Cosa è un Security Operations Center (SOC) lo si evince subito dal nome: un centro operativo dedicato alla sicurezza. Un centro operativo vero e proprio, nulla di virtuale, con specialisti della sicurezza impegnati giorno e notte, grandi schermi che visualizzano mappe del mondo e luci a indicare i focolai di infezione.
Con la sicurezza come primo, indiscutibile, asset da gestire in un’infrastruttura aziendale, i SOC sono diventati fondamentali. Non appena un’azienda decide di affrontare un progetto di trasformazione digitale, la protezione di dati e applicazioni deve essere prioritaria. Al punto che i passi da compiere e i partner da scegliere sono quasi obbligati.
La maggior parte delle aziende non è in grado di gestire da sola la protezione delle proprie infrastrutture IT. Perché costruire un team interno di risorse specializzate non è semplice ed è costoso. E anche perché la sicurezza IT richiede competenze particolari e sempre aggiornate.
A questi limiti ci aggiungiamo la complessità degli ambienti IT distribuiti e minacce sempre più sofisticate. I modelli d’attacco più diffusi, infatti, richiedono di rivedere le strategie di difesa optando per un approccio proattivo. Ovvero un modello basato sul monitoraggio costante e sulla pronta rilevazione delle anomalie in una rete aziendale. L’unico modello che garantisca la massima protezione possibile.
SOC, un acronimo sempre più diffuso
E poi c’è la nuova proposizione a servizio. Pagando una fee mensile per un pacchetto di servizi di sicurezza, l’azienda cliente non si dovrà preoccupare di acquistare software ed hardware. Così come non si dovrà preoccupare di aggiornamenti e manutenzione.
Per questi (e altri) motivi “Security Operations Center” è diventato un termine sempre più diffuso tra gli addetti ai lavori. Ed è per questo che tanti partner di tecnologia stanno investendo in queste particolari strutture. Molti system integrator che un tempo si dichiaravano tuttologi, oggi si stanno specializzando e stanno realizzando le loro infrastrutture per la protezione.
LEGGI ANCHE: Cyber security, ecco la mappa delle nuove minacce. Come difendersi, come evitare guai
Cosa è il Security Operations Center (SOC)
Spieghiamo nei dettagli cosa è un Security Operations Center (SOC). Un Security Operation Center è una centrale operativa fisica da cui si gestisce la sicurezza delle infrastrutture IT aziendali. Dal centro di controllo il partner IT specializzato monitora e analizza in ogni momento ciò che avviene nelle architetture di rete dei propri clienti.
Ma non solo, un SOC è connesso generalmente ad altri centri di controllo nel mondo e partecipa a una rete attiva di rilevazione delle minacce. In questo modo, il partner può seguire la propagazione di una specifica minaccia ed eseguire le attività di protezione prima che contagi le architetture di rete dei suoi clienti. E la condivisione in tempo reale di dati e informazioni sulle minacce oggi è una caratteristica dal valore indiscutibile.
L’attività di un Security Operation Center non si ferma mai. Gli analisti di sicurezza siedono a turno di fronte agli schermi 24 ore su 24, sette giorni su sette, perché i cybercriminali non dormono mai e gli attacchi partono spesso da fusi orari lontani.
Differenza tra SOC e NOC
Può capitare che un partner IT specializzato porti in dote un NOC. Un Network Operations Center e un Security Operations Center sono due strutture fisiche con finalità diverse benché simili. Come si evince dal nome, il Network Operations Center non è necessariamente focalizzato alla protezione dell’infrastruttura IT dell’azienda cliente. Piuttosto, si occupa di monitorare e gestire la rete aziendale.
Va da sé che tra le attività di un NOC non può non esserci la protezione della rete stessa. E, infatti, quasi sempre tra i servizi forniti da un NOC c’è una forte prevalenza di servizi per la protezione.
Viceversa, il pacchetto di servizi che può fornire un SOC non comprende tutti gli applicativi per la gestione delle performance di rete. Per fare un esempio, se c’è un problema di latenza, un malfunzionamento hardware o un blocco improvviso dei servizi, il SOC potrebbe non accorgersene e non avere gli strumenti per intervenire da remoto.
Differenze tra SIEM e SOC
Nella ricerca di un partner IT capace di gestire la sicurezza aziendale è facile imbattersi anche in un altro acronimo. SIEM significa Security Information and Event Management e non indica una struttura fisica. Siamo di fronte a una piattaforma applicativa ideata per la gestione degli eventi.
Una soluzione SIEM combina la gestione delle informazioni di sicurezza (SIM) con quella degli eventi di sicurezza (SEM). La piattaforma garantisce il monitoraggio e l’analisi degli eventi in tempo reale e la loro registrazione.
Può capitare che un partner IT offra un servizio SIEM. Quindi proponga di monitorare l’infrastruttura IT dell’azienda cliente, senza però avere un SOC. Perché per questo tipo di monitoraggio non è necessario avere un’infrastruttura complessa come un SOC.
Può capitare che per proteggere l’infrastruttura sia sufficiente un SIEM ma, attenzione, la piattaforma potrebbe non prevedere gli strumenti e gli automatismi necessari per reagire proattivamente a una minaccia. Cosa che, invece, è inclusa tra i servizi di un Security Operations Center (SOC).
Perché le aziende devono avere un Security Operations Center
I motivi per cui è fortemente consigliabile dotarsi del supporto di un Security Operations Center li abbiamo in parte anticipati. Oggi la gestione dell’infrastruttura IT non può prescindere dalla protezione di dati e applicazioni. E la modalità moderna di protezione richiede un approccio proattivo e piattaforme sofisticate e modulari.
In sintesi, potremmo riassumere in questi punti il perché le aziende oggi dovrebbero dotarsi di un Security Operations Center:
- L’erogazione di servizi specializzati di protezione è di gran lunga più conveniente del modello di offerta tradizionale a licenza.
- In un SOC lavorano risorse sempre aggiornate e certificate, 24×7.
- Un SOC ha il best of breed della tecnologia per la protezione di dati e applicazioni.
- Molti SOC si interfacciano in tempo reale con strutture di monitoraggio globali, ciò permette di individuare le minacce prima che si verifichino.
- I SOC garantiscono una completa conformità alla normativa, così l’azienda non si dovrà preoccupare della compliance.
Le attività di un Security Operations Center
Un Security Operations Center svolge l’attività primaria di monitorare e gestire la sicurezza dell’infrastruttura IT dei propri clienti. E lo fa in contemporanea su diversi clienti. Grazie a queste economie di scala, il partner IT può erogare servizi dai costi abbordabili per tutte le fasce aziendali.
Inoltre, la visibilità su attività e minacce su un ampio parco di infrastrutture permette al SOC di accumulare dati preziosi. Gli stessi dati compongono uno storico di comportamenti e processi particolarmente utile in un’ottica proattiva. Molte piattaforme di protezione dell’infrastruttura IT, infatti, utilizzano attivamente l’Intelligenza Artificiale.
In primo luogo secondo la declinazione “machine learning”, per cui la piattaforma stessa autoapprende dai comportamenti della rete aziendale. In seconda battuta, gli algoritmi delle moderne piattaforme di protezione sono capaci di intervenire autonomamente al presentarsi di un’attività insolita. E ciò permette di avere dei tempi di reazione molto più alti di quelli che potrebbe garantire l’intervento umano.
Organizzazione di un Security Operations Center
Un Security Operations Center (SOC) è una struttura fisica in cui viene implementata un’infrastruttura client/server connessa in rete. Molto spesso il partner IT installa un’appliance presso il sito IT del cliente che permette di gestirne la rete da remoto.
In un SOC lavorano decine di specialisti della sicurezza, tutti certificati sulle piattaforme utilizzate, in turni orari. Il presidio di sicurezza non viene mai abbandonato, garantendo per contratto una protezione 24×7.
Come detto, un SOC è interconnesso con altri centri di monitoraggio delle reti e ne condivide in tempo reale lo scambio di informazioni. Le piattaforme per la protezione installate presso il SOC sono acquistate dal partner IT, sempre in modalità di fruizione di un servizio. Generalmente il partner acquista pacchetti di licenze di utilizzo in numero tale da coprire gli end point o gli utenti delle aziende clienti.
Il contratto di fornitura di un determinato bouquet di servizi, come detto, si basa sul pagamento di una fee fissa mensile. La cifra viene stabilita in base alle dimensioni della rete aziendale e al livello di protezione richiesto.
Lo stesso contratto, infine, prevede uno SLA (Service Level Agreement), ovvero un servizio minimo garantito. E, ancora, la definizione dei KPI (Key Performance Indicators), ovvero gli obiettivi correlati alle prestazioni.