Security Operation Center
Un Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi dell'azienda stessa (SOC interno) o di clienti esterni; in quest'ultimo caso il SOC è utilizzato per l'erogazione di Managed Security Services (MSS) e l'azienda che li eroga è definita Managed Security Service Provider (MSSP). Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente separate; alcune grandi aziende dispongono di un SOC e di un CERT separati.
Un SOC fornisce tre tipologie di servizi:
- Servizi di gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate dal SOC;
- Servizi di monitoraggio: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse dei sistemi;
- Servizi proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (Security assessments, vulnerability assessments, early warning, security awareness).
Possibili servizi offerti dal SOC
modifica- Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica
- Security Device Management
- Reporting
- Security Alert
- DDos mitigation
- Security Assessment
- Assistenza Tecnica
In generale il SOC è un servizio che si collega, a livello più generale, ai processi di governo e gestione dell'infrastruttura IT aziendale. Il servizio ha come obiettivo l'analisi proattiva h24 dei sistemi e delle tecnologie di sicurezza informatica (IDS, IPS, firewall, etc.). I sistemi anti-intrusione permettono la gestione centralizzata delle pratiche di sicurezza informatica consentendo di identificare potenziali attacchi informatici provenienti da internet e dalla intranet. In questo modo i potenziali attacchi possono essere analizzati e correlati dal personale qualificato; ad esempio gli analisti della sicurezza devono solo conoscere le funzioni degli strumenti di monitoraggio, piuttosto che la complessità di ogni dispositivo di sicurezza. Questo permette una forte specializzazione dell'intero centro di sicurezza. La scalabilità degli strumenti adoperati dal SOC è un altro fattore di fondamentale importanza ovvero, ad esempio, non deve comportare un grosso impatto operativo aggiungere un nuovo IDS a quelli già esistenti.
Security Device Management
modificaIl servizio di Security Device Management (SDM) si sviluppa attorno a due principali processi:
- Fault Management
- Configuration Management
Fault Management - Gestione del guasto
modificaObiettivo principale del Fault Management è garantire il funzionamento continuo ed ottimale dell'infrastruttura di sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. L'attività comprende:
- Il monitoraggio costante degli apparati di sicurezza del Cliente attraverso il SOC.
- Rilevazione e segnalazione Fault (apertura trouble ticket).
- Identificazione delle rispettive azioni di rimedio.
- Implementazione delle rispettive azioni di rimedio.
- Il ripristino delle configurazioni in caso di loro perdita a seguito di un fault.
Configuration Management - Gestione della configurazione
modificaObiettivo principale del Configuration Management è garantire il costante allineamento delle regole di firewalling alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le attività di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una sorgente esterna ed una fonte interna (o viceversa) definite in base a:
- Indirizzo sorgente
- Indirizzo di destinazione
- Protocollo di rete
- Protocollo di servizio
- Logging del traffico
Reportistica
modificaI log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica è particolarmente importante perché, oltre a fornire il dettaglio di eventuali tentativi di intrusione da parte di soggetti non autorizzati o di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, può permettere al cliente di intraprendere delle azioni preventive.
Security alert - Avviso di sicurezza
modificaIl servizio di security alert è volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilità in modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle nuove vulnerabilità.
Mitigazione DDos
modificaIl servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial of Service" indirizzato verso un servizio critico facente parte dell'infrastruttura di rete di un cliente. Il compito del servizio è quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure necessarie per risolvere l'incidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo di "pulitura" e di re-instradamento del traffico. Segue notifica del termine dell'attacco.
Security assessment - Valutazione della sicurezza
modificaAlcuni elementi di servizio che solitamente fanno parte delle attività di Security Assessment sono:
- Vulnerability assessment
- Penetration test
Vulnerability assessment - Valutazione della vulnerabilità
modificaIl vulnerability assessment è volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi. Tale attività è svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni assessment.
Penetration test
modificaIl penetration test è volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attività è svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate per ogni assessment, sia tramite attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato.
Assistenza tecnica
modificaIn genere il SOC può fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a problemi di funzionalità, violazioni di sistema, aggiornamento e configurazione di software e hardware per la sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche può essere fornita da remoto o on-site a seconda delle problematiche e del contratto stipulato tra le parti.
Professionalità collegate al SOC
modificaLe professionalità che tipicamente partecipano ad un SOC sono le seguenti:
- CISO (Chief Information Security Officer)
- Security Manager
- SOC Manager
- Security specialist
Non bisogna tuttavia confondere il ruolo del CISO e del Security Manager che operano tipicamente ad un livello più alto (di governance) facendo parte del top management aziendale. Tuttavia questa non è una regola rigida, in quanto la dimensione e la complessità aziendale vede talvolta alcune di queste figure operare ad un livello più operativo.
Voci correlate
modificaCollegamenti esterni
modifica- Open Web Application Security Project (OWASP), su owasp.org. URL consultato il 4 maggio 2019 (archiviato dall'url originale il 27 maggio 2014).
- Unità di prevenzione e gestione degli incidenti informatici governativa (CERT-SPC) nel Sistema Pubblico di Connettività (SPC), su cert-spc.it.