Quando si parla di SOC, in pochi sanno che un Security Operation Center può essere gestito anche in modalità as-a-Service. Un SOC agisce come l’hub o la postazione di comando centrale, acquisendo dati di telemetria dall’infrastruttura IT di un’organizzazione, comprese le sue reti, dispositivi, appliance e archivi di informazioni, ovunque risiedano come risorse. In sostanza, è il punto di correlazione per ogni evento registrato all’interno dell’organizzazione che viene monitorata e, per ciascuno di questi eventi, il SOC deve decidere come agire. Conseguenza dell’estrema versatilità a cui il mondo del cloud ci ha abituati, il SOC come servizio, ossia il SOCaaS, lavora per esternalizzare alcune delle funzioni di un centro di sicurezza verso un fornitore esterno. Lo switch verso il cloud disegna uno scenario nel quale le informazioni di sicurezza tra cui, avvisi, telemetria, registri e informazioni di rete, diventano accessibili praticamente ovunque, a differenza dell’analisi effettuata in locale.
Perché SOCaaS
Uno dei motivi principali che dovrebbe spingere una compagnia ad adottare un modello SOCaaS è che le minacce alla sicurezza colpiscono i bersagli che meno sono preparati a riconoscerle in via preventiva. Ciò richiede concreti investimenti sia sul piano dell’hardware, tecnologico, che delle persone. Un team “sempre sul pezzo” deve imparare costantemente le nuove varianti di intromissione, comunicando al contempo con altri ruoli professionali specifici, analisti e tecnici. Per questo, un Security Operation Center as-a-Service può rispondere ad esigenze di maggiore security senza dover “costruire” personale in azienda che sia dedicato a tale panorama. A conti fatti, se il budget non rappresenta un problema e si dispone di abbastanza personale a cui affidare la messa in opera e manutenzione di un SOC, 24 ore al giorno, 7 giorni su 7, allora può avere senso seguire la strada tradizionale, casalinga. Se invece esistono vincoli maggiori, in termini economici e di risorse, allora il SOCaaS può essere l’approccio migliore.
La tecnologia di Secure Online Desktop
Una delle più avanzate tecnologie SOCaaS in circolazione è quella di Secure Online Desktop, meglio conosciuta come SOD. Si tratta di un servizio completo per la sicurezza dell’azienda, che va dalla raccolta dei dati e arricchimento (SDL) alla gestione degli eventi e delle informazioni (SIEM), fino all’analisi dei comportamenti degli utenti (UEBA). Il sistema di SOC as-a-Service di SOD è focalizzato su un ambiente permeato di intelligenza artificiale, che analizza continuamente log-file per identificare minacce e mitigare i rischi. Il suddetto vantaggio, di avere un tecnico sempre a disposizione, 24/7, consente di verificare le potenziali minacce e intervenire per bloccare gli attacchi sul nascere. Il processo di SOAR (Security Orchestration, Automation and Response) messo in pratica parte dunque dalla raccolta dei log, per procedere poi con il SIEM, il rilevamento dell’anomalia, il controllo manuale, l’individuazione del possibile problema e la notifica al cliente. A questi si aggiunge il personale composto da hacker etici che costantemente verificano i dati che potrebbero identificare un cyber threat, intervenendo, se necessario, per bloccare il breach.
Difendersi dalle minacce costanti
Sappiamo bene quanto gli zero-day mettano in pericolo, costantemente, compagnie di ogni tipo e dimensione. Il SOCaaS di SOD può intervenire anche per ridurre al minimo tale rischio? La risposta è si, visto che ogni tipologia di dato prodotto dai sistemi interconnessi nell’infrastruttura viene raccolto, normalizzato e analizzato, per la verifica non solo dell’eventuale presenza di indicatori di compromissione noti (IOC), ma anche di operazioni e comportamenti sospetti; tentativi di attacco normalmente molto difficili da individuare, come quelli che riguardano gli zero-day. Inoltre, all’interno del SOCaaS meritano una menzione particolare le funzionalità di rilevamento basate sull’apprendimento automatico e context-aware, che consentono agli analisti della sicurezza di affrontare le aggressioni più sofisticate. Con la ricerca a lungo termine, le organizzazioni possono ridurre il tempo necessario per indagare e trovare le minacce che sono già nel loro ambiente. Attraverso la cosiddetta long-term search, si ha la possibilità di effettuare ricerche proattive su dati storici, attraverso una ricerca scalabile che non influisce sulle prestazioni del SIEM.
Non è raro che i dati aziendali vengano trafugati e utilizzati per pianificare un colpo, per esempio un ransomware. Queste informazioni sono spesso condivise in quelle aree del web chiamate Deep Web e Dark Web. Grazie ad un Cyber Threat Hunter, SOD è in grado di cercare e recuperare quelle informazioni. Per questo, un add-on di rilievo per il suo SOCaaS è CTI, Cyber Threat Intelligence. Il servizio che, svolto da un Cyber Threat Hunter, sfrutta gli indicatori di compromissione e altre possibili evidenze della presenza di una minaccia in un sistema. Il risultato è una mitigazione praticamente immediata delle minacce individuate, con una riduzione netta del downtime imprevisto e delle potenziali perdite per ogni attacco riscontrato nel tempo.
La CTI è il prodotto finale di un ciclo in sei parti che comprende raccolta, elaborazione e analisi dei dati. Il processo è un ciclo perché nuove domande e lacune vengono identificate nel corso dello sviluppo dell’intelligence, portando alla definizione di nuovi requisiti di raccolta. Si va dalla pianificazione e direzione per arrivare alla raccolta, elaborazione, analisi, distribuzione e feedback, al termine del quale, chi ha fatto la richiesta iniziale determina se le sue domande hanno trovato risposta e, in caso positivo, procede con la risoluzione del problema o messa in sicurezza di parte o totalità della rete.