Qual è la differenza tra SIEM e SOC? Sono necessari entrambi per garantire un buon livello di sicurezza informatica in azienda? Approfondiamo questi due elementi fondamentali della cybersecurity.

Per proteggere al meglio la propria infrastruttura IT dalle minacce informatiche, dotarsi delle migliori tecnologie a disposizione spesso non è sufficiente. Per ottenere il massimo dagli strumenti di cybersecurity, persone preparate e competenti sono indispensabili.

Avere un SIEM senza disporre di un SOC o, viceversa, creare un SOC non supportato anche da un SIEM, vanifica l’efficacia della componente scelta. La piattaforma SIEM più potente (la tecnologia quindi), senza un SOC (le persone) alle spalle che la gestiscano, può risultare un investimento vano.

 

Cosa fa il SIEM

Una piattaforma SIEM, acronimo di Security Information and Event Management, è lo strumento che fornisce una panoramica centralizzata e completa della sicurezza dell’infrastruttura IT aziendale. Il SIEM raccoglie, registra, identifica, monitora e analizza eventi di sicurezza in tempo reale all’interno di un ambiente IT.

Aggregando log di sistema ed eventi dagli strumenti di sicurezza attivi nell’intera organizzazione, i sistemi SIEM abilitano il monitoraggio dell’infrastruttura IT aziendale da parte del SOC.

 

Cosa fa il SOC

Un Security Operations Center o SOC invece è composto da persone, che attraverso processi, tecnologie e organizzazione proteggono l’azienda dai rischi di sicurezza, compresi gli attacchi informatici.

Componente fondamentale del SOC è il team di esperti di sicurezza, organizzato su una struttura gerarchica adatta a gestire l’escalation di eventuali incidenti di sicurezza: dalla gestione quotidiana degli alert a quella di incidenti di sicurezza critici per l’azienda. Un SOC manager supervisiona le operazioni di sicurezza e gestisce il team SOC, composto da analisti ed esperti di sicurezza con vari livelli di responsabilità di intervento (Tier 1-2-3).

Il team SOC opera in modo tempestivo ed efficace grazie a una serie di tecnologie che permettono:

  • la correlazione dei dati provenienti da tutta l’infrastruttura aziendale, come il SIEM;
  • la scoperta, analisi e valutazione delle minacce grazie a threat intelligence e analytics;
  • e la gestione e risposta alle stesse attraverso la managed defense.

 

Integrazione tra SIEM e SOC

Una strategia di cybersecurity efficace deve prevedere l’integrazione tra SIEM e SOC.

Grazie a una corretta configurazione da parte del team SOC, un SIEM può:

  • Aggregare informazioni da server, reti, database, sistemi email e applicazioni per analisi più approfondite.
  • Memorizzare dati utili a prendere decisioni, correlando e riunendo le informazioni in gruppi definiti. Indica chi ha fatto cosa, quando e dove.
  • Analizzare i dati per individuare modelli di utilizzo o attività insoliti, anche attraverso regole di correlazione predefinite basate su vettori di attacco già noti.
  • Inviare avvisi quando rileva un potenziale problema di sicurezza.

Supportato da questa e altre tecnologie avanzate e intelligenti, il team di esperti di sicurezza del SOC può: 

  • Identificare attacchi zero-day (non direttamente identificabili da un SIEM, perché non possono esistere regole per individuarli)
  • Prioritizzare gli eventi e riconoscerli come attacchi.

Aumenta il livello di cybersecurity in azienda

Scopri come il servizio SOC-SIEM di Matika può aiutarti

banner-matika-ibm