SOC: iniziamo dalle basi
SOC sta per Security Operation Center. Un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. E’ il compimento della “real-time security situational awareness“, ovvero della necessità di tutte le organizzazione di avere piena consapevolezza, in tempo reale, di quanto accade sulla rete aziendale e sui dati.
Per andare ancora più in dettaglio, la Direttiva NIST, specifica che tra le prerogative di un SOC ci sono:
- identificare;
- proteggere;
- rilevare;
- rispondere;
- ripristinare
Insomma, un SOC consente di identificare tempestivamente le minacce informatiche e di reagire prontamente per limitare i danni. Gli strumenti di monitoraggio avanzati consento anche la prevenzione degli attacchi. Il grande vantaggio del SOC è quello di raccogliere e analizzare informazioni “sul campo”, centralizzando eventi “sparpagliati”. Le informazioni vengono aggregate in maniera automatizzata fino a quando arrivano a costituire una informazione utile presentata in maniera che sia “gestibile per un essere umano”.
SOC: perché?
Prima di addentrarci nel come, vediamo i perché. Perché il SOC è diventato un elemento imprescindibile per la sicurezza informatica delle organizzazioni? Come tutti i contesti complessi, non è possibile essere Esaustivi, ma alcune motivazioni sono lampanti:
- la crescente complessità delle minacce informatiche:
con il proliferare di nuovi tipi di attacchi informatici, sempre più sofisticati e complessi, le aziende sono esposte a un’ampia gamma di minacce informatiche che possono causare danni significativi. Basti pensare al mondo dei ransomware e del Ransomware As A service, un vero e proprio business illegale, organizzato a livello industriale. - il sempre maggior impatto dei cyber-attacchi:
il trend degli ultimi anni conferma che i cyber attacchi hanno un impatto sempre crescente sulle proprie vittime. Anzitutto in termini di aumento del numero delle vittime: stando al Cyber Threat Landscape di SonicWall, nel 2020 ci sono stai 304 milioni di attacchi informatici in tutto il mondo, il 60% in più del 2021. Non finisce qui: anche le perdite finanziarie subite dalle vittime sono in crescita costante, di anno in anno. Infine, ed è ovvio, i cyber attacchi hanno un impatto sempre più profondo tanto più che aumenta la nostra dipendenza dalla tecnologia: più ci digitalizziamo, più ci esponiamo a rischi; - la mancanza di personale specializzato:
molte aziende non dispongono di personale specializzato per monitorare costantemente la propria rete alla ricerca di anomalie o attività sospette. - conformità normativa:
negli ultimi anni, sono state introdotte molte normative sulla sicurezza informatica e sulla protezione dei dati. Qui in Europa il GDPR ha imposto alle aziende di proteggere i dati di clienti, fornitori, collaboratori ecc… e chi non si adegua rischia pesanti sanzioni.
Non stupisce quindi, che il SOC sia diventato così importante per le aziende. Consente di proteggere i dati e i sistemi informatici da una vasta gamma di minacce informatiche, di conformarsi alle normative sulla sicurezza informatica e sulla protezione dati, di compensare la mancanza di personale specializzato e di ridurre l’impatto dei cyber-attacchi.
Per saperne di più > L’offerta di s-mart si amplia: in arrivo le soluzioni di cybersecurity di SicuraNext per le PMI
L’evoluzione da mero servizio di allerta al centro operativo odierno
Certo, la storia del SOC va quasi di pari passo con l’evoluzione delle minacce informatiche. Negli anni 90 ad esempio le soluzioni di sicurezza raramente andavano oltre il firewall e un software antivirus. Non si sentiva molto l’esigenza di un monitoraggio in tempo reale della rete e degli endpoint. D’altronde gli attacchi informatici si limitavano quasi esclusivamente a programmi fastidiosi il cui impatto era piuttosto ridotto. Le aziende connesse in Internet erano pochissime, molte non erano connesse alla rete.
Verso la fine degli anni 90 nascono i CERT (Computer Emergency Response Team), in ambito militare e governativo. Sono i CERT a porre le fondamenta, il “brodo primordiale” di quello che oggi chiamiamo SOC. Iniziano ad apparire tecnologie aggiuntive all’antivirus, come i sistemi anti intrusione IDS.
Per approfondire > Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio
I SOC di seconda generazione vedono la nascita dei Manage Security Service Provider (MSSP), ma anche risorse importantissime per la sicurezza delle informazioni come l’ormai stra-noto database Common Vulnerabilities and Exposure (CVE). La diffusione di virus e worm inizia a rendere necessarie piattaforme di tipo SIEM (Security Information and Event Management). Qui già si comincia ad aggregare e correlare dati da più sistemi e fonti di log.
Con l’aumento della complessità delle minacce informatiche, i SOC si sono specializzati sempre di più, concentrandosi su specifiche aree di sicurezza informatica. Ad esempio, ci sono SOC focalizzati sulla sicurezza cloud, sulla protezione dei dati, sulla prevenzione degli attacchi DDoS, e così via. Inoltre, i SOC hanno iniziato ad integrare tecnologie di Intelligenza Artificiale e Machine Learning per identificare e mitigare le minacce in modo più efficace.
Oggi, il SOC è diventato un centro operativo altamente specializzato, in cui esperti di sicurezza informatica, ingegneri di rete e analisti dei dati lavorano insieme per proteggere le reti e i sistemi informatici dalle minacce.
E tu conosci SOC davvero efficaci, made in Italy e a misura di PMI? Te ne suggeriamo uno!