Affidarsi ad un SOC per aumentare le difese contro gli attacchi informatici moderni

Che cos’è un Security Operation Center (SOC) e perché sempre più aziende si affidano ai MSP per la propria sicurezza informatica? In questo articolo scopriremo cos’è un SOC, quali sono i suoi componenti chiave, le sue capacità, e soprattutto i vantaggi per le aziende di adottare un SOC-as-a-Service. La conoscenza di tutti questi aspetti è una risorsa preziosa per gli IT Manager di aziende di medie dimensioni e per le PMI che desiderano portare le migliori tecnologie all’interno della propria infrastruttura.

In questo articolo

Il Security Operation Center (SOC) è un hub centralizzato che monitora, rileva e risponde agli incidenti di sicurezza informatica in tempo reale 24×7. Possiamo paragonarlo al sistema nervoso centrale, declinato in ambito cybersecurity, che aggregando e analizzando i dati provenienti da varie fonti riesce a identificare attività sospette o malevole. L’obiettivo principale di un SOC è quello di garantire che le minacce vengano gestite nel minor tempo possibile per minimizzare gli eventuali danni e mantenere la business continuity.

Un SOC è generalmente equipaggiato con tecnologie avanzate come SIEM (Security Information and Event Management), e sistemi tecnologici di rilevamento e correlazione delle minacce. Secondo un report di Gartner, il mercato dei SIEM è in crescita costante e ha raggiunto un valore di svariati miliardi di dollari negli ultimi anni, a conferma dell’importanza di questi strumenti in ambito sicurezza aziendale.

Spesso i termini SOC, CERT (Computer Emergency Response Team) e CSIRT (Computer Security Incident Response Team) sono usati in modo intercambiabile, ma ci sono differenze significative:

• SOC: opera come nodo centrale, effettua un monitoraggio continuo 24×7 e si concentra sul rilevamento e gestione delle minacce
• CERT: solitamente viene coinvolto nella risposta a incidenti di sicurezza di dimensioni medio-grandi e offre supporto tecnico
• CSIRT: simile al CERT ma spesso focalizzato sul coordinamento della risposta agli incidenti e sulla mitigazione delle minacce

Un team SOC è composto da diversi specialisti:

• Cybersecurity analist: monitorano i sistemi e identificano le minacce
• Incident responder: gestiscono e rispondono agli incidenti di sicurezza
• Threat hunters: cercano in modo proattivo segnali di potenziali minacce
• Cybersecurity engineer: sviluppano e implementano misure di sicurezza
• SOC manager: supervisionano le operazioni del SOC, e coordinano tra i vari ruoli e tengono i rapporti con i clienti

Grazie alla sinergia di questi team, viene garantita una protezione completa contro le minacce informatiche. Secondo una ricerca di Ponemon Institute, le aziende che si affidano ad un SOC ben strutturato riducono del 50% il tempo medio per rilevare e rispondere agli incidenti di sicurezza.

La sicurezza informatica gestita (Managed Security Services – MSS) implica l’outsourcing a un fornitore di servizi specializzato, definito Managed Security Service Provider (MSSP). Un approccio di questo tipo consente alle aziende di accedere alle migliori competenze degli esperti di cybersecurity, potendo contare su tecnologie avanzate senza dover investire pesantemente in risorse interne.

Un MSSP è un fornitore di servizi che gestisce e monitora la sicurezza informatica delle aziende clienti, offrendo una vasta gamma di servizi progettati per proteggere le infrastrutture IT dalle minacce, tra cui:

• Monitoraggio continuo: i MSSP monitorano costantemente i sistemi del cliente per rilevare e rispondere alle minacce in tempo reale. Utilizzano strumenti avanzati come SIEM (Security Information and Event Management) per raccogliere e analizzare i log di sistema, gli eventi di sicurezza e altri dati rilevanti
• Gestione delle minacce: i MSSP gestiscono le minacce identificando, analizzando e rispondendo agli incidenti di sicurezza. Utilizzano tecnologie come IDS (Intrusion Detection Systems) e IPS (Intrusion Prevention Systems) per rilevare e bloccare attività malevole. Un MSSP di qualità implementa strategie di Threat Intelligence, raccogliendo informazioni da diverse fonti per prevenire attacchi futuri
• Risposta agli incidenti: in caso di incident di sicurezza, i MSSP forniscono una risposta rapida e coordinata per mitigare i danni e ripristinare la normale operatività. Scendendo negli aspetti più operativi, si occupano ad esempio della rimozione dei malware, della chiusura delle vulnerabilità e della comunicazione con le parti interessate
• Threat Intelligence: i MSSP utilizzano informazioni sulle minacce per prevenire attacchi futuri. Raccogliendo dati da varie fonti, possono identificare nuove minacce e adottare misure preventive. Questa attività è fondamentale per mantenere le difese aggiornate contro le ultime tecniche di attacco
• Compliance e conformità normativa: i MSSP aiutano le aziende a rispettare le principali normative di sicurezza, come il GDPR, la ISO 27001, e altri regolamenti di settore. Offrono servizi di audit e consulenza per garantire che le pratiche di sicurezza siano allineate agli standard richiesti
• Vulnerability Management: i MSSP conducono vulnerability assessment e penetration test periodici per identificare e risolvere le debolezze all’interno dell’infrastruttura del cliente, prima che possano essere sfruttate dagli attaccanti. Un aspetto da non sottovalutare per prevenire attacchi basati, ad esempio, su vulnerabilità note e zero-day

Affidarsi a un MSSP offre numerosi vantaggi, tra cui:

• Accesso alle migliori competenze sul mercato: gli MSSP dispongono di team di esperti altamente qualificati che quotidianamente operano sul tema cybersecurity in uno scenario su scala mondiale. Questo consente alle aziende di beneficiare di competenze molto difficili da raggiungere internamente.
• Tecnologie avanzate: gli MSSP utilizzano tecnologie all’avanguardia per monitorare, rilevare e rispondere alle minacce. L’uso di intelligenza artificiale e machine learning introdotto negli ultimi anni, sta notevolmente migliorando l’efficacia delle attività e i tempi di risposta agli attacchi.
• Riduzione dei costi: esternalizzare la sicurezza informatica a un MSSP può rivelarsi decisamente più economico rispetto alla costruzione e gestione di un SOC interno. Le aziende possono evitare costi significativi associati all’acquisto di hardware e software, alla formazione del personale e alla manutenzione continua.
• Scalabilità e flessibilità: gli MSSP possono adattare i loro servizi alle esigenze specifiche dell’azienda, offrendo soluzioni scalabili direttamente proporzionali alla crescita dell’impresa. Un approccio di questo tipo si rivela particolarmente utile per startup e PMI tecnologiche che operano in settori dove lo sviluppo è molto rapido.

Durante il periodo estivo, quando il personale IT interno è spesso ridotto a causa delle ferie, affidarsi a un MSSP diventa ancora più vantaggioso. Secondo quanto riportato da diversi studi di settore durante i mesi estivi gli attacchi informatici aumentano del 35% rispetto ad altri periodi dell’anno, rendendo ancora più importante mantenere alte le difese. Un SOC fornisce monitoraggio e protezione 24/7, garantendo che la sicurezza aziendale non venga compromessa a causa della mancanza di risorse interne.

L’estate del 2023 ha visto un significativo aumento degli attacchi, influenzato da diversi fattori tra cui conflitti geopolitici, l’adozione crescente del lavoro da remoto e l’espansione della superficie di attacco a causa dell’aumento dei dispositivi connessi.

Secondo alcune ricerche di settore, tra le tipologie di attacco più comuni ci sono state:

• Ransomware: gli attacchi ransomware sono tra i più frequenti e devastanti a livello globale. Nel 2023, c’è stato un notevole aumento dei ransomware (95% in più rispetto all’anno precedente), con particolare enfasi sulla crittografia e sull’estorsione di dati.
• Malware-free attacks: un aspetto preoccupante emerso nel 2023 è l’aumento degli attacchi “malware-free”, che rappresentano il 71% del totale. Questi attacchi sfruttano strumenti e funzionalità già presenti nei sistemi delle vittime, rendendo più difficile il rilevamento da parte delle soluzioni di sicurezza tradizionali.
• Cloud Exploitation: con l’espansione delle infrastrutture cloud, gli attacchi mirati a queste piattaforme sono aumentati del 48%. Le vulnerabilità nei servizi cloud sono state sfruttate dai criminali informatici per accedere a dati sensibili e interrompere i servizi aziendali.
• Phishing e social engineering: il phishing rimane una delle tecniche di attacco più comuni. I criminali informatici hanno perfezionato le loro tecniche, rendendo gli attacchi più sofisticati e difficili da rilevare. L’utilizzo dell’AI per simulare comunicazioni legittime ha aumentato l’efficacia di questi attacchi.

Numerose fonti (tra cui CLUSIT, Sicurezza Magazine e Bitmat) riportano che i settori più colpiti durante il periodo estivo risultano i medesimi rispetto al resto dell’anno, per diverse ragioni connaturate ai loro business. Tra i principali citiamo:

• Sanità: il settore sanitario è uno dei più bersagliati, con un aumento significativo degli attacchi, in particolare ransomware e malware. I dati sensibili dei pazienti e la necessità di accesso costante alle informazioni mediche rendono questo settore un obiettivo privilegiato. Se nel 2022, gli attacchi nel settore sanitario sono aumentati del 74%, la tendenza è proseguita anche nel 2023.
• Finanziario: il settore finanziario è un altro settore fortemente colpito, soprattutto durante l’estate. Gli attacchi mirano a rubare dati finanziari e personali, con tecniche di phishing e ransomware che risultano particolarmente efficaci. Nel 2023, il numero di attacchi verso le organizzazioni finanziarie è cresciuto significativamente, superando i livelli dell’anno precedente.
• Istruzione: le istituzioni didattiche sono spesso prese di mira durante l’estate, quando le scuole e le università sono chiuse o operano con personale ridotto, con attacchi ransomware e violazioni dei dati sempre più comuni, a causa degli hacker che cercano di accedere a informazioni personali e finanziarie sia degli studenti che del personale.
• Pubblica amministrazione: il settore della pubblica amministrazione, che comprende sia gli enti governativi che le amministrazioni locali, subisce numerosi attacchi, spesso mirati a interrompere i servizi pubblici o a ottenere informazioni sensibili. Nel 2023, i tentativi degli hacker destinati a questo comparto in Italia sono stati particolarmente elevati, con una percentuale del 23% sul totale.
• Manifattura: il settore manifatturiero è un altro obiettivo frequente, con attacchi mirati ad interrompere la produzione o a rubare proprietà intellettuali. Nel primo semestre del 2023, il settore manifatturiero in Italia ha rappresentato il 34% degli incident globali.
• Telecomunicazioni: il settore delle telecomunicazioni ha visto nel 2023 un aumento del 78% rispetto agli anni precedenti, rendendolo uno dei settori più colpiti. Gli attacchi mirano spesso a interrompere i servizi di comunicazione o a ottenere accesso ai dati trasmessi attraverso le reti.

Vuoi scoprire tutti i vantaggi di affidarti ad un MSSP?

Il report “The State of Cybersecurity 2023” di Sophos, basato su un sondaggio condotto su 3.000 professionisti della cybersecurity in 14 paesi, rivela che il 66% delle organizzazioni intervistate è stato colpito da attacchi ransomware nell’ultimo anno. Il ransomware rimane una delle minacce più gravi e persistenti, con un tasso di crittografia dei dati che ha raggiunto il 76%, il livello più alto degli ultimi quattro anni.

E durante i mesi estivi? In estate la vulnerabilità delle aziende aumenta a causa della riduzione del personale IT, rendendo questo periodo particolarmente critico per la sicurezza informatica.

Sophos evidenzia inoltre come il modello di cybercrime-as-a-service stia maturando, con mercati paralleli che offrono strumenti e servizi professionali di attacco, come il ransomware-as-a-service. Una “commercializzazione” del cybercrime che abbassa la soglia d’ingresso per i criminali informatici, aumentando frequenza e sofisticazione degli attacchi. Le tecniche evolvono rapidamente, con l’uso di strumenti avanzati come Cobalt Strike e Brute Ratel, originariamente destinati ai professionisti della sicurezza, ora comunemente utilizzati nei cyberattacchi.

Il report “Unit 42 Incident Response Report” di Palo Alto Networks evidenzia come il phishing e le vulnerabilità software costituiscano il 77% delle cause iniziali di intrusione. Durante i mesi estivi, quando le aziende operano con personale ridotto, gli attacchi diventano ancora più frequenti, sfruttando le vulnerabilità non mitigate e una minor vigilanza, soprattutto in settori critici come finanza, sanità e manifatturiero.

Nelle ricerche effettuate da Palo Alto Networks viene sottolineata l’importanza dell’intelligenza artificiale (AI) e del machine learning (ML) per migliorare l’operatività dei Security Operations Center (SOC). L’uso di modelli di AI può automatizzare molteplici aspetti della sicurezza, riducendo il tempo medio di risposta agli incidenti e migliorando l’efficacia delle difese contro minacce avanzate come gli zero-day exploit e gli attacchi ransomware. L’adozione di tecnologie come l’Extended Detection and Response (XDR) e il Security Orchestration, Automation and Response (SOAR) è essenziale per affrontare le crescenti complessità del panorama delle minacce e avere un business continuity plan ben definito e testato può fare la differenza tra una ripresa immediata e un periodo di inattività prolungato.

L’evoluzione moderna ed efficace di un SOC passa attraverso l’automazione, sfruttando AI e machine learning come fondamenti tecnologici. Questo permette ai team specializzati di concentrarsi sugli incidenti ad alto rischio: così come i veicoli a guida autonoma non richiedono più un controllo diretto e costante da parte del conducente, un SOC guidato dall’automazione può gestire la maggior parte degli alert ripetitivi e a basso rischio, eseguendo task e mitigazioni.
Gli analisti cyber possono così dedicarsi agli incident urgenti e ad alto impatto, mentre la piattaforma automatizzata guida il SOC verso risultati sicuri, apprendendo da ogni evento valutato e fornendo raccomandazioni efficaci ai responsabili del SOC.

BeeCyber è la nostra Business Unit specializzata in servizi di sicurezza informatica che supporta le aziende nell’identificare e classificare il livello di rischio. Le aiuta nel processo di mitigazione continuativa, identificando il giusto punto di equilibrio tra investimento tecnologico e approccio consulenziale rispondendo alle reali esigenze di business.

Una mail al mese sui temi più caldi della cybersecurity. Join us!

Compila il form per iscriverti alle nostre Cybernews