Un Security Operations Center (SOC) è una squadra organizzata, composta da elementi altamente qualificati, la cui missione è il monitoraggio e il miglioramento continui della postura di sicurezza di un’organizzazione, attraverso la prevenzione, la rilevazione, l’analisi e la risposta agli incidenti di sicurezza informatica e tramite l’utilizzo sia di tecnologia che di processi e procedure ben definiti.
La strategia di un SOC deve essere chiaramente definita e specificamente orientata al contesto di business di cui è al servizio; tale strategia è strettamente dipendente dal supporto e dalla “sponsorship” dei livelli manageriali dell’organizzazione, in assenza di tale supporto il SOC stesso non sarà in grado di lavorare correttamente e non verrà percepito come un asset critico dal resto dell’organizzazione.
Una volta che la “mission” e l’ambito di competenza del SOC sono stati identificati, dovrà essere definita e progettata l’infrastruttura tecnologica che sosterrà il SOC; molte componenti sono necessarie per costruire un ambiente tecnologico completo: firewall, IPS/IDS, sonde, soluzioni di “breach detection” e ovviamente un SIEM, solo per fare qualche esempio. Un’attività di “data collection” efficiente ed efficace è fondamentale per un SOC di successo. I flussi di dati, la telemetria di rete, la cattura del traffico di rete, il “data enrichment” e la raccolta di informazioni relative alle vulnerabilità che affliggono l’intero ecosistema oggetto del monitoraggio sono altresì di estrema importanza.
Le persone e i processi
Sebbene i prerequisiti tecnologici risultino di grande importanza, anche la “control room” più avanzata e meglio attrezzata sarebbe inutile senza persone e processi a darle vita. Insieme alla tecnologia, le persone e i processi sono i pilastri di un SOC di successo.
Secondo la definizione iniziale, un SOC è una squadra e, come in ogni squadra vincente, tutti i ruoli devono essere adeguatamente ricoperti. Uno o più leader (e la giusta “leadership”…) sono necessari, ma anche diversi ruoli in ambito tecnico, operativo e di analisi devono essere previsti come tasselli di un mosaico completo. Diverse funzioni dovranno essere svolte da analisti, suddivisi solitamente in due o tre livelli. La funzione primaria affidata ai membri del team sarà costituita dall’analisi scaturita dal monitoraggio “real-time” degli eventi, la rilevazione (detection) di incidenti di sicurezza e/o di “data breach”, la risposta a questi incidenti (dopo la necessaria fase di triage) e, infine, la fase di “remediation” delle conseguenze di ciascun incidente. Ogni azione andrà coordinata: la collaborazione, la tempestività e l’efficienza rappresentano nel loro insieme una priorità per l’intera organizzazione del SOC. La selezione del professionista giusto da mettere al posto giusto è un compito veramente arduo, considerando il fatto che la gamma di competenze richieste è estremamente ampia, si spazia dal vulnerability management alla computer forensics passando dalla malware analysis. Stabilire il corretto numero di membri dello staff è un altro “ingrato” compito; se da un lato non si possono assumere troppe persone e il budget affidato deve essere rispettato, dall’altro non è possibile correre il rischio di risultare sottodimensionati e, di conseguenza, inefficienti. In questo scenario, l’adozione di un modello ibrido che preveda la cooperazione fra lo staff interno e professionisti/fornitori esterni potrebbe essere un’opzione percorribile.
La componente tecnologica e gli strumenti necessari
Un’analisi approfondita delle componenti tecnologiche al servizio del SOC non può prescindere – come è ovvio – da una particolare enfasi posta sulla sicurezza; nemmeno il minimo dettaglio di un approccio alla difesa in profondità può essere trascurato: la segmentazione delle LAN, una soluzione NAC, le VPN, lo hardening degli endpoint, la crittografia dei dati “a riposo”, in uso e in movimento, la protezione dell’intera infrastruttura attraverso IPS/IDS, firewall, router e switch ben configurati e monitorati. Dato che il SOC è una squadra, gli strumenti di “collaboration” devono essere attentamente selezionati e progettati al fine di garantire la migliore “user experience” possibile, in modo da garantire – in ultima analisi – la migliore capacità di produrre valore per l’organizzazione. I dispositivi mobili rappresentano un altro aspetto che non può essere trascurato quando si progetta e costruisce un SOC. Particolare attenzione va posta sulle misure di Data Loss Prevenion, passando dagli endpoint ai server e dalle e-mail agli smartphone.
Senza la pretesa di essere esaustivo, vanno senza dubbio menzionate ulteriori componenti tecnologiche che completano l’ecosistema del SOC: Web Proxy, sandbox, soluzioni di breach detection a livello endpoint e strumenti di computer forensics. Tutti i sistemi coinvolti generano eventi, log, flussi e dati di telemetria che devono essere “digeriti”, elaborati e analizzati inizialmente da una “macchina” e, in ultima istanza, da un essere umano. Nella fase di “ingestione”, elaborazione e correlazione, vale la pena ricordare – ancora una volta – il ruolo centrale del SIEM per un Security Operations Center.
Metodologie e intelligence
Il SOC deve essere attivo e proattivo nello svolgimento del processo di Vulnerability Management: le attività di Risk Assessment unite a un solido approccio alla gestione delle vulnerabilità rappresentano una priorità per il SOC (in questo ambito, a titolo di esempio, la metodologia OWASP può certamente essere un’opzione). Inoltre, è necessario un approccio alla threat intelligence contestualizzato alla realtà in cui opera il SOC al fine di garantire una miglior precisione e maggiore efficacia nella fase di rilevamento e prevenzione dei “data breach” e nella fase di contenimento dei danni subiti.
La squadra al lavoro
Una volta che il SOC risulterà operativo nell’ambiente di produzione, la squadra dovrà portare a termine la propria missione e dovrà reagire agli incidenti di sicurezza. Questa è la fase in cui il SOC ha l’opportunità di dimostrare il valore che può apportare al “business”. Quando un incidente viene rilevato, un ticket verrà aperto e un “case” verrà sottoposto alla fase di investigazione. Diverse componenti della squadra risulteranno coinvolte, in alcuni casi qualcuno di esterno al SOC (appartenente alla stessa azienda o un elemento di “terze parti”) potrebbe essere chiamato in causa, a seconda della natura, dell’estensione e della gravità dell’incidente. Dovranno essere previsti vari livelli di escalation, fino eventualmente all’intervento del CSIRT e giungendo alla chiusura del caso sfruttando tutti i mezzi (tecnici e procedurali) a disposizione
Per avere successo, la rilevazione degli incidenti di sicurezza, il monitoraggio e le successive fasi di incident response richiedono la giusta miscela di solida tecnologia, procedure e processi chiaramente definiti (e ripetibili), uniti a competenze altamente specializzate. L’intuito, la capacità di reagire rapidamente e precisamente anche in condizioni di stress e l’abilità di fare tesoro delle “lessons learned” sono fattori chiave per fare di un SOC una squadra efficace.
Il punto di vista del manager
Costruire e gestire un SOC è una missione altamente impegnativa, per portare a compimento questa sfida così complessa si dimostrano utili diverse “best practice”, framework e standard (ad esempio ITIL e COBIT) e in taluni casi potrebbe essere obbligatorio aderire a standard quali la PCI DSS e la ISO/IEC 27001:2013.
ITIL merita una menzione particolare quale fonte ineguagliabile di indicazioni e guida in fatto di strategia e progettazione dei servizi (service strategy e service design nell’accezione ITIL), in tema di “service level management” (SLA e KPI devono essere chiaramente definiti, misurati e monitorati) e nel creare un’interfaccia fra i processi di incident e problem management aziendali e i processi specifici del SOC.
D’altro canto, COBIT – e specificamente il COBIT MM (Maturity Model) – può essere preso come linea guida fondamentale per la misurazione della maturità del SOC.
In generale, le prestazioni del SOC devono essere accuratamente misurate sotto ogni punto di vista, la precisa definizione di KPI è fondamentale e una saggia applicazione dei principi propri del “Continual Service Improvement” può contribuire a rendere il SOC una squadra di successo e a far sì che essa venga percepita come una reale fonte di valore per l’organizzazione.
Conclusioni
La vasta gamma degli aspetti di “cyber security” da considerare, le competenze e gli “skill” altamente specialistici necessari a far funzionare un SOC efficace ed efficiente, la stretta relazione con le strategie di business e i processi aziendali fanno del compito di progettare e gestire un Security Operations Center un esempio paradigmatico di sicurezza informatica applicata in maniera olistica.
La leadership, l’abilità nel trasmettere motivazione e le capacità di gestione del collettivo sono doti essenziali per il manager di un SOC determinato a creare una grande squadra. La formazione e l’aggiornamento continui e il coinvolgimento dei membri del team sono elementi fondamentali affinché un SOC sia in grado di tenere il passo con l’implacabile sviluppo di nuove minacce e l’instancabile, crescente e altamente sofisticato sforzo profuso dagli attaccanti. Gestire un SOC è una missione complessa, considerato il fatto che deve affrontare e risolvere l’altrettanto ampio, pervasivo e sconfinato problema di garantire la sicurezza delle informazioni al giorno d’oggi.
Facebook Comments