Il Security Operations Center (SOC) svolge un ruolo centrale nel garantire la sicurezza informatica in azienda.

Uno degli obiettivi del SOC è offrire il servizio chiave di incident response. Ciò significa monitorare l’infrastruttura IT aziendale, rilevare eventi di sicurezza e mettere in atto piani di risposta per risolvere eventuali incidenti.

Un SOC efficace è in grado di garantire una gestione proattiva e rapida degli incidenti di sicurezza.

Ma spesso ciò non avviene. E quello che dovrebbe essere un caccia, uno strumento robusto e reattivo per monitorare e migliorare la security posture dell’azienda, si rivela al contrario un carro armato, lento e privo di una reale visione d’insieme.

Quali caratteristiche deve avere un SOC per garantire un’incident response realmente efficace?

 

La tecnologia dietro a un SOC: c’è molto più di un SIEM

La gestione e mitigazione dei rischi informatici è una delle principali sfide che le aziende di tutto il mondo si trovano ad affrontare attualmente. Secondo l’Allianz Risk Barometer 2021, la gestione degli incidenti informatici (40%) si trova al terzo posto della classifica dei principali rischi aziendali, subito dopo le interruzioni dell’attività (41%) e la pandemia (40%).

Un SOC può essere la soluzione per affrontare questa sfida: se correttamente progettato e gestito, si rivelerà il corretto supporto ai processi di incident management e response. Ma le aziende dovranno compiere un passaggio fondamentale: cambiare prospettiva, passare da un modello di gestione e risposta agli incidenti di sicurezza reattivo a uno proattivo.

Ciò significa:

  • non limitarsi al monitoraggio di sicurezza, all’analisi di eventi sospetti e alla gestione degli incidenti,
  • ma dotarsi di una conoscenza approfondita e sempre aggiornata di minacce e tattiche, tecniche e procedure (TTPs), nonché degli indicatori di compromissione (IoC), oltre a processi di vulnerability management inseriti all’interno di una struttura organizzata.

In pratica, oltre ad assicurarsi di raccogliere tutti i dati dall’infrastruttura aziendale, attraverso una tecnologia come il SIEM, dovranno essere in grado di metterli a confronto con informazioni di contesto, fornite da altre tecnologie avanzate.

 

Come la threat intelligence abilita una pronta incident response in un SOC

La mancanza di dati di contesto è proprio uno dei fattori che impediscono a un SOC di essere proficuo.

Per rendere in grado gli esperti di sicurezza del team SOC di intervenire con tempismo in caso di un incidente di sicurezza è necessario avere la possibilità di mettere in relazione

  • le informazioni raccolte internamente dalla tecnologia SIEM
  • con fonti esterne, che forniscano per esempio indicazioni su nuovi malware o campagne di attacco in corso nel mondo.

Questa possibilità è offerta dalla cyber threat intelligence.

Un team SOC così equipaggiato potrà agire più agevolmente sia a livello di SOC 1, per il riconoscimento dell’evento di sicurezza potenzialmente critico, che a livello SOC 2, per l’analisi della minaccia e l’impostazione delle azioni di remediation.

 

Threat feeds affidabili

Tra gli errori più comuni nella gestione dell’incident response c’è la mancanza di una vera intelligenza nelle soluzioni di threat intelligence utilizzate.

Nell’ultimo periodo “threat intelligence” è uno dei concetti più popolari nel mondo della sicurezza IT. Di conseguenza spopolano anche le soluzioni che la includono. Tuttavia, molte aziende si ritrovano con innumerevoli dati sulle minacce a disposizione, senza però essere in grado di rilevarle effettivamente.

Quindi è fondamentale che le fonti esterne che alimentano la threat intelligence siano affidabili, di qualità, diversificate e puntuali: in caso contrario, prevenire e rispondere prontamente ad eventuali incidenti di sicurezza non sarà possibile.

Fonti di qualità sono quelle che oltre ai puri dati (ad esempio un URL) forniscono anche le informazioni di contesto (quello specifico URL è malevolo perché è stato utilizzato per diffondere un malware).

È necessario inoltre considerare anche un ultimo aspetto: l’efficacia della threat intelligence migliora nel momento in cui si aumenta la varietà delle fonti che alimentano il sistema, diversificandone la provenienza anche da un punto di vista geopolitico.

 

Automatizzare il collegamento

Secondo IBM, di norma, un analista di sicurezza investiga su 20-25 incidenti al giorno. Per ognuno di questi impiega tra 13 e 18 minuti per confrontare i log con gli IoC e le informazioni di threat intelligence: questa ricerca manuale può risultare in falsi positivi per il 70% e oltre.

Considerato quindi il numero imponente, in continua crescita, di avvisi di sicurezza da un lato e di informazioni di threat intelligence dall’altro, senza uno strumento che colleghi automaticamente questi dati, per i team di sicurezza potrebbe rivelarsi ancora più complicato capire cos’è davvero importante per l’azienda.

Automatizzare questo processo di confronto doterà i team SOC di tutti gli strumenti necessari a riconoscere la pericolosità di una minaccia e di conseguenza la priorità con cui intervenire, ma anche le modalità con cui rispondere.

 

Processi, l’ultimo tassello per abilitare il SOC alla perfetta incident response

Le competenze delle persone attive nel SOC, supportate dalle tecnologie che abilitano un approccio intelligente all’incident response, potranno ottenere il massimo risultato solo basandosi su solidi processi e organizzazione.

Un Incident Response Team, all’interno del SOC, che basa le sue azioni per gestire eventi, incidenti e vulnerabilità di sicurezza su linee guida internazionali, come per esempio lo standard ISO/IEC 27035, garantirà un incident response più sicura e di qualità. Potrà così contribuire attivamente a garantire la resilienza del business dell’azienda. 

    Vuoi creare o migliorare il processo di incident response nella tua azienda?

    Scopri il servizio MaSS SOC-SIEM di Matika

    banner-matika-ibm
    Share This