Un Security Operations Center (SOC) è una struttura dove vengono centralizzate tutte le informazioni sullo stato di sicurezza dell’IT di un’azienda o di più aziende (nel caso che il SOC appartenga a un Managed Security Service Provider, MSSP). Semplicisticamente parlando nella sostanza si tratta di un insieme costituito da persone, tecnologie e processi il cui scopo principale è quello di garantire la protezione dell’infrastruttura organizzativa implementata a livello aziendale in modo da mettere in sicurezza tutte le aree necessarie al business.
Prima di entrare nel dettaglio, occorre evidenziare un punto cardine: creare un SOC e mantenerlo operativo nel migliore dei modi, è un obiettivo che richiede il sostegno dei livelli più elevati di un’azienda. La strategia di un SOC deve essere infatti chiaramente definita e specificamente orientata al contesto di business di cui è al servizio; in assenza del supporto manageriale, il SOC stesso non sarà in grado di lavorare correttamente e non verrà percepito come un asset critico dal resto dell’organizzazione ma unicamente come un costo. Far capire alla direzione aziendale quanto sia arduo il compito del SOC non è banale. Spesso un CDA, infatti, crede che si tratti di mettere una persona alla regia di un cruscotto centralizzato che segnala un problema e basta chiamare qualcuno a risolverlo, ma non è così. Se fosse così semplice, infatti, le cronache non riporterebbero così tanti episodi di violazioni dei sistemi/dati.
Una volta che la missione aziendale e l’ambito di competenza sono stati tracciati e condivisi, dovrà essere definita e progettata l’infrastruttura tecnologica che sosterrà il SOC. Da un punto di vista tecnologico si appoggerà a tutta una serie di dispositivi e tecnologie che andranno distribuiti in luoghi chiave rispetto all’azienda e che proteggeranno, rileveranno, o fermeranno un comportamento dannoso o un attacco: firewall, sonde IPS/IDS, soluzioni di breach detection e ovviamente un SIEM, solo per fare qualche esempio. Un’attività di data collection efficiente ed efficace è fondamentale per un SOC di successo. I flussi di dati, la telemetria di rete, la cattura del traffico di rete, il data enrichment attraverso la Correlazione dei Log e la raccolta di informazioni relative alle vulnerabilità dei sistemi oggetto del monitoraggio sono altresì di estrema importanza.
All’interno dell’infrastruttura tecnologia non vanno ovviamente dimenticati quei software dedicati specificatamente a organizzare/gestire/facilitare il lavoro del team SOC. Purtroppo la maggior parte delle strategie di sicurezza dei produttori degli strumenti espressamente sviluppati ed utilizzabili da un SOC, si basa su un modello di protezione a più livelli, ed ogni fornitore è specializzato in un livello specifico, le organizzazioni devono integrare tutti questi diversi strumenti per rilevare e rispondere alle minacce. Queste tecnologie dovranno avere le seguenti capacità:
- Asset discovery: per sapere quali sistemi e strumenti sono in esecuzione nel proprio ambiente. Tale sistema aiuta a determinare quali sono i sistemi critici dell’organizzazione a cui dare priorità nella protezione/azione di remediation.
- Valutazione delle vulnerabilità: rilevare le lacune che un utente malintenzionato può utilizzare per infiltrarsi nei sistemi è fondamentale per proteggere l’ambiente. I team di sicurezza devono cercare nei sistemi le vulnerabilità per individuare queste crepe e agire di conseguenza. Inoltre, i mandati normativi richiedono valutazioni periodiche delle vulnerabilità per dimostrare la conformità alle legislazioni vigenti.
- Monitoraggio comportamentale: l’uso di uno strumento di analisi comportamentale degli utenti e degli eventi (User Behavior Entity Analytics – UEBA) aiuta i team di sicurezza a creare una linea di base comportamentale, rendendo più facile applicare la modellazione del comportamento e l’apprendimento automatico per far emergere i rischi per la sicurezza. Gli strumenti UEBA generano avvisi solo per eventi che superano la soglia predeterminata, riducendo i falsi positivi e conservando le risorse degli analisti.
- Rilevamento delle intrusioni: i sistemi di rilevamento delle intrusioni (IDS/IPS) sono uno degli strumenti di base dei SOC per rilevare gli attacchi nel punto di ingresso. Funzionano rilevando modelli di attacco noti utilizzando firme di intrusione o euristiche basate su sistemi di Machine Learning e Intelligenza Artificiale.
- SIEM: strumenti che forniscono una base al SOC, data la loro capacità di correlare le regole con grandi quantità di dati disparati per individuare le minacce. L’integrazione dell’intelligence sulle minacce aggiunge valore all’attività SIEM fornendo un contesto agli avvisi e assegnando loro priorità.
Definita la tecnologia alla base, andiamo adesso a delineare i processi chiave che un SOC dovrebbe implementare:
- Valutazione: ricerca degli indicatori di compromissione (IoC), classificando gli eventi in base alla loro gravità. Includere valutazioni periodiche della vulnerabilità per identificare le lacune che gli aggressori possono sfruttare.
- Analisi: assegnare la priorità agli avvisi ricevuti/collezionati, concentrandosi sugli eventi con il potenziale per il maggiore impatto sulle operazioni del proprio business.
- Risposta e Ripristino: la risposta precoce è la chiave per contenere un evento con successo, coinvolgendo misure di contenimento ed eliminazione. Dopo che la minaccia è stata eliminata, è necessario ripristinare i sistemi con azioni come il ripristino dei backup, la riconfigurazione dei sistemi e degli accessi alla rete.
- Analisi Post-Mortem: implica la valutazione di cosa ha funzionato e cosa no, valutando i rapporti generati durante la gestione dell’incidente. Il team SOC può utilizzare le informazioni risultanti per modificare il piano di risposta agli incidenti. Quest’ultimo step è fondamentale: nell’ottica di una saggia applicazione dei principi propri del miglioramento continuo, può contribuire a rendere il SOC una squadra di successo e a far sì che essa venga percepita come una reale fonte di valore per l’organizzazione.
Secondo la definizione iniziale, un SOC è soprattutto una squadra e tutti i ruoli devono essere adeguatamente ricoperti. È necessario ovviamente disporre di uno o più leader, con le giuste competenze non solo tecniche ma anche di leadership, e devono altresì essere previsti diversi ruoli in ambito tecnico, operativo e di analisi. Diverse funzioni dovranno infatti essere svolte da analisti, suddivisi solitamente in due livelli. Ogni azione andrà coordinata: la collaborazione, la tempestività e l’efficienza rappresentano nel loro insieme una priorità per l’intera organizzazione del SOC. La selezione del professionista giusto è un compito estremamente arduo, considerando il fatto che la gamma di competenze richieste è estremamente ampia, si spazia dal vulnerability management alla computer forensics passando dalla malware analysis.
Se da un lato non si possono assumere troppe persone e il budget affidato deve essere rispettato, dall’altro non è possibile correre il rischio di risultare sottodimensionati e, di conseguenza, inefficienti. In questo scenario, l’adozione di un modello ibrido che preveda la cooperazione fra lo staff interno e professionisti/fornitori esterni potrebbe essere un’opzione da percorrere.
La leadership, l’abilità nel trasmettere motivazione e le capacità di gestione del collettivo sono doti essenziali per il manager di un SOC determinato a creare una grande squadra. La formazione e l’aggiornamento continui e il coinvolgimento dei membri del team sono elementi fondamentali affinché un SOC sia in grado di tenere il passo con l’inarrestabile sviluppo di nuove minacce dovuto all’incessante sforzo degli attaccanti. Gestire un SOC è una missione complessa, considerato il fatto che deve affrontare e risolvere l’altrettanto ampio, pervasivo e sconfinato problema di garantire la sicurezza delle informazioni al giorno d’oggi.
Definire come costruire nel dettaglio un Security Operations Center è un compito arduo che non può essere trattato in poche pagine ma richiede un approccio approfondito e metodologico, oltre che competenze specifiche. Per portare a compimento questa sfida così complessa si dimostrano utili diverse “best practice”, framework e standard (ad esempio ITIL e COBIT) e in taluni casi potrebbe essere obbligatorio aderire a standard quali la PCI DSS e la ISO/IEC 27001. Tuttavia, in maniera esemplificata, è possibile definire i macro step da seguire per l’implementazione di un SOC minimale.
- Fornire una struttura per i compiti SOC costruendo un proprio centro operativo per la sicurezza delimitando le responsabilità del SOC, distinguendole da quelle di cui è responsabile l’help desk IT.
- Fornire gli strumenti giusti: investire in strumenti e soluzioni tecnologiche che aiuteranno il proprio team a rilevare e agire più rapidamente in caso di attacco. È possibile utilizzare soluzioni di sicurezza per l’automazione e l’orchestrazione (SOAR) che possono sopportare il carico di attività dispendiose in termini di tempo, come la valutazione e definizione della priorità degli alert di sicurezza, la gestione dei ticket in lavorazione, ecc.
- Mantenere aggiornato il proprio piano di risposta agli incidenti: avere un piano d’azione dettagliato e aggiornato può aiutare il proprio team a rispondere rapidamente a un attacco. Il team di sicurezza beneficerebbe da tale piano potendo contare su una definizione dei ruoli chiara, sapendo cosa dovrebbe essere fatto e chi dovrebbe farlo.
- Iniziare costruendo un SOC con un budget limitato: come possono le piccole organizzazioni implementare tutte queste pratiche quando si affrontano i vincoli di budget? È semplice: disponendo di una strategia di sicurezza e investendo negli strumenti che possono semplificare il lavoro del team SOC.
Come evidenziato, punto cardine è lo sviluppo di una strategia di sicurezza: per far ciò può essere utile considerare i seguenti passaggi:
- Valutare le risorse e capacità SOC attuali: è possibile immaginare di rimodellare il proprio personale IT in un SOC, adattare i processi esistenti o ottimizzare gli strumenti a disposizione.
- Definire gli obiettivi di business per il SOC: considerare quali sistemi sono fondamentali per supportare le operazioni in modo che il team di sicurezza possa rafforzare la loro protezione.
- Scegliere un modello SOC, ad esempio ibrido, virtuale o interno.
- Scegliere la giusta soluzione tecnologica: questa può fare la differenza tra personale produttivo e oberato di lavoro, spesso di routine.
Costruire un moderno centro operativo di sicurezza (SOC) è quindi molto di più che assemblare le apparecchiature più recenti e assumere un team di esperti. È uno sforzo continuo per rimanere al passo con le minacce, essere al passo con le tecnologie e le tendenze emergenti e assumere e mantenere le giuste competenze. Non c’è motivo per cui una piccola organizzazione non possa creare un SOC per soddisfare le proprie esigenze di sicurezza. Soluzioni tecnologiche come le piattaforme di intelligence sulle minacce o di gestione della sicurezza aiutano le organizzazioni di piccole e medie dimensioni a mantenere i loro team piccoli, mantenendo le operazioni di sicurezza entro il budget.
Le organizzazioni possono creare configurazioni non tradizionali come un team di personale interno con esperti in outsourcing o SOC virtuali. Le piccole e medie imprese possono trarre vantaggio dalla centralizzazione delle operazioni di sicurezza, che si traduce in un migliore rilevamento delle minacce e tempi di risposta più brevi, pur mantenendola conveniente.
La vasta gamma degli aspetti di cyber security da considerare, le competenze e gli skill altamente specialistici necessari a far funzionare un SOC efficace ed efficiente, la stretta relazione con le strategie di business e i processi aziendali fanno del compito di progettare e gestire un Security Operations Center un esempio paradigmatico di sicurezza informatica applicata in maniera olistica.