Un security operations center, vale a dire un centro per le operazioni di sicurezza, consente di migliorare le capacità di rilevamento e prevenzione delle minacce che possono colpire un’organizzazione. Ciò avviene attraverso l’unione e il coordinamento delle diverse operazioni e tecnologie di sicurezza informatica. Un soc si occupa fra l’altro di scegliere e gestire le tecnologie, garantendo la loro manutenzione, ma anche di analizzare i dati relativi alle minacce, senza soluzione di continuità, al fine di migliorare il livello di sicurezza.
Chi compone il soc
A comporre il soc è uno staff di professionisti specializzati nella sicurezza IT. Questo team può essere interno o esterno, cioè in outsourcing, ed è impegnato a monitorare in maniera costante tutta l’infrastruttura IT dell’organizzazione, 7 giorni su 7 e 24 ore su 24. In questo modo è possibile rilevare gli eventi che riguardano la sicurezza informatica in tempo reale, affinché gli stessi possano essere affrontati in maniera efficace e in tempi rapidi. Se si dispone di un soc, al di là del fatto che esso sia stato assegnato in outsourcing o che venga gestito internamente, il più importante beneficio che ne scaturisce riguarda la possibilità di unificare le pratiche di sicurezza e gli strumenti di risposta a eventuali incidenti.
Le politiche di sicurezza
Così, nella maggior parte dei casi, si beneficia di misure di prevenzione più efficaci e di politiche di sicurezza più redditizie, dal momento che le minacce possono essere rilevate in tempi più rapidi e le risposte risultano più efficienti e veloci. Il guadagno a livello di efficacia è notevole, anche per ciò che concerne i costi e le reazioni alle minacce di sicurezza. Un soc, inoltre, è in grado di aumentare il livello di fiducia dei clienti, consolidando la conformità delle organizzazioni rispetto alle norme vigenti, sia in Italia che all’estero, a proposito di privacy.
Di che cosa si occupa un soc: la prevenzione
L’inventario degli asset è una delle attività che vengono svolte da un security operation center, che è chiamato a una gestione affidabile di un inventario completo di tutto quello che è necessario proteggere sia internamente che esternamente rispetto al data center: dai server ai database, dalle applicazioni agli endpoint, senza dimenticare i servizi cloud. Lo stesso dicasi per i vari strumenti che vengono impiegati a scopi protettivi: i software di monitoraggio, gli strumenti antivirus, i firewall, e così via. A tale scopo, numerosi soc si servono di una soluzione mirata al rilevamento degli asset.
La preparazione delle routine
Affinché gli strumenti possano garantire i più elevati standard di efficacia, al pari delle misure di sicurezza in vigore, è necessario che il soc effettui delle manutenzioni preventive e aggiorni i firewall, le whitelist e le blacklist senza soluzione di continuità. Può essere che il soc generi dei backup di sistema, o comunque presti assistenza per la costituzione di procedure o politiche di backup, così che possa essere assicurata la business continuity là dove si dovesse verificare una violazione dei dati.
Le valutazioni della vulnerabilità
Lo staff di un security operaton center provvede a effettuare valutazioni della vulnerabilità: si tratta di valutazioni complete che hanno la finalità di definire la vulnerabilità di ogni risorsa rispetto alle minacce potenziali e ai costi correlati. Possono anche essere effettuati test di penetrazione che simulano attacchi su vari sistemi. Le applicazioni vengono corrette o ottimizzate dallo staff, e così pure le best practice e le politiche di sicurezza, sempre in funzione dei risultati offerti dai test. Il soc rimane sempre aggiornato a proposito delle tecnologie e delle soluzioni di sicurezza più recenti.
Il monitoraggio
La gestione delle informazioni e degli eventi di sicurezza (in inglese, security information and event management) rappresenta per numerosi soc la tecnologia di partenza non solo per il monitoraggio, ma anche per la risposta. La telemetria da hardware e software viene monitorata in tempo reale sulla rete, così che i dati possano essere analizzati al fine di individuare potenziali minacce. Da qualche tempo a questa parte, diversi soc hanno scelto di fare ricorso alla tecnologia XDR, che mette a disposizione monitoraggio e telemetria più dettagliati, anche per automatizzare la risposta agli incidenti in funzione di quanto viene rilevato.
Devi effettuare l'accesso per postare un commento.