Blog WatchGuard

SOC moderni e servizi MDR: i diversi ruoli all’interno di un SOC moderno

I moderni SOC sono centri operativi per la sicurezza altamente specializzati il cui obiettivo è rilevare gli aggressori che sono riusciti ad accedere ai dispositivi o alla rete di un'organizzazione. Le operazioni presso i SOC sono coordinate da un team di esperti di sicurezza informatica costruito attorno ad ambienti complessi a cui sono assegnati ruoli diversi. Questi professionisti eseguono una sequenza di processi specifici, supportati da strumenti in grado di elaborare un grande volume di dati in tempo reale per rilevare, analizzare e rispondere agli attacchi il più rapidamente possibile.

I 6 ruoli principali in un SOC moderno

I criminali informatici sono sempre attivi tutti i giorni dell'anno. Si nascondono nel sistema, pronti ad attaccare non appena le organizzazioni abbassano la guardia sulla sicurezza. Ciò significa che i SOC, e più specificamente quelli di oggi, devono essere operativi 24 ore al giorno, 365 giorni all'anno, sempre allo stesso livello e garantire che la copertura fornita dai loro team e ruoli sia sufficiente per tenere sotto controllo le attività dannose. I ruoli chiave delle persone che lavorano in un SOC moderno includono:

  • Analista della sicurezza: i livelli sono tre per gli analisti della sicurezza, con responsabilità diverse assegnate a ciascun livello.

Gli analisti di Livello 1 hanno il compito di monitorare e classificare in modo proattivo gli alert, nonché di rilevare anomalie o indicatori di attacco e quindi identificare la causa principale e consigliare la correzione. Gli analisti di Livello 1 filtrano gli alert falsi positivi distinguendoli dagli incidenti reali, quindi l'efficienza è fondamentale. Sono anche responsabili della configurazione degli strumenti di sicurezza e monitoraggio.

Gli analisti di Livello 2 sono definiti investigatori e lavorano a stretto contatto con il team di risposta. Hanno il compito di indagare sull'incidente di sicurezza e stabilire cosa è successo, quali sistemi sono interessati, quali tecniche sono state utilizzate, quando e perché. Quindi devono collaborare con il team di risposta per sviluppare misure di contrasto e correzione per prevenire attacchi simili in futuro. Gli analisti di Livello 2 esaminano le eventuali debolezze riscontrate nelle misure preventive di un'organizzazione per rafforzarne la resilienza.

Infine, gli analisti di Livello 3 sono considerati gli esperti del team del SOC. Assistono il Livello 2 ogni volta che incidenti complessi richiedono nuove analisi dei dati comportamentali e security intelligence.

  • Addetto alla ricerca delle minacce: l'approccio adottato dagli addetti alla ricerca delle minacce si basa sulla conoscenza professionale delle tecniche e dei comportamenti chiave degli aggressori più che sulle tecnologie di rilevamento. Il loro compito è individuare minacce sconosciute e sofisticate che sono riuscite a eludere i controlli esistenti.  Cercando di identificarle e rispondere rapidamente, valutano la sicurezza dell'organizzazione da un punto di vista proattivo, in modo da ridurre il tempo di permanenza di una minaccia.
  • Il team di risposta: ha il compito di sviluppare e implementare strategie di contenimento, mitigazione ed eradicazione. A volte, la risposta viene eseguita da un terzo team, la funzione IT o la sicurezza interne all'azienda, guidate dal team di risposta che identifica quali azioni sono necessarie per garantire una risposta efficace al 100% per sradicare la presenza dell'aggressore in tutti i sistemi interessati.
  • SOC Manager: responsabile della guida del team con compiti di gestione e operativi anziché compiti tecnici specifici. Questo ruolo svolge responsabilità gestionali quali stesura del budget, definizione delle strategie, gestione dei membri del SOC, coordinamento delle operazioni, raggiungimento degli obiettivi stabiliti dal management aziendale, acquisto di soluzioni e strumenti per il SOC, revisione dei report sugli incidenti e generazione di report sulle attività del SOC da presentare al management aziendale e ai Central Information Security Officer (CISO) del cliente.
  • Team dell’architettura: responsabile della creazione e del mantenimento dell'architettura dell'infrastruttura e delle applicazioni del SOC tramite test e valutazioni, consiglia inoltre strumenti appropriati per i processi complessi del SOC. In stretta collaborazione con gli altri team ed esperti, consiglia, valuta, sviluppa e testa nuovi strumenti e processi per migliorare l'efficienza nel rilevare minacce sofisticate, è più veloce nel triage e nelle indagini e più agile nel fornire una risposta coordinata e multi-dominio. Ciò garantisce che l’aggressore non riesca a nascondersi e non possa attaccare di nuovo una volta che il team di risposta ha deciso di sradicare la minaccia dall'organizzazione. A volte ha anche il compito di garantire la conformità alla sicurezza, il che comporta documentazione, adesione e aggiornamento costante delle prassi di sicurezza a fronte di quadri di riferimento interni e settoriali.

Definizione delle attività per prestazioni ottimali

Come accennato in precedenza, un moderno team SOC dovrebbe avere una struttura organizzativa che contribuisca a implementare processi di lavoro ottimizzati e un buon training, in cui ogni membro del team conosce il proprio ruolo, in modo che gli aggressori in agguato all'interno della rete possano essere rilevati e affrontati il prima possibile.

Quando si realizza un moderno SOC efficiente, il team, i processi e gli strumenti tecnologici implementati sono fattori chiave; tutte le informazioni necessarie per avviare il processo di modernizzazione di un team operativo di sicurezza sono disponibili nell'e-book SOC moderni e servizi MDR: che cosa sono, perché sono importanti.

Se desideri saperne di più sui moderni centri operativi per la sicurezza, non perderti la nostra serie di articoli: