Security Operation Center

Da Wikipedia, l'enciclopedia libera.
bussola Disambiguazione – Se stai cercando altre voci che possono riferirsi alla stessa combinazione di 3 caratteri, vedi Soc.

Un Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi dell'azienda stessa (SOC Interno) o di clienti esterni; in quest'ultimo caso il SOC è utilizzato per l'erogazione di Managed Security Services (MSS) e l'azienda che li eroga è definita Managed Security Service Provider (MSSP). Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente separate; alcune grandi aziende dispongono di un SOC e di un CERT separati.

Un SOC fornisce tre tipologie di servizi:

Servizi di Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate dal SOC.

Servizi di Monitoraggio: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse dei sistemi.

Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (Security assessments, vulnerability assessments, early warning, security awareness).

Possibili servizi offerti dal SOC[modifica | modifica sorgente]

  • Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica
  • Security Device Management
  • Reporting
  • Security Alert
  • DDos mitigation
  • Security Assessment
  • Assistenza Tecnica

Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica[modifica | modifica sorgente]

Il servizio ha come obiettivo l’analisi proattiva h24 dei sistemi e delle tecnologie di sicurezza informatica (IDS, IPS, firewall, etc). I sistemi anti-intrusione permettono la gestione centralizzata delle pratiche di sicurezza informatica consentendo di identificare potenziali attacchi informatici provenienti da internet e dalla intranet. In questo modo i potenziali attacchi possono essere analizzati e correlati dal personale che è di solito molto specializzato oltre che qualificato; ad esempio gli analisti della sicurezza devono solo conoscere le funzioni degli strumenti di monitoraggio, piuttosto che la complessità di ogni dispositivo di sicurezza. Questo permette una forte specializzazione dell’intero centro di sicurezza. La scalabilità degli strumenti adoperati dal SOC è un altro fattore di fondamentale importanza ovvero, ad esempio, non deve comportare un grosso impatto operativo aggiungere un nuovo IDS a quelli già esistenti.

Security Device Management[modifica | modifica sorgente]

Il Servizio di Security Device Management (SDM) si sviluppa attorno a due principali processi:

- Fault Management.

- Configuration Management.

Fault Management[modifica | modifica sorgente]

Obiettivo principale del Fault Management è garantire il funzionamento continuo ed ottimale dell’infrastruttura di sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. L’attività comprende:

- Il monitoraggio costante degli apparati di sicurezza del Cliente attraverso il SOC.

- Rilevazione e segnalazione Fault (apertura trouble ticket).

- Identificazione delle rispettive azioni di rimedio.

- Implementazione delle rispettive azioni di rimedio.

- Il ripristino delle configurazioni in caso di loro perdita a seguito di un fault.

Configuration Management[modifica | modifica sorgente]

Obiettivo principale del Configuration Management è garantire il costante allineamento delle regole di firewalling alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le attività di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una sorgente esterna ed una fonte interna (o viceversa) definite in base a:

- Indirizzo sorgente.

- Indirizzo di destinazione.

- Protocollo di rete.

- Protocollo di servizio.

- Logging del traffico.

Reporting[modifica | modifica sorgente]

I Log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica è particolarmente importante perché, oltre a fornire il dettaglio di eventuali tentatitivi di intrusione da parte di soggetti non autorizzati o di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, può permettere al cliente di intraprendere delle azioni preventive.

Security Alert[modifica | modifica sorgente]

Il servizio di security alert è volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilità in modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle nuove vulnerabilità.

DDos mitigation[modifica | modifica sorgente]

Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial of Service" indirizzato verso un servizio critico facente parte dell’infrastruttura di rete di un cliente. Il compito del servizio è quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure necessarie per risolvere l’incidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo di "pulitura" e di reinstradamento del traffico. Segue notifica del termine dell’attacco.

Security Assessment[modifica | modifica sorgente]

Alcuni elementi di servizio che solitamente fanno parte delle attività di Security Assessment sono:

- Vulnerability Assessment.

- Penetration Test.

Vulnerability Assessment[modifica | modifica sorgente]

Il vulnerability assessment è volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi. Tale attività è svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni assessment.

Penetration test[modifica | modifica sorgente]

Il Penetration Test è volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attività è svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate per ogni assessment, sia tramite attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato.

Assistenza tecnica[modifica | modifica sorgente]

In genere il SOC può fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a problemi di funzionalità, violazioni di sistema, aggiornamento e configurazione di software e hardware per la sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche può essere fornita da remoto o on-site a seconda delle problematiche e del contratto stipulato tra le parti.

Voci correlate[modifica | modifica sorgente]

Collegamenti esterni[modifica | modifica sorgente]

I SOC in Italia: