CENTRO PER LE OPERAZIONI DI SICUREZZA: definizione, tipi, analista, stipendio e struttura

I dati dell'infrastruttura, delle reti, dei servizi cloud e dei dispositivi di un'organizzazione sono correlati da un centro operativo di sicurezza (SOC). Gestire la posizione di sicurezza complessiva di un'azienda e fornire consapevolezza della situazione è responsabilità di un SOC, che è un gruppo cooperativo di specialisti della sicurezza delle informazioni. Scopri di più sul lavoro di analista presso un centro operativo di sicurezza. Gli approcci alla strategia di difesa dei centri operativi di sicurezza (SOC) sono standardizzati dai framework SOC. Aiuta a ridurre al minimo i rischi di sicurezza informatica e a migliorare costantemente le operazioni. 

Centro operativo di sicurezza

Gli obiettivi delle attività del SOC sono riconoscere, monitorare, tracciare, analizzare, presentare e rispondere alle minacce effettive e potenziali per l'azienda. La gestione quotidiana della sicurezza di una rete e dell'infrastruttura all'interno di un'organizzazione è responsabilità del team SOC (Security Operations Center). Trovare incidenti e minacce alla sicurezza, analizzarli e quindi intraprendere le azioni appropriate sono gli obiettivi principali del team SOC. 

Le pratiche di sicurezza, le procedure e la risposta agli incidenti di sicurezza di un'organizzazione sono unificate e coordinate da un SOC, che è il principale vantaggio di gestirne uno internamente o esternalizzarlo. Criteri di sicurezza e misure preventive migliorate, rilevamento delle minacce più rapido e risposte più rapide, più efficaci e più convenienti alle minacce alla sicurezza sono i risultati tipici di questo. Inoltre, un SOC può aumentare la fiducia dei clienti e semplificare e rafforzare l'adesione di un'organizzazione alle normative sulla privacy regionali, nazionali e internazionali.

Leggi anche: SISTEMA DI SICUREZZA AZIENDALE: di cosa si tratta, tipi e costi

Lavori nel centro operativo di sicurezza (SOC).

#1. Pianificazione della risposta agli incidenti

Il SOC è responsabile della creazione del piano di risposta agli incidenti dell'organizzazione, che delinea le attività, i ruoli e le responsabilità in caso di minaccia o incidente, nonché le metriche in base alle quali verrà valutata l'efficacia di qualsiasi risposta agli incidenti. 

#2. Rimanere attuali

Il SOC tiene il passo con le innovazioni e gli strumenti di sicurezza più recenti, nonché con le informazioni sulle minacce più recenti, ovvero notizie e dettagli sugli attacchi informatici e sugli hacker che li eseguono, raccolti dai social media, dalle fonti aziendali e dal dark web .

#3. Test regolari

Il team SOC conduce valutazioni di vulnerabilità, valutazioni approfondite che individuano la suscettibilità di ogni risorsa a potenziali pericoli ei relativi costi. Inoltre, esegue test di penetrazione che imitano attacchi particolari su sistemi aggiuntivi. Sulla base dei risultati di questi test, il team corregge o migliora applicazioni, linee guida sulla sicurezza, best practice e piani di risposta agli incidenti.

#4. Manutenzione ordinaria e preparazione

 Il SOC esegue la manutenzione preventiva, come l'applicazione di patch e aggiornamenti del software e l'aggiornamento periodico di firewall, whitelist e blacklist, policy di sicurezza e procedure per massimizzare l'efficienza degli strumenti e delle misure di sicurezza in atto. Il SOC può anche creare backup di sistema o assistere nello sviluppo di politiche o procedure di backup per garantire la continuità aziendale in caso di violazione dei dati, attacco ransomware o altri incidenti di sicurezza informatica.

#5. Rilevamento di minacce

Il team SOC separa i segnali dal rumore, separando le indicazioni di minacce informatiche reali e exploit degli hacker dai falsi positivi, prima di classificare le minacce in base alla loro gravità. L'intelligenza artificiale (AI) è un componente delle soluzioni SIEM contemporanee che automatizza queste procedure e migliora gradualmente l'identificazione di attività sospette "apprendendo" dai dati.

Funzioni Di Un Centro Operativo Di Sicurezza

• Gestione e manutenzione: gli aggiornamenti e le patch per gli strumenti di sicurezza vengono rintracciati e gestiti.
• Monitoraggio dei registri eventi per infrastrutture, sistemi, dispositivi e reti per cercare attività insolite o sospette.
• Raccolta di informazioni, nonché rilevamento e prevenzione di potenziali minacce e attacchi.
• Analisi e indagine sugli incidenti: Trovare la causa di un evento o minaccia e determinare quanto profondamente si è infiltrato e danneggiato i sistemi aziendali.
• Risposta a minacce o attacchi: coordinamento di un approccio per gestire e contenere efficacemente la minaccia o l'incidente.
• Il ripristino dei dati persi o rubati, la risoluzione delle vulnerabilità, l'aggiornamento degli strumenti di avviso e la rivalutazione delle procedure sono tutte parti del ripristino e della riparazione. 

Uno stabilimento utilizzato per monitorare, rilevare, esaminare e reagire centralmente agli attacchi informatici e ad altri incidenti di sicurezza è noto come Security Operations Center (SOC). Un centro operativo di sicurezza (SOC) può essere uno spazio fisico o virtuale gestito da uno staff di sicurezza interno o da un Managed Security Service Provider (MSSP).

Tipi di un Security Operations Center

La maggior parte delle aziende scopre che la gestione efficace della sicurezza informatica richiede molto più di quanto sia in grado di fare il proprio team IT tradizionale. Le organizzazioni possono scegliere tra creare un SOC internamente o stipulare un contratto con un provider SOC gestito per soddisfare questa esigenza in espansione.

#1. Dedicato o Autogestito

Questa strategia si avvale di una struttura in loco e di personale interno. Un SOC dedicato, che è un SOC centralizzato, è composto da un team che si concentra esclusivamente sulla sicurezza, nonché sull'infrastruttura e sulle procedure. A seconda delle dimensioni dell'organizzazione, della tolleranza al rischio e delle esigenze di sicurezza, le dimensioni di un SOC dedicato variano. 

#2. SOC distribuito

Un centro operativo di sicurezza co-gestito, noto anche come MSSP, è gestito da un membro del team interno che viene assunto a tempo parziale oa tempo pieno per lavorare a fianco di un fornitore di servizi di sicurezza gestito.

#3. SOC gestito

Questo metodo prevede che gli MSSP forniscano a un'azienda tutti i servizi SOC. I partner di rilevamento e risposta gestiti (MDR) sono una categoria aggiuntiva.

#4. Comando SOC

Con l'aiuto di questa strategia, altri centri operativi di sicurezza, generalmente dedicati, possono accedere alle informazioni sulle minacce e alla conoscenza della sicurezza. Partecipa solo alle attività e alle procedure relative all'intelligence relative alla sicurezza. 

#5. SOC virtuale

Questo è un team di sicurezza impegnato che non si basa sulla proprietà di un'azienda. Ha lo stesso scopo di un SOC fisico ma con personale remoto. Non esiste un'infrastruttura dedicata o una posizione fisica per un SOC virtuale (VSOC). Si tratta di un portale basato sul web costruito utilizzando tecnologie di sicurezza decentralizzate, che consente ai team che lavorano in remoto di monitorare gli eventi e affrontare le minacce. 

#6. SOC co-gestito

Il modello SOC co-gestito impiega sia personale esterno che strumenti di monitoraggio in loco. Poiché combina componenti in loco e fuori sede, questa strategia viene talvolta definita anche strategia ibrida. La cogestione è un'opzione flessibile perché questi componenti possono differire in modo significativo tra le varie organizzazioni.

Vantaggi di un Security Operations Center

Di seguito sono riportati i vantaggi del centro operativo di sicurezza

• Procedure e tempi di risposta migliorati per gli incidenti.
• Riduzione del divario MTTD (tempo medio di rilevamento) tra il momento della compromissione e il rilevamento.
• Analizzare e monitorare attività sospette collaborazione continua e comunicazione efficace.
• Combinazione di risorse hardware e software per creare una strategia di sicurezza più completa.
• Le informazioni sensibili vengono condivise più liberamente da clienti e dipendenti.
• Maggiore responsabilità e comando sulle operazioni di sicurezza.
• Una catena di controllo dei dati è necessaria se un'azienda intende intraprendere un'azione legale contro coloro che sono accusati di aver commesso un crimine informatico.

Analista del Security Operations Center

Una parte essenziale della risposta agli attacchi di sicurezza informatica è svolta da un analista del centro operativo di sicurezza o analista SOC. Un analista del centro operativo di sicurezza è un membro cruciale del moderno team di sicurezza che garantisce la continuità aziendale per le organizzazioni che riconoscono l'importanza di prevenire e rispondere agli attacchi informatici. 

Un analista del centro operativo di sicurezza è un esperto di tecnologia incaricato di individuare e bloccare gli attacchi informatici ai server aziendali e ai sistemi informatici. Sviluppano e attuano protocolli per affrontare le minacce e devono mettere in atto i cambiamenti necessari per fermare tali eventi.

• L'analisi della suscettibilità dell'infrastruttura di un'azienda alle minacce e ad altre attività fa parte di questo lavoro.
• Tenere il passo con i nuovi sviluppi della sicurezza informatica
• Esaminare e registrare potenziali minacce e problemi con la sicurezza delle informazioni
• Valutazione di nuovi hardware e software per la sicurezza per ridurre i rischi inutili
• Creazione di piani di ripristino formali per i disastri, idealmente, prima che sorgano preoccupazioni. 

Come posso qualificarmi per diventare un analista di Security Operations Center?

La maggior parte dei datori di lavoro prevede che gli analisti SOC abbiano una laurea o una laurea in informatica o ingegneria informatica, oltre a competenze aggiuntive derivanti dall'esperienza nel mondo reale in ruoli di networking o tecnologia dell'informazione. 

Queste abilità includono:

•  Ottima capacità di comunicazione 
• Avere una solida conoscenza di Linux, Windows, IDS, SIEM, CISSP e Splunk
• Conoscenza approfondita della sicurezza delle informazioni
• Possibilità di difendere le reti proteggendo il traffico e rilevando attività sospette
• Comprensione dei test di perpetrazione per identificare la vulnerabilità di sistemi, reti e applicazioni
• Fermare e ridurre gli effetti delle violazioni della sicurezza
• Raccogliere, esaminare e presentare informazioni sulla sicurezza per la computer forensics
• Il malware di reverse engineering include la lettura e l'identificazione dei parametri del programma software.

Gli analisti SOC spesso lavorano in team con altro personale di sicurezza. Un'organizzazione deve considerare le opinioni dell'analista del centro operativo di sicurezza. I loro suggerimenti possono migliorare la sicurezza informatica e ridurre il rischio di perdite dovute a violazioni della sicurezza e altri eventi.  

Certificazione di analista del centro operativo di sicurezza

Gli analisti SOC seguono spesso una formazione aggiuntiva e ottengono una licenza CSA (Certified Security Operations Center) per migliorare le proprie competenze, oltre ad avere una laurea in ingegneria informatica, informatica o un campo correlato.

Ulteriori certificazioni pertinenti includono:

• Hacker etico certificato (CEH)
• Investigatore forense di hacking informatico (CHFI)
• Analista di sicurezza certificato EC-Council (ECSA)
• Tester di penetrazione con licenza (LPT)
• CompTIA Security +
• Analista della sicurezza informatica CompTIA (CySA+)

Responsabilità di un analista delle operazioni di sicurezza

Sorveglianza di rete e di sistema all'interno di un'organizzazione. Il compito di un analista di un centro operativo di sicurezza è quello di tenere sotto osservazione il sistema IT di un'organizzazione. Ciò implica tenere d'occhio eventuali anomalie che potrebbero indicare una violazione o un attacco utilizzando sistemi, applicazioni e reti di sicurezza.

#1. Valutazione, identificazione e mitigazione delle minacce in tempo reale

L'analista SOC lavora a stretto contatto con il proprio team per determinare cosa è andato storto nel sistema e come risolverlo dopo che è stata rilevata una minaccia.

#2. Risposta agli incidenti e indagini

Prima di informare le forze dell'ordine, se necessario, l'analista SOC collaborerà con il resto del team per condurre ulteriori ricerche sull'incidente.

Dopo aver esaminato a fondo ogni incidente, riporteranno anche eventuali nuove informazioni apprese sulle attuali minacce informatiche o vulnerabilità della rete per, se possibile, prevenire incidenti futuri implementando immediatamente gli aggiornamenti. 

#3. Lavora in collaborazione con altri membri del team per mettere in pratica procedure, soluzioni e best practice di sicurezza

Affinché l'azienda continui a operare in modo sicuro e protetto, gli analisti SOC collaborano con altri membri del team per assicurarsi che siano in atto i protocolli appropriati. Ciò include la messa in atto di nuovi sistemi e, se necessario, l'aggiornamento di quelli già esistenti.

#4. Tieniti aggiornato con le più recenti minacce alla sicurezza

Gli analisti SOC devono rimanere aggiornati sulle minacce informatiche più recenti alla sicurezza della loro organizzazione, sia imparando nuove truffe di phishing sia tenendo traccia di quali malintenzionati stanno attualmente impiegando strumenti di hacking. Queste informazioni consentono loro di agire rapidamente su eventuali problemi potenziali prima che causino problemi alla tua azienda.

Stipendio dell'analista del centro operativo di sicurezza

Gli esperti di sicurezza assicurano che i membri del personale ricevano la formazione necessaria e seguano tutte le norme e i regolamenti aziendali.

Questi analisti della sicurezza collaborano con il team IT interno dell'organizzazione e gli amministratori aziendali per discutere e documentare i problemi di sicurezza come parte delle loro mansioni. Gli analisti della sicurezza negli Stati Uniti guadagnano in media $ 88,570 all'anno. (Risorsa: Glassdoor).

Posizione, azienda, esperienza, istruzione e titolo di lavoro sono solo alcune delle variabili che possono influenzare il potenziale di guadagno.

Competenze degli analisti SOC 

Sebbene possano esserci cambiamenti nelle tendenze informatiche, un analista SOC deve ancora avere molte delle stesse competenze. Assicurati che gli analisti SOC abbiano queste capacità se vuoi ottenere il massimo da ciò che possono offrire alla tua azienda.

• Abilità di programmazione
• Informatica forense
• Hacking etico
• Reverse engineering
• Gestione del rischio
• Problem-solving
• Pensiero critico 
• Comunicazione efficace 

Struttura del centro operativo di sicurezza

Il framework SOC, che è delineato dall'architettura generale, dettaglia i componenti del SOC e le loro interazioni. È essenziale istituire un quadro di Security Operations Center costruito su un sistema per il monitoraggio e la registrazione degli incidenti.

Un framework SOC è l'architettura complessiva che descrive in dettaglio i componenti che forniscono funzionalità SOC e il modo in cui interagiscono tra loro. Per dirla in altro modo, un framework SOC dovrebbe essere costruito su un sistema di monitoraggio che tenga traccia e registri gli eventi di sicurezza.

Principi fondamentali di un framework SOC

#1. Monitoraggio

 L'attività di monitoraggio è il servizio più fondamentale che può offrire un framework di un centro operativo di sicurezza funzionale. Naturalmente, lo scopo di tale monitoraggio è quello di accertare se una violazione si è verificata o è in corso. Tuttavia, gli esperti di sicurezza informatica devono essere consapevoli della situazione per esprimere tale giudizio. Gli strumenti SIEM, l'analisi delle minacce comportamentali e i broker di sicurezza dell'accesso al cloud sono alcuni esempi di strumenti e tecnologie automatizzati che possono aiutare nel monitoraggio. Sebbene non sempre, questi strumenti possono utilizzare tecnologie di intelligenza artificiale e machine learning.

#2. Analisi

L'analisi dovrebbe essere il prossimo servizio offerto da un SOC. Lo scopo dell'analisi è determinare se si è verificata una vulnerabilità o una violazione basata sull'attività aziendale. Gli analisti SOC esaminano gli allarmi e gli avvisi inviati dal sistema di monitoraggio come parte della funzione di esame per vedere se corrispondono a schemi di attacco o exploit di vulnerabilità visti in precedenza.

#3. Risposta agli incidenti e contenimento

Il prossimo servizio fornito dal framework del centro operativo di sicurezza è una risposta agli incidenti; il modo in cui ciò viene fatto dipende dal tipo, dall'ambito e dalla gravità dell'incidente, nonché dal fatto che il SOC sia interno o se l'azienda abbia un contratto con un provider SOC in outsourcing che richiede assistenza oltre alla notifica di avviso.

#4. Controllo e registrazione

Come accennato, il SOC ha un ruolo essenziale, ma spesso trascurato, da svolgere nella registrazione e nell'auditing: confermare la conformità e registrare la risposta agli incidenti di sicurezza che possono essere utilizzati come parte di un'analisi post mortem. Molti strumenti SOC contengono un'incredibile quantità di documentazione con data e ora che gli esperti di conformità e gli analisti della sicurezza informatica potrebbero trovare utili.

#5. Caccia alle minacce

Gli analisti SOC hanno ancora altri compiti da completare anche quando i sistemi funzionano normalmente, il che significa che non ci sono incidenti gravi nell'ambiente. Esaminano i servizi di intelligence sulle minacce per monitorare e valutare le minacce esterne e, se sono terze parti con più client, scansionano e analizzano i dati cross-client per identificare i modelli di attacco e vulnerabilità. I fornitori di SOC, interni o esterni, possono stare un passo avanti rispetto agli aggressori ricercando attivamente le minacce. Possono anche adottare misure preventive se si verifica un attacco.

Infine, una struttura del centro operativo di sicurezza ben progettata dovrebbe essere in grado di gestire molto di più del semplice monitoraggio di allarmi e avvisi. Il SOC può aiutare a contenere gli incidenti se è impostato e gestito correttamente. Inoltre, può offrire informazioni inestimabili sugli incidenti post mortem e offrire sicurezza preventiva. 

Framework SOC comuni

#1. NIST

Il National Institute of Standards and Technology (NIST) degli Stati Uniti pubblica il framework di sicurezza informatica NIST, che offre standard e linee guida per la gestione del ciclo di vita delle minacce per assistere le organizzazioni nello sviluppo di piani di sicurezza e nell'ottimizzazione degli indicatori chiave di prestazione. Di seguito sono riportate le cinque best practice consigliate dal NIST:

• identifica
• Proteggere
• Individuare
• Rispondere
• Recuperare

#2. MITRE ATT&CK

Adversarial Tactics, Techniques, and Common Knowledge è l'abbreviazione di questa frase. Questo framework, sviluppato da Mitre Corporation e pubblicato nel 2013, è incentrato sull'analisi del comportamento avversario per sviluppare risposte e nuove strategie difensive. Aiuta con l'intelligence sulle minacce, il rilevamento e l'analisi delle minacce, il red teaming e l'emulazione degli avversari, nonché l'ingegneria e la valutazione.   

#3. Catena di morte cibernetica

Questa struttura, creata da Lockheed Martin, si basa sull'idea militare di organizzare un attacco in risposta alle tattiche e ai punti deboli del tuo avversario. La kill chain funge da archetipo di base basando le sue azioni su quelle di un tipico attore di minaccia. Cyber ​​Kill Chain è una strategia a fasi che include i seguenti passaggi:

• Ricognizione
• Intrusione
• Sfruttamento
• Aumento dei privilegi
• Movimento laterale
• Offuscazione
• Denial of Service
• exfiltration

#4. Catena di morte unificata

Per offrire un metodo più completo per comprendere l'avversario e classificare i rischi, questo framework combina i framework MITRE ATT&CK e Cyber ​​Kill Chain. Sfrutta i punti di forza di ogni framework per aiutare a colmare le lacune comuni. Aggiungendo 18 fasi aggiuntive, questo framework estende la catena di attacco.

Cosa fa un centro operativo per la sicurezza?

La capacità di un'organizzazione di identificare le minacce, rispondere ad esse e prevenire ulteriori danni è migliorata da un centro operativo di sicurezza, che unifica e coordina tutte le tecnologie e le operazioni di sicurezza informatica.

Cosa sono un NOC e un SOC? 

Mentre i Security Operations Center (SOC) sono incaricati di proteggere l'azienda dalle minacce online, i Network Operations Center (NOC) sono incaricati di mantenere l'infrastruttura tecnica del sistema informatico di un'azienda.

Le prestazioni di rete efficaci sono mantenute da un centro operativo di rete (NOC) e le minacce e gli attacchi informatici vengono identificati, esaminati e gestiti da un centro operativo di sicurezza (SOC).

Qual è la differenza tra un SOC e un SIEM? 

La distinzione principale tra SIEM e SOC è che il primo raccoglie dati da varie fonti e li correla, mentre il secondo raccoglie dati da varie fonti e li invia a un SIEM. 

Cosa significa NOC nella sicurezza?

I centri operativi di rete (NOC) sono luoghi centralizzati in cui i sistemi di computer, telecomunicazioni o reti satellitari vengono monitorati e gestiti XNUMX ore su XNUMX, tutti i giorni della settimana. In caso di guasti alla rete, funge da prima linea di difesa.

Quali sono i tre tipi di SOC? 

• SOC co-gestito
• SOC virtuale
• SOC dedicato

Cosa sono i TopSOC? 

• Reti del lupo artico
• Rete Palo Alto
• Netsurione
• IBM
• CISCO

Conclusione 

Un centro operativo di sicurezza, o SOC, è importante perché le aziende stanno ponendo maggiore enfasi sulla sicurezza informatica. L'entità principale incaricata di difendersi dalle minacce informatiche alla tua azienda è il tuo SOC. Riunendo tutte le operazioni e le tecnologie di sicurezza informatica sotto lo stesso tetto, un centro operativo di sicurezza migliora la capacità di un'organizzazione di rilevamento, risposta e prevenzione delle minacce.

Articoli Correlati

1. GESTIONE DEGLI INCIDENTI: guida al processo e best practice
2. INTELLIGENZA DELLE MINACCE CYBER: significato, strumenti, analista e stipendio
3. GESTIONE DEL RISCHIO DI SICUREZZA INFORMATICA: Framework, Piano e Servizi
4. Call Center Descrizione del lavoro: guida completa (
5. CALL CENTER: Significato, Servizi, Software & Formazione

Riferimenti 

• cybersecurityforme.com
• IBM
• CompTIA