Il Security Operation Center (SOC) è una struttura organizzativa che centralizza la gestione e il monitoraggio della sicurezza dell’IT al fine di rilevare, analizzare e rispondere in modo tempestivo ed efficace alle minacce esterne ed eventi di sicurezza, mitigandone gli impatti. È dunque un asset strategico per la protezione del patrimonio informativo e dei sistemi aziendali.
Nel tentativo di proteggere il business e i propri dati, negli ultimi anni la maggior parte delle organizzazioni ha investito molto in strumenti di sicurezza. Con l’allargamento della superficie d’attacco, è cresciuta infatti la necessità di monitorare sistemi e infrastrutture IT, sia on premises sia in cloud, scatenando una valanga di alert di sicurezza su base giornaliera.
Tuttavia, per gran parte delle aziende – soprattutto se di medie o piccole dimensioni – è difficile se non impossibile indagare e analizzare ogni avviso. Molte, infatti, non dispongono di personale specializzato in cybersecurity per costruire, mantenere e gestire un Security Operation Center (SOC).
Proprio per questa ragione, sta crescendo il numero delle imprese che prendono in considerazione la possibilità di esternalizzare le attività tipiche di un SOC, pur mantenendo la responsabilità delle strategie e la governance della sicurezza. Lo strumento più efficace per farlo è affidarsi a un outsourced SOC o SOC as a Service, un modello di sicurezza che viene attivato e gestito da un provider di servizi gestiti esterno all’azienda, appunto sotto forma di “servizio” e con una formula ad abbonamento.
Fig. 1 – Secondo le stime, Il mercato globale dei SOC as a Service (che fanno parte dei Managed Security Services) crescerà da 6,7 miliardi di dollari nel 2023 a 11.4 miliardi entro il 2028, con un CAGR dell’11,2%. Diversi sono i fattori che guidano questa crescita: la complessità dei rischi informatici, la rapida evoluzione tecnologica e l’adozione di paradigmi come il BYOD (Bring Your Own Device) CYOD (Choose Your Own Device) e il lavoro da remoto (Fonte: Markets&Markets).
Il SOC as a Service permette all’azienda di affidare la propria sicurezza a un team di analisti esperti, capaci di identificare ogni segnale di compromissione, analizzare ogni alert e rispondere agli attacchi per ridurne al minimo l’impatto.
Perché affidarsi a un SOC esterno
Scegliere un servizio SOC significa fare affidamento su una piattaforma digitale che si occupa di monitorare in modo costante le infrastrutture e le reti aziendali, evidenziando ai responsabili della sicurezza interni all’azienda eventuali criticità. Oltre che sulle capacità di rilevamento e risposta alle minacce, l’organizzazione può contare su un’assistenza costante per ottimizzare le capacità di protezione proprie dell’azienda, attraverso una valutazione e un reporting continui delle strategie e delle policy di sicurezza implementate.
Attivo 24 ore su 24, il SOC as a Service offre alle organizzazioni un modo semplice ed efficace per sfruttare i vantaggi di un SOC dedicato o aggiuntivo rispetto a quello interno, senza la difficoltà di ricercare e assumere personale con le competenze necessarie. Anche i tempi di risposta si riducono: avendo piena visibilità sulle infrastrutture del cliente, i responsabili del servizio SOC esterno segnalano solo gli alert di sicurezza più importanti e che richiedono un intervento immediato, facendo risparmiare all’azienda tempo e risorse che possono essere dedicate ad attività a maggior valore aggiunto.
Non solo i costi associati al personale, ma anche quelli relativi ad attrezzature, licenze, hardware e software sono ridotti, proprio perché condivisi da più clienti. Affidarsi a un servizio SOC esterno permette infatti alle aziende di sfruttare le capacità e l’esperienza degli analisti, nonché l’infrastruttura del fornitore di servizi a costo ridotto, rendendo le operazioni di sicurezza più accessibili anche alle organizzazioni con budget limitati.
L’evoluzione del SOC in un centro di competenza
Negli ultimi anni, d’altronde, anche il ruolo del SOC è cambiato. Da semplice centro di monitoraggio incentrato sulle soluzioni di Security Information and Event Management (SIEM), il servizio SOC si è evoluto in un centro di competenza in materia di cybersecurity che fa capo a una pluralità di risorse, tecnologie e processi per rendere efficienti i servizi, accorciare i tempi di risoluzione delle anomalie e ridurre gli incidenti di sicurezza.
I moderni Cybersecurity Competence Center fondano la propria efficacia su due elementi imprescindibili:
- l’automazione dei processi di cyber security (SOAR),
- l’integrazione delle soluzioni.
La prima è oggi fondamentale per tenere il passo con le attuali minacce informatiche. Le tempistiche di completamento di un attacco si stanno infatti riducendo: si calcola che nel 2023 per entrare e bucare i sistemi di un’azienda (breakout time) i criminali informatici abbiano impiegato in media appena 79 minuti, contro gli 84 minuti del 2022 (Fonte: CrowdStrike, Threat Hunting Report). Riuscire a fermare l’avanzata di un attacco in un lasso di tempo così ridotto è possibile solo facendo affidamento su sistemi automatizzati e dotati di intelligenza artificiale, che affianchino gli analisti potenziandone e velocizzandone le capacità.
Per ridurre i tempi e ottenere maggiore efficienza operativa è utile, inoltre, affidarsi a partner competenti non solo per gli aspetti di cybersecurity, ma anche sul cloud e sull’intero panorama delle operazioni IT. Una gestione integrata delle operation, che vada oltre il mero coordinamento tra i team, permette infatti di ottenere una governance completa dei sistemi critici, mettendo l’azienda in condizione di reagire tempestivamente di fronte a ogni possibile minaccia, qualunque sia la fonte.
Come scegliere il servizio SOC
Scegliere un servizio SOC può rappresentare, dunque, un vantaggio strategico significativo per l’azienda, a patto di trovare la soluzione ottimale per la propria organizzazione. Non tutti i provider infatti offrono gli stessi servizi e le stesse possibilità. Per questo è fondamentale valutare bene le opzioni in campo, scegliendo una soluzione che offra scalabilità, flessibilità ed efficacia dei risultati.
Un buon servizio SOC deve, infatti, offrire una base di servizi che possa essere estesa e personalizzata, aumentando le capacità di monitoraggio e rilevamento al crescere dell’azienda. Il SOC viene configurato e manutenuto dal partner che lo gestisce e che si assume tutti gli oneri di migliorare e ampliare il servizio offerto. Il provider di servizi di sicurezza gestita deve, inoltre, garantire l’efficacia dei risultati raggiunti secondo metriche chiare e comprensibili al cliente.
È quello che assicura WIIT, con l’offerta del proprio Cybersecurity Competence Center (C3) che garantisce:
- automazione dei processi,
- integrazione verticale,
- elevata competenza degli analisti del C3.
Le capacità di automazione del servizio permettono agli operatori di concentrarsi solo sulle attività a più alto valore aggiunto, mentre operazioni di monitoraggio e analisi di base sono affidate a tecnologie evolute in grado di dialogare tra loro e di interagire in modo automatizzato con gli analisti di sicurezza.
Automazione e integrazione: l’approccio di WIIT
Il servizio SOC offerto da WIIT opera su due livelli: smart per le PMI e premium per il mondo enterprise.
- Il primo è un’offerta flessibile, focalizzata sulla necessità delle piccole e medie imprese di sfruttare un vero e proprio SOC on demand erogato dai data center proprietari di WIIT, monitorando in modo semplice e immediato anomalie e incidenti che si verificano sulle infrastrutture IT.
- Il secondo è pensato per le organizzazioni di grandi dimensioni e offre la possibilità di affiancare all’analisi dei flussi informativi anche le funzionalità di strumenti di threat intelligence, per ricavare insight sui maggiori vettori d’attacco e sui principali indicatori di compromissione.
Grazie a una proposta completa, che affianca i servizi di cyber security a servizi di Data Center & Cloud Operations, WIIT garantisce una piena integrazione verticale tra i team di cybersecurity, cloud e IT, garantendo un servizio completo e basato sulle migliori tecnologie presenti sul mercato. L’offerta WIIT nel campo della cybersecurity tiene conto, inoltre, dell’affidabilità e dell’adeguatezza delle soluzioni anche in funzione dei rischi derivanti dall’evoluzione degli scenari mondiali, così da assicurare ai nostri clienti non solo una maggiore efficienza economica e operativa, ma anche la garanzia di una gestione attenta e costante dei sistemi critici e ad alta affidabilità.