Loading AI tools
Da Wikipedia, l'enciclopedia libera
Un Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi dell'azienda stessa (SOC interno) o di clienti esterni; in quest'ultimo caso il SOC è utilizzato per l'erogazione di Managed Security Services (MSS) e l'azienda che li eroga è definita Managed Security Service Provider (MSSP). Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente separate; alcune grandi aziende dispongono di un SOC e di un CERT separati.
Un SOC fornisce tre tipologie di servizi:
In generale il SOC è un servizio che si collega, a livello più generale, ai processi di governo e gestione dell'infrastruttura IT aziendale. Il servizio ha come obiettivo l'analisi proattiva h24 dei sistemi e delle tecnologie di sicurezza informatica (IDS, IPS, firewall, etc.). I sistemi anti-intrusione permettono la gestione centralizzata delle pratiche di sicurezza informatica consentendo di identificare potenziali attacchi informatici provenienti da internet e dalla intranet. In questo modo i potenziali attacchi possono essere analizzati e correlati dal personale qualificato; ad esempio gli analisti della sicurezza devono solo conoscere le funzioni degli strumenti di monitoraggio, piuttosto che la complessità di ogni dispositivo di sicurezza. Questo permette una forte specializzazione dell'intero centro di sicurezza. La scalabilità degli strumenti adoperati dal SOC è un altro fattore di fondamentale importanza ovvero, ad esempio, non deve comportare un grosso impatto operativo aggiungere un nuovo IDS a quelli già esistenti.
Il servizio di Security Device Management (SDM) si sviluppa attorno a due principali processi:
Obiettivo principale del Fault Management è garantire il funzionamento continuo ed ottimale dell'infrastruttura di sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. L'attività comprende:
Obiettivo principale del Configuration Management è garantire il costante allineamento delle regole di firewalling alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le attività di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una sorgente esterna ed una fonte interna (o viceversa) definite in base a:
I log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica è particolarmente importante perché, oltre a fornire il dettaglio di eventuali tentativi di intrusione da parte di soggetti non autorizzati o di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, può permettere al cliente di intraprendere delle azioni preventive.
Il servizio di security alert è volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilità in modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle nuove vulnerabilità.
Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial of Service" indirizzato verso un servizio critico facente parte dell'infrastruttura di rete di un cliente. Il compito del servizio è quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure necessarie per risolvere l'incidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo di "pulitura" e di re-instradamento del traffico. Segue notifica del termine dell'attacco.
Alcuni elementi di servizio che solitamente fanno parte delle attività di Security Assessment sono:
Il vulnerability assessment è volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi. Tale attività è svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni assessment.
Il penetration test è volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attività è svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate per ogni assessment, sia tramite attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato.
In genere il SOC può fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a problemi di funzionalità, violazioni di sistema, aggiornamento e configurazione di software e hardware per la sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche può essere fornita da remoto o on-site a seconda delle problematiche e del contratto stipulato tra le parti.
Le professionalità che tipicamente partecipano ad un SOC sono le seguenti:
Non bisogna tuttavia confondere il ruolo del CISO e del Security Manager che operano tipicamente ad un livello più alto (di governance) facendo parte del top management aziendale. Tuttavia questa non è una regola rigida, in quanto la dimensione e la complessità aziendale vede talvolta alcune di queste figure operare ad un livello più operativo.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.