In una strategia di cybersecurity efficace, un Security Operations Center, in breve SOC, non può mancare. Spesso, però, progettare e gestire internamente un SOC può rivelarsi difficile per le aziende. Scopriamo perché e come ottenere ugualmente i benefici di un SOC.

Il SOC permette di centralizzare tutte le operazioni di monitoraggio e analisi continua delle minacce, nonché quelle di prevenzione e mitigazione degli incidenti di sicurezza. Senza la capacità di adattarsi e migliorare costantemente per rispondere ai continui cambiamenti nel panorama delle minacce informatiche, l’efficacia di un SOC potrebbe però essere compromessa. E questa, di solito, è la principale difficoltà che incontrano le aziende nel gestire internamente un SOC.

Nel questionario “Security Operations Center Survey”, il SANS Institute ha individuato le 6 principali barriere alla creazione di un SOC efficace all’interno di un’azienda. Scopriamole assieme.

    Barriere alla gestione di un SOC interno all'azienda

    Barriere alla creazione di un SOC internamente all’azienda

    1) Mancanza di personale specializzato

    Elemento chiave di un SOC sono le persone. La sua efficacia è determinata dalla presenza, o meno, di competenze altamente qualificate nell’ambito della sicurezza IT e dall’esperienza sul campo.

    Senza le necessarie competenze per:

    • analisi di malware,
    • digital forensics,
    • incident response,
    • interpretazione dati dal SIEM,

    determinare la risposta migliore a una specifica minaccia può rivelarsi molto difficile, comportando conseguenze, anche gravi, per l’azienda.

    Trovare professionisti con le adeguate competenze non è semplice oggi, e garantirgli un costante aggiornamento spesso non risulta conveniente per le aziende.

     

    2) Mancanza di automazione

    Nella gestione di un SOC sono presenti molte attività importanti, ma allo stesso tempo ripetitive e dispendiose in termini di tempo. Spesso gli analisti dedicano molto tempo a queste operazioni, quando invece potrebbero essere automatizzate. Il tempo guadagnato con l’automazione permette invece agli specialisti di concentrarsi sull’analisi dei dati più importanti ed essere più efficaci nella risposta a eventuali incidenti.

     

    3) Mancanza di integrazione

    Lo spreco di tempo può essere causato anche dalla presenza di troppi strumenti di sicurezza non integrati tra loro. Questo dover continuamente spostarsi da uno strumento all’altro, inoltre, può provocare errori.

    Senza una visione globale dei sistemi, che preveda l’integrazione dei nuovi strumenti con quelli già esistenti, la gestione di un SOC può davvero rivelarsi un percorso ad ostacoli.

     

    4) Troppi avvisi

    La quantità di informazioni, che il SIEM raccoglie, e dei relativi avvisi generati è imponente. Si stima che:

    • da un lato, circa il 50% di questi alert non vengano mai investigati
    • dall’altro i falsi positivi risultino essere tra il 60 e l’80%.

    Per evitare questa situazione, l’azienda deve disporre di un team SOC in grado di interpretare correttamente i dati del SIEM, non solo indentificando le informazioni realmente importanti, ma anche correggendo le regole di correlazione e perfezionando il funzionamento del sistema.

     

    5) Mancanza di visibilità sull’intera infrastruttura aziendale

    Personale meno esperto potrebbe pensare di ovviare all’enorme quantità di dati da gestire, monitorando solo alcuni dei sistemi in uso in azienda. Questo approccio porta a sminuire l’efficacia del SOC perché non garantisce la necessaria visibilità sull’intera infrastruttura aziendale, lasciando spazio ai malintenzionati di agire indisturbati.

     

    6) Mancanza di dati di contesto

    Come abbiamo detto, una corretta interpretazione dei dati è indispensabile: infatti gli specialisti del SOC decidono sulla base delle informazioni raccolte come agire in caso di incidente. Se non si è impostata un’efficace strategia per prioritizzare gli avvisi o eventi, sarà molto complicato compiere i giusti passi per mitigare e risolvere l’incidente in tempi brevi.

    Il team SOC deve avere le necessarie competenze ed esperienze per correlare i dati con le più recenti informazioni su minacce e modalità di attacco, per dare la giusta priorità agli eventi segnalati nell’infrastruttura aziendale.

     

    Vantaggi nell’affidarsi a un SOC gestito in outsourcing

    Per superare le difficoltà di un SOC gestito internamente, le aziende possono affidarsi a un servizio SOC in outsourcing. I principali vantaggi di un SOC as a Service sono:

    • Specialisti certificati sempre aggiornati: i team SOC delle aziende che offrono servizi di security gestiti sono certificati e seguono una formazione costante, che gli permette di essere sempre aggiornati sui possibili rischi e sull’attuale panorama delle minacce informatiche.
    • Tempestività degli aggiornamenti: le tecnologie di sicurezza a disposizione saranno sempre aggiornate con l’ultimo upgrade o patch software disponibile, garantendo sempre il massimo livello di protezione possibile.
    • Controllo centralizzato e monitoraggio costante: la gestione della sicurezza IT è centralizzata in un unico punto, con un unico referente, con una completa visibilità di tutta l’infrastruttura aziendale. Inoltre i sistemi sono monitorati in modo continuativo, 24/7.
    • Rapida risposta agli incidenti: in un sistema di sicurezza così strutturato è garantita una risposta rapida a eventi che dovessero interessare il sistema implementato.
    • Ottimizzazione delle risorse interne: la gestione in outsourcing di un SOC permette di ottimizzare i costi di gestione relativi alla cybersecurity e dedicare le risorse al core business aziendale. 

    Scopri il SOC gestito di Matika

    Guarda il webinar

    banner-matika-ibm
    Share This