SOC – Security Operation Center

Il terzo livello di sicurezza è quello relativo al monitoraggio continuo di quello che accade nell’infrastruttura aziendale. Una volta messi in atto quelli che sono i pilastri fondamentali della sicurezza arriva l’ora di avvalersi del SoC, cioè di un sistema di Security Operations Center.

A cosa serve il SoC?

Attraverso il SoC si monitorano le tecnologie installate, i processi, e i comportamenti utente. Il Security Operations Center viene gestito da professionisti della sicurezza IT solitamente esterni all’azienda. Il loro compito è selezionare, gestire e mantenere aggiornate le tecnologie per conto dell’azienda committente. Si monitora in maniera continuativa l’intera infrastruttura IT e si rilevano ed affrontano in tempo reale le minacce. Il Security Operations Center analizza lo stato di fatto e trova le soluzioni per garantirti sicurezza continuativa.

La sfida è stare al passo con la complessità delle architetture e delle minacce informatiche. Attivare un sistema di Security Operation Center è la cosa migliore da fare se si vuole essere certi che quello che si è messo in piedi raggiunga il risultato voluto: non essere vulnerabile ed oggetto di attacco.

Quando parlo di sicurezza a questo livello, la domanda del cliente è più o meno sempre la stessa:

perché attivarsi perché fare una cosa del genere quando abbiamo già blindato endpoint, server, sistemi esterni, dispositivi mobili?

Perché giustamente non possiamo escludere l’errore umano. Potrebbe capitare infatti che alcuni dispositivi siano sfuggiti al controllo degli strumenti di tutela e quindi un Security Operations Center è un’ottima contromisura, specialmente per quelle aziende che possono essere oggetto di attacchi mirati. I SoC servono infatti anche per scoprire eventuali APT, Advanced Persistent Threat, una tipologia di attacchi mirati e persistenti che vengono portati avanti da chi ha grandi risorse e grande expertise tecnico e il suo scopo è danneggiare.

Le notizie relative ad attacchi mirati sono diventate sempre più frequenti perchè esistono aziende che vengono pagate per creare virus su misura. Si calcola che con meno di 5.000$ si possa creare un virus custom pensato per creare un danno commerciale ad un avversario nel business che si desidera danneggiare. E’ quindi possibile ottenere un virus e programmare una serie di attacchi su misura con una cifra tutto sommato modesta. (Fonte: thehackernews.com)

Un attacco che sfrutta social engeneering e virus su misura può essere letale per la maggiorparte delle aziende. Sfrutta la conoscenza delle persone che lavorano all’interno dell’azienda, il loro contatto, e la capacità di carpire informazioni relative ad abitudini e username, ed ubicazione di sistemi.

Abbiamo visto di recente non solo ospedali americani a cui sono stati rubati qualcosa come 5 milioni di record, ma anche catene di negozi in cui i record rubati sono decine di milioni. È evidente che il fatto criminoso portato avanti per motivi commerciali è qualcosa che capita frequentemente.

Se la dimensione dell’azienda è tale da giustificare un SoC attivo, è sempre il caso di metterlo in atto.

Io non mi riferisco necessariamente al numero di addetti quando parlo di dimensione ma al valore digitale dell’azienda.

Un esempio è chi lavora con brevetti o informazioni commerciali che hanno un valore elevato, anche se l’azienda è fatta da solo 30 addetti.

Un Security Operations Center è quindi un qualcosa che costantemente e in maniera semi-automatica, fa un’attività di monitoraggio, attività che viene si demandata ad esterni ma che può essere costantemente verificata dal personale interno per vedere che cosa sta accadendo, ad esempio sulla rete aziendale.

Pensi che ho dimenticato qualcosa o vuoi aggiungere la tua opinione? Scrivimelo nei commenti

PS: Trovi quelli che sono i pilastri fondamentali della sicurezza elencati nel mio articolo “Basi di Cybersecurity: quale Attività è Fondamentale per la Sicurezza Informatica”

FONTE: https://www.serverlab.it/2022/11/10/security-operation-center/