario completo di tutto ciò che deve essere protetto, all'interno o all'esterno del data center (ad esempio, applicazioni, database, server, servizi cloud, endpoint, ecc.) e di tutti gli strumenti utilizzati per la protezione (firewall, strumenti antivirus/antimalware/antiransomware, software di monitoraggio, etc). Per questa attività, molti SOC utilizzeranno una soluzione di rilevamento degli asset.
Manutenzione e preparazione delle routine. Per incrementare al massimo l'efficacia degli strumenti e delle misure di sicurezza adottati e in vigore, il SOC esegue manutenzioni preventive come l'applicazione di patch e aggiornamenti al software e aggiorna continuamente firewall, blacklist e whitelist, e politiche e procedure di sicurezza. Il SOC può anche creare backup di sistema – o fornire assistenza nella creazione di politiche o procedure di backup – per garantire la business continuity in caso di violazione di dati, attacco ransomware o altri incidenti relativi alla sicurezza informatica.
Pianificazione delle risposte agli incidenti. Il SOC è responsabile per lo sviluppo del piano di risposta agli incidenti dell'organizzazione, che definisce le attività, i ruoli e le responsabilità in caso di minaccia o incidente, in aggiunta alle metriche in base alle quali verrà misurato il successo di una risposta all'incidente.
Test regolari. Il team SOC esegue valutazioni della vulnerabilità - valutazioni complete che identificano la vulnerabilità di ciascuna risorsa alle potenziali minacce e i relativi costi. Inoltre, esegue test di penetrazione che simulano specifici attacchi su uno o più sistemi. Il team corregge o ottimizza le applicazioni, le politiche di sicurezza, la best practice e i piani di risposta agli incidenti in base ai risultati di tali test.
Rimanere aggiornati. Il SOC resta aggiornato sulle ultime soluzioni di sicurezza e tecnologie e sulla più recente intelligence sulle minacce - novità e informazioni relative agli attacchi informatici e agli hacker che li commettono, raccolte da social media, fonti del settore e dal dark web.
Monitoraggio continuo della sicurezza, senza interruzioni. Il SOC monitora costantemente l'intera infrastruttura IT estesa - applicazioni, server, software di sistema, dispositivi di elaborazione, carichi di lavoro cloud, rete - alla ricerca di segni di exploit noti e di attività sospette.
Per molti SOC, la tecnologia di base per il monitoraggio, il rilevamento e la risposta è stata la gestione delle informazioni e degli eventi di sicurezza o SIEM (security information and event management). SIEM monitora e riunisce gli avvisi e la telemetria da software e hardware sulla rete in tempo reale, quindi analizza i dati per identificare potenziali minacce. Più recentemente, alcuni SOC hanno anche adottato la tecnologia XDR (eXtended Detection and Response), che fornisce telemetria e monitoraggio più dettagliati e la capacità di automatizzare il rilevamento e la risposta agli incidenti.
Gestione dei log. La gestione dei log, ovvero la raccolta e l'analisi dei dati di log generati da ogni evento di rete, è un sottoinsieme del monitoraggio abbastanza importante da meritare un discorso a parte. Sebbene la maggior parte dei reparti IT raccolga i dati, è l'analisi che stabilisce le attività normali o di base e che rivela le anomalie che indicano un'attività sospetta. In effetti, molti hacker fanno affidamento sul fatto che le aziende non sempre analizzino i dati di log; ciò consente ai loro virus e malware di agire senza essere rilevati per settimane o persino mesi sui sistemi delle vittime. La maggior parte delle soluzioni SIEM includono funzionalità di gestione dei log.
Rilevamento delle minacce. Il team SOC separa i segnali dal rumore di fondo - le indicazioni delle minacce informatiche effettive e degli exploit degli hacker dai falsi positivi - e assegna priorità alle minacce in base alla loro gravità. Le moderne soluzioni SIEM includono un'intelligenza artificiale (AI, Artificial Intelligence) che automatizza questi processi e 'apprende' dai dati per migliorare nel tempo le proprie capacità di individuare le attività sospette.
Risposta agli incidenti. Per rispondere a una minaccia o a un reale incidente, il SOC opera per limitare i danni. Le azioni possono includere:
• Indagini sulle cause principali, per determinare le vulnerabilità tecniche che hanno consentito agli hacker di accedere al sistema, oltre ad altri fattori (quali l'utilizzo di password non sicure o un'applicazione poco attenta delle politiche) che hanno contribuito all'incidente
• Arresto o disconnessione dalla rete degli endpoint compromessi
• Isolamento delle aree compromesse della rete o reinstradamento del traffico di rete
• Sospensione o arresto di applicazioni o processi compromessi
• Eliminazione di file danneggiati o infetti
• Esecuzione di software antivirus o anti-malware
• Revoca delle password per gli utenti interni ed esterni.
Molte soluzioni XDR consentono ai SOC di automatizzare e accelerare queste operazioni e altre risposte agli incidenti.
Ripristino e correzione. Una volta contenuto un incidente, il SOC elimina la minaccia, quindi lavora per riportare gli asset interessati allo stato precedente all'incidente (ad esempio, eliminando i dati, ripristinando e connettendo nuovamente i dischi, i dispositivi degli utenti finali e altri endpoint; ripristinando il traffico di rete; riavviando le applicazioni e i processi). In caso di una violazione dei dati o di un attacco ransomware, il ripristino potrebbe anche comportare lo spostamento su sistemi di backup e il ripristino delle password e delle credenziali di autenticazione.
Operazioni successive e perfezionamento. Per prevenire nuovi casi, il SOC utilizza le nuove informazioni ricavate dall'incidente per gestire in modo più efficiente le vulnerabilità, aggiornare i processi e le politiche, scegliere nuovi strumenti di sicurezza informatica o revisionare il piano di risposta agli incidenti. A un livello superiore, il team SOC potrebbe anche tentare di determinare se l'incidente riveli una nuova o differente tendenza nell'ambito della sicurezza informatica per cui il team debba prepararsi.
Gestione delle conformità. È compito del SOC garantire che tutte le applicazioni, i sistemi e gli strumenti e processi di sicurezza siano conformi alle normative sulla privacy dei dati quali GDPR (Global Data Protection Regulation), CCPA (California Consumer Privacy Act), PCI DSS (Payment Card Industry Data Security Standard) e HIPAA (Health Insurance Portability and Accountability Act). In seguito ad un incidente, il SOC si accerta che gli utenti, i gli enti di controllo, le forze dell'ordine e le altre parti interessate siano notificate in conformità alle normative e che i dati sull'incidente necessari vengano conservati come prove e a scopo di verifica.
In generale, i ruoli principali di un team SOC includono:
• Il manager del SOC, che dirige il team, coordina tutte le operazioni relative alla sicurezza e risponde al CISO (Chief Information Security Officer) dell'organizzazione.
• Ingegneri della sicurezza, che allestiscono e gestiscono l'architettura di sicurezza dell'organizzazione. La gran parte di questa attività comporta la valutazione, la verifica, la generazione di suggerimenti, l'implementazione e la manutenzione degli strumenti e delle tecnologie di sicurezza. Inoltre, gli ingegneri di sicurezza collaborano con i team di sviluppo o DevOps/DevSecOps per garantire che l'architettura di sicurezza dell'organizzazione sia inclusa nei cicli di sviluppo delle applicazioni.
• Analisti della sicurezza, anche noti come investigatori della sicurezza o soccorritori in caso di incidenti - che sono di fatto i primi a intervenire in caso di minacce o incidenti di sicurezza informatica. Gli analisti rilevano, indagano e assegnano priorità alle minacce; quindi, identificano gli host, gli endpoint e gli utenti interessati e intraprendono le azioni appropriate per mitigare e contenere l'impatto della minaccia o dell'incidente. (In alcune organizzazioni, gli investigatori e i soccorritori in caso di incidenti sono ruoli separati, classificati rispettivamente come analisti di livello 1 e livello 2.)
• I cercatori di minacce (chiamati anche analisti di sicurezza esperti) sono specializzati nel rilevamento e contenimento delle minacce avanzate, - nuove minacce o varianti delle minacce che riescono ad aggirare le difese automatizzate.
Il team SOC può includere altri specialisti, a seconda delle dimensioni dell'organizzazione e del settore in cui opera. Le aziende di maggiori dimensioni potrebbero includere un Direttore delle risposte agli incidenti, responsabile per la comunicazione e il coordinamento delle risposte agli incidenti. Inoltre, alcuni SOC includono investigatori forensi, specializzati nel recupero di dati, o indizi, da dispositivi danneggiati o compromessi in un incidente di sicurezza informatica.
DevOps
DevSecOps
IBM Security QRadar XDR è la prima soluzione XDR completa del settore della sicurezza IT progettata con standard aperti e automazione in grado di unificare funzionalità di rilevamento e risposta degli endpoint (EDR, Endpoint Detection and Response), rilevamento e risposta della rete (NDR, Network Detection and Response) e SIEM in un solo flusso di lavoro. QRadar XDR, i SOC possono risparmiare tempo prezioso ed eliminare più rapidamente le minacce connettendo gli insight, semplificando i flussi di lavoro e sfruttando l'AI per automatizzare le risposte.
La suite di soluzioni IBM Security QRadar XDR include:
• QRadar XDR Connect, che integra gli strumenti di sicurezza, semplifica i flussi di lavoro, si adatta alle competenze e alle esigenze dei team di sicurezza e automatizza il SOC.
• QRadar SIEM, con analytics di sicurezza intelligenti che analizzano automaticamente i dati di log e di flusso da migliaia di dispositivi, endpoint e app sulla rete, fornendo insight utilizzabili sulle minacce più critiche.
• QRadar Network Insights, che fornisce un'analisi del traffico di rete in tempo reale, per la visibilità approfondita di cui i team SOC hanno bisogno per rilevare le minacce nascoste prima che sia troppo tardi.
• QRadar SOAR (Security Orchestration, Automation and Response), che codifica i processi di risposta agli incidenti in playbook dinamici che consentono ai team di sicurezza di rispondere con sicurezza, automatizzare in modo intelligente e collaborare in modo coerente.
Registrati per il workshop IBM Security Framing and Discovery
Gartner ha nominato IBM Leader del Magic Quadrant 2021 per SIEM
Entra nel mondo di IBM Security