Cos’è un centro operativo di sicurezza (SOC)?
Ottimizzare un modello di operazioni di sicurezza
Mentre la gestione degli incidenti monopolizza gran parte delle risorse del SOC, il chief information security officer (CISO) è responsabile del quadro più ampio di rischio e conformità. Per colmare i silos operativi e di dati tra queste funzioni, una strategia efficace richiede un’architettura di sicurezza adattiva che permetta alle organizzazioni di attuare operazioni di sicurezza ottimizzate. Questo approccio aumenta l’efficienza attraverso l’integrazione, l’automazione e l’orchestrazione, e riduce la quantità di ore di lavoro richieste, migliorando al contempo la postura di gestione della sicurezza delle informazioni.
Un modello ottimizzato di operazioni di sicurezza richiede l’adozione di un framework di sicurezza che renda facile l’integrazione delle soluzioni di sicurezza e delle informazioni sulle minacce nei processi quotidiani. Gli strumenti del SOC, come i dashboard centralizzati e attivabili, aiutano a integrare i dati sulle minacce nei dashboard e nei report di monitoraggio della sicurezza per mantenere le operazioni e la gestione aggiornate su eventi e attività in evoluzione. Collegando la gestione delle minacce con altri sistemi per la gestione del rischio e della conformità, i team SOC possono gestire meglio la postura complessiva del rischio. Tali configurazioni supportano la visibilità continua attraverso i sistemi e i domini e possono utilizzare l’intelligence azionabile per guidare una migliore precisione e coerenza nelle operazioni di sicurezza. Le funzioni centralizzate riducono l’onere della condivisione manuale dei dati, dell’auditing e del reporting in generale.
La gestione operativa delle minacce dovrebbe iniziare con una valutazione ponderata. Oltre alle difese, un’organizzazione dovrebbe valutare i processi e le politiche. Dove è forte l’organizzazione? Quali sono le lacune? Qual è la postura del rischio? Quali dati vengono raccolti, e quanti di questi dati vengono utilizzati?
Sebbene ogni organizzazione sia diversa, alcune capacità di base e le best practice delle operazioni di sicurezza rappresentano oggi la dovuta attenzione. Un processo ragionevole di gestione delle minacce inizia con un piano e comprende la scoperta (compreso il calcolo della linea di base per promuovere il rilevamento delle anomalie, la normalizzazione e la correlazione), il triage (basato sul rischio e sul valore delle risorse), l’analisi (compresa la contestualizzazione) e la definizione dell’ambito (comprese le indagini iterative). I processi di gestione delle minacce alimentano i casi prioritari e caratterizzati nei programmi di risposta agli incidenti. Un piano di risposta ben definito è assolutamente fondamentale per contenere una minaccia o minimizzare i danni di una violazione dei dati.
Figura 1. I piani di gestione delle minacce integrano e strutturano molti processi nelle operazioni di sicurezza e IT.
Una visibilità e una gestione efficace delle minacce attingono a molte fonti di dati, ma può essere difficile separare le informazioni utili e tempestive. I dati più preziosi si sono dimostrati essere i dati degli eventi prodotti dalle contromisure e dalle risorse IT, gli indicatori di compromissione (IoC) prodotti internamente (tramite l’analisi del malware) ed esternamente (tramite i feed delle informazioni sulle minacce), e i dati di sistema disponibili dai sensori (ad esempio, host, rete, database, ecc.).
Fonti di dati come queste non sono solo un input per la gestione delle minacce. Aggiungono il contesto e rendono le informazioni preziose e utilizzabili per una valutazione più precisa, accurata e veloce durante lo sforzo iterativo e interattivo di gestione delle minacce. L’accesso e l’uso efficace dei dati giusti per supportare piani e procedure è una misura della maturità organizzativa. Uno scenario “maturo” includerebbe un flusso di lavoro che trasmette le informazioni giuste o permette un’azione diretta all’interno delle console operative e tra i prodotti. Questo flusso integra le operazioni IT e i team e gli strumenti di sicurezza nella risposta agli incidenti quando si verifica un evento critico.
Tutte queste valutazioni aiuteranno a stabilire le priorità dove è necessario un aumento degli investimenti o una riduzione dell’attrito per far sì che l’implementazione della gestione delle minacce corrisponda agli obiettivi. I consulenti e i test di penetrazione possono aiutare a confrontare la strategia e la maturità organizzativa e a verificare lo stato di salute della risposta di sicurezza rispetto agli attacchi per ottenere una misura attuale della capacità di un’organizzazione di rilevare e contenere gli eventi dannosi. Facendo un confronto con imprese di pari livello, questa revisione controllata può aiutare a giustificare e spiegare la necessità di reindirizzare o investire in risorse operative di cybersecurity.