Cosa fa un SOC?

L’importanza dei Security Operations Center (SOC) è cresciuta continuamente nelle strategia di difesa delle aziende italiane, siano esse grandi imprese che PMI. Ciò è dovuto principalmente al forte incremento degli attacchi informatici ed alla complessità di quelli evoluti e moderni, che richiedono sistemi di difesa non classici. Ovvero i normali antivirus ormai non bastano più.

Il modo moderno di gestire la sicurezza informatica evoluta è di affidarsi a servizi specializzati in outsourcing; i SOC sono l’esempio classico di servizio esternalizzato.

Tali servizi possono avere estensioni di scopo diverse. Ad esempio si può semplicemente richiedere una due-diligence sul grado di esposizione attuale delle risorse aziendali (ovunque esse siano nel mondo), sugli eventuali data-breach già subiti a propria insaputa e la presenza di dati aziendali sensibili su DarkWeb o DeepWeb. Questo primo livello di analisi è in grado di scattare la fotografia attuale dello stato di sicurezza informatica di una azienda, di prioritizzare le azioni di contenimento dei rischi, quindi di pianificare nel tempo una road-map di miglioramento della cyber-security. Il fornitore di questo tipo di servizi più rinomato è l’israeliana R-MOR, creata a Tel-Aviv sulle motivazioni life-critical dello stato israeliano rispetto attacchi terroristici e attacchi informatici alle risorse nazionali essenziali come energia e acqua.

Livelli successivi di utilizzo di un SOC esternalizzato sono rappresentati dal Vulnerability Management continuo, in grado di scansionare e mappare continuamente ed in modo automatico le vulnerabilità degli asset di rete.

Di questi livelli di complessità, il più evoluto è una fusione tra l’approccio di intelligence e di cyber-security. Con intelligence si intende, ad esempio:

  1. l’investigazione di social-engineering,

  2. la presenza in rete di publicazione non autorizzate di bandi, tender e brevetti aziendali,

  3. la verifica del dominio aziendale attraverso centinaia di BOT che estraggono informazioni,

  4. il tentativo di exploitation con diverse tecniche, quindi accedere ai dati ed effettuare dei movimenti laterali… comportandosi esattamente come avrebbe fattu un hacker o un malware zeroday.

Ma anche email-spoofing, oppure la realizzazione di email ad-hoc per sfruttare ed ingannare i dipendenti, a qualsiasi livello gerarchico. Questo tipo di investigazione richiede un lavoro minimo di tre mesi, non solo per trovare tutte le potenziali vulnerabilità ma anche per categorizzarle, prioritizzarle, quindi indicare all’azienda cliente come risolverle al meglio con un remediation plan.

Questo genere di servizio può essere utilizzato per un’analisi singola iniziale, ad esempio una Due Diligence aziendale prima di un merge&acquisition, oppure come servizio SOC continuativo che monitorizza lo stato di sicurezza della infrastruttura informatica, gli eventi sospetti ed infine può anche operare per mitigare le vulnerabilità o rispondere e gestire gli incidenti.

Nelle grandi imprese, i servizi esterni di SOC si concentrano sui servizi di monitoraggio e rilevamento, per poi passare la gestione degli incidenti a un team interno all’azienda.

I benefici di business del SOC esternalizzato riguardano certamente la specializzazione delle persone che operano per difendere l’azienda, prevenendo gli incidenti, mitigandone gli effetti anche salvaguardando l’azienda da danni reputazionali.