Un centro operativo per la sicurezza, noto anche come SOC, è un hub centralizzato all'interno di un'organizzazione che ha il compito di monitorare continuamente l'ambiente di sicurezza, in particolare l'infrastruttura di sicurezza, le reti, le app, i dispositivi aziendali e qualsiasi altra tecnologia o servizio che interagisce con l'organizzazione.

Oltre al monitoraggio continuo, all'analisi delle minacce e alla correzione delle minacce alla sicurezza, il centro operativo per la sicurezza ha anche il compito di migliorare le iniziative di sicurezza esistenti per garantire che il livello di sicurezza dell'organizzazione sia quanto più solido e rafforzato possibile.

Per soddisfare queste iniziative, il centro operativo per la sicurezza acquisisce e registra continuamente i dati da una serie di origini che si estendono nell'intera organizzazione, fornendo dati sulla sicurezza in tempo reale che un team delle operation di sicurezza può utilizzare per l'analisi della sicurezza in tempo reale. In questo modo, il team SOC osserverà, analizzerà e correggerà le potenziali minacce alla sicurezza 24 ore su 24 e trasmetterà informazioni critiche sulle minacce ai dirigenti di alto livello.

Uno dei componenti chiave di un centro operativo per la sicurezza di successo è l'utilizzo di un sistema di gestione delle informazioni di sicurezza e degli eventi, noto anche come SIEM. Un sistema di gestione delle informazioni di sicurezza e degli eventi è progettato per acquisire dati in tempo reale dai servizi che eseguono il polling dei dati critici per la sicurezza da un array di dispositivi nella rete di un'organizzazione.

I dati raccolti da un SIEM possono essere utilizzati in diversi modi. Ad esempio, i dati sospetti raccolti dal SIEM possono essere utilizzati per generare avvisi di eventi sospetti o anomali.

Un SIEM viene utilizzato per incanalare i dati relativi alla sicurezza in soluzioni di valutazione delle vulnerabilità, come un sistema di prevenzione delle intrusioni (IPS), un sistema di rilevamento delle intrusioni (IDS), database specifici per la sicurezza, data warehouse e piattaforme di intelligence sulle minacce (TIP) utilizzati per eseguire ulteriori operazioni di sicurezza sui dati.

Uno dei vantaggi principali di avere un SOC è il livello di sicurezza migliorato che un'organizzazione ottiene da questa iniziativa di sicurezza.

Le organizzazioni che investono in un centro operativo per la sicurezza beneficiano di un monitoraggio continuo dell'intera organizzazione, raccogliendo dati in tempo reale su rete, dispositivi e applicazioni 24/7. Ciò riduce drasticamente il tempo che trascorre tra un incidente e la risposta, mitigando sostanzialmente il potenziale danno di un attacco.

Un'organizzazione che utilizza un modello SOC solido ha molte più probabilità di rilevare tempestivamente un attacco malevolo e ridurre i danni di un potenziale attacco alla sicurezza informatica.

I centri operativi per la sicurezza devono affrontare due ostacoli principali: carenza di personale e carenza di competenze.

Carenza di personale:

Nel dinamico mercato del lavoro di oggi, le organizzazioni hanno difficoltà ad assumere e fidelizzare i migliori talenti. Ciò è particolarmente vero nel campo della sicurezza. Con quasi 500.000 posti di lavoro nel settore della sicurezza aperti all'inizio di quest'anno e senza un numero sufficiente di candidati qualificati per ricoprire questi ruoli, i team di sicurezza continuano a essere a corto di personale e sovrautilizzati.

Carenza di competenze:

Il settore della sicurezza risente fortemente anche della carenza di competenze. Quando il personale è limitato, le organizzazioni hanno accesso a candidati meno qualificati. Ciò significa che i datori di lavoro hanno il compito di migliorare le competenze dei propri dipendenti internamente o affidare al personale esistente (a volte proveniente da un reparto periferico) ulteriori responsabilità lavorative.

Un centro operativo per la sicurezza funge da strategia di identificazione e di contenimento delle minacce per le organizzazioni di oggi, fortemente dipendenti dalle moderne tecnologie. Il contenimento delle minacce si basa su una serie di applicazioni, servizi e strumenti di sicurezza per mitigare il rischio di un attacco informatico.

Ogni centro operativo per la sicurezza è unico per quanto riguarda gli strumenti di sicurezza che sceglie di utilizzare per rafforzare il proprio ambiente di sicurezza. Tuttavia, ci sono alcuni servizi, applicazioni e strumenti di sicurezza comuni alla maggior parte dei centri operativi per la sicurezza.

Sistema di monitoraggio comportamentale
Il monitoraggio comportamentale, una pratica standard per qualsiasi centro operativo per la sicurezza moderno, è il processo di monitoraggio di diverse proprietà di un'organizzazione, con l'obiettivo di individuare anomalie che potrebbero indicare una minaccia alla sicurezza.

Le proprietà comuni analizzate dagli strumenti di monitoraggio comportamentale sono:

• Attività di rete
• Download sospetti
• Riavvii degli endpoint
• Violazioni delle policy
• Valutazione dell'area geografica del traffico in entrata/in uscita
• Messaggi di errore

Sistema di monitoraggio degli endpoint
Gli endpoint degli utenti sono oggi uno dei bersagli più vulnerabili quando si tratta di attacchi alla sicurezza informatica. Sfortunatamente, gli utenti sono inclini ad aprire e-mail malevole o a cadere vittime di attacchi di social engineering. Il monitoraggio attivo degli endpoint è in cima all'elenco delle priorità per gli odierni centri operativi per la sicurezza.

Gestione delle informazioni di sicurezza e degli eventi (SIEM)
Un sistema di gestione delle informazioni di sicurezza e degli eventi (SIEM) ha il compito di raccogliere i dati di sicurezza in tempo reale da una varietà di applicazioni, servizi e strumenti di sicurezza e di generare avvisi per attività sospette. Un SIEM è uno degli strumenti più importanti in un centro operativo per la sicurezza, in quanto funge da hub centrale di raccolta dei dati dal quale dipendono quasi tutte le decisioni relative alla sicurezza.

Sistema di rilevamento delle intrusioni (IDS)
Un sistema di rilevamento delle intrusioni o IDS è un altro componente critico di un centro operativo per la sicurezza. L'IDS ha il compito di monitorare i dati che entrano ed escono dalla rete. Il suo ruolo è identificare e contrassegnare le potenziali minacce alla sicurezza che viaggiano all'interno della rete di un'organizzazione.

Sistema di protezione dalle intrusioni (IPS)
Un sistema di protezione dalle intrusioni (IPS) è simile a un IDS, nel senso che il suo ruolo è quello di mitigare le minacce che si verificano sulla rete di un'organizzazione. Tuttavia, a differenza di un IDS, in cui i pacchetti sospetti vengono identificati e contrassegnati per ulteriori azioni da parte di un team delle operation di sicurezza, l'IPS identifica e rimuove i pacchetti sospetti dalla rete in tempo reale.

La struttura degli attuali team delle operation di sicurezza è fondamentale per il successo di qualsiasi organizzazione. I membri dei team delle operation di sicurezza non solo devono essere adeguatamente formati per il loro ruolo, ma anche il team nel suo complesso deve operare in modo armonioso per garantire la sicurezza e l'integrità dell'organizzazione.

Chief Information Security Officer (CISO):

Il Chief Information Officer o CISO è una figura dirigenziale che ha il compito di prendere decisioni di alto livello in merito alle iniziative di sicurezza che hanno un impatto sull'intera azienda.

Queste persone definiranno le strategie e le operation relative alla sicurezza che ricadranno sulla leadership del centro delle operation di sicurezza, come Director of Incident Response e SOC Manager, per assicurare l'uniformità del loro approccio alle operation di sicurezza e di prevenzione delle minacce.

Senior Security Manager:

Il Senior Security Manager ha il compito di supervisionare tutte le operation del proprio team SOC e di fornire direttive di alto livello su come il team deve operare e rispondere in caso di grave minaccia alla sicurezza. Il Senior Security Manager ha anche il compito di comunicare le indicazioni al Chief Information Security Officer (CISO) per trasmettere informazioni relative a gravi problemi di sicurezza.

Incident Responder:

L'Incident Responder è responsabile della configurazione e della gestione degli strumenti di monitoraggio della sicurezza e della creazione di report sulle minacce informatiche identificate. Questo ruolo supervisiona centinaia di minacce alla sicurezza quotidiane e ha il compito di prendere decisioni in tempo reale su come gestire le potenziali minacce alla sicurezza.

SOC Analyst:

Il SOC Analyst ha il compito di monitorare gli eventi di sicurezza e valutare gli avvisi per gli analisti della sicurezza L2/L3. Indaga su tutte le attività sospette e risponde agli avvisi.

VMware fornisce una suite di soluzioni di sicurezza per consentire la modernizzazione dei centri operativi per la sicurezza. Con VMware, puoi scalare la tua risposta con sicurezza, velocità e precisione. VMware offre sicurezza operativa pronta all'uso e tempi di risoluzione ridotti con una piattaforma all'avanguardia.