La sigla Soc è l’acronimo di Security Operations Center e sta a indicare un centro per le operazioni di sicurezza: si tratta di una realtà che serve ad amplificare le capacità di rilevamento delle minacce, di risposta e di prevenzione delle stesse, attraverso il coordinamento delle varie operazioni di sicurezza informatica e delle tecnologie. In particolare, un soc è composto da uno staff di specialisti della sicurezza IT, che può essere in outsourcing oppure interno all’azienda, il cui compito è quello di monitorare, 7 giorni su 7 e 24 ore su 24, tutta l’infrastruttura IT dell’organizzazione, in modo tale che gli eventi riguardanti la sicurezza informatica possano essere rilevati in tempo reale: così gli stessi potranno essere affrontati in maniera efficace e con la massima tempestività possibile.

Di che cosa si occupa un Soc

In più un Soc si occupa di selezionare le tecnologie di sicurezza informatica dell’azienda, di gestirle e di mantenerle. I dati relativi alle minacce vengono analizzati senza soluzione di continuità, e ciò permette di individuare modalità che consentono di aumentare il livello di sicurezza aziendale. Che si assegni il Soc in outsourcing o che lo stesso venga gestito internamente, i vantaggi che ne derivano sono comunque numerosi ed evidenti: a cominciare dalla possibilità di unificare le pratiche e gli strumenti di sicurezza, coordinandoli per garantire una risposta più efficace in caso di incidenti.

Perché è importante il lavoro di un Soc

Ciò nella maggior parte dei casi favorisce un incremento delle misure di prevenzione e degli standard di sicurezza, anche perché le minacce possono essere rilevate in tempi più rapidi: il che comporta una risposta efficace e veloce, oltre che efficiente in riferimento ai costi. Grazie a un Soc, la fiducia dei clienti è destinata ad aumentare, mentre la conformità dell’organizzazione alle norme sulla privacy, sia nazionali che internazionali, risulta rafforzata.

Le operazioni di preparazione e prevenzione

La preparazione è fondamentale tra le attività di un Soc, sia in termini di prevenzione che in una prospettiva di programmazione. Il Soc è chiamato tra l’altro a gestire un inventario completo degli endpoint, dei servizi cloud, dei server, dei database, delle applicazioni e più in generale di tutto quello che, dentro e fuori dal data center, è necessario proteggere. Tale inventario deve coinvolgere anche i diversi strumenti che vengono impiegati per la protezione, come i software di monitoraggio, gli antivirus, i firewall e gli strumenti contro i ransomware e i malware. Per svolgere tali attività, in diversi casi si fa riferimento a una soluzione di rilevamento degli asset.

La preparazione della routine

L’applicazione di patch è una delle attività che vengono svolte da un Soc per la manutenzione preventiva, che ha lo scopo di massimizzare il livello di efficacia delle misure di sicurezza che vengono adottate. Molto importanti sono anche gli aggiornamenti, che devono riguardare le procedure di sicurezza, le whitelist, le blacklist e i firewall. Un’opzione da non escludere è quella che riguarda la creazione di un backup di sistema, o comunque il supporto nella realizzazione di procedure di backup, così che se anche si dovesse verificare una violazione dei dati la business continuity sarebbe comunque assicurata (un discorso che vale anche per gli attacchi ransomware e più in generale per qualunque incidente che possa riguardare la sicurezza informatica).

Le valutazioni della vulnerabilità

Le valutazioni della vulnerabilità che vengono effettuate da un team Soc non sono altro che valutazioni complete che hanno il compito di definire la vulnerabilità di ogni risorsa rispetto alle minacce potenziali e ai costi relativi. Sempre in questo ambito, possono essere svolti dei test di penetrazione tramite i quali vengono simulati degli attacchi specifici su questo o quel sistema. Le applicazioni, dunque, possono essere ottimizzate o corrette, proprio come le best practice e le politiche di sicurezza. A seconda dei risultati dei test possono essere predisposti i piani di risposta alle aggressioni e agli incidenti informatici. Perché ciò sia possibile, serve – appunto – una pianificazione delle risposte, che deve riguardare le responsabilità, i ruoli e le attività. Infine, il Soc è tenuto a essere sempre aggiornato a proposito delle soluzioni di sicurezza più recenti e alle ultime novità in tema di intelligence e di tecnologie.