Il SOC è riconosciuto come un elemento di difesa fondamentale, ma, come sottolineato da Palo Alto, è necessario tenersi al passo con la tecnologia per proteggersi. Il Security Operation Center è l’elemento chiave della cybersecurity, ma per quelle aziende che già da anni dispongono di un SOC la domanda è: come possono ottenere un valore ancora superiore e migliorare i ritorni sull’investimento?
Generalmente il SOC risponde a tre livelli di minaccia. Il più semplice è rappresentato dalle minacce conosciute, come malware, worm e virus in circolazione da anni, che possono essere gestite facilmente grazie a patch già testate e utilizzate sul campo. Seguono i malware più complessi e gli attacchi zero-day, sempre più frequenti. Anche a questi, il SOC può porre rimedio senza particolari difficoltà, applicando best practice riconosciute. Ci sono poi le minacce più sofisticate, come gli attacchi mirati, in cui un determinato gruppo di criminali, a volte addirittura protetto e promosso da uno stato sovrano, è pronto a coordinare pazientemente per settimane o mesi. un attacco rivolto a un’organizzazione specifica. In questi casi, il SOC diventa protagonista.
Secondo Palo Alto Network, sono quattro i passaggi da intraprendere per far evolvere il proprio SOC e trasformarlo in un security operation center di nuova generazione:
1. Automatizzare le attività ripetitive di neutralizzazione delle minacce di basso livello.
2. Integrare i dati da un sistema di difesa, come firewall e software di protezione degli end-point, per fornire al SOC una panoramica sulle minacce.
3. Automatizzare i passaggi semplici del manuale SOC.
4. Grazie all’automazione, gli analisti di sicurezza potranno focalizzarsi sulle attività chiave di ricerca delle minacce e gestione degli attacchi mirati.
In questo modo, i responsabili aziendali avrebbero la tranquillità di poter contare su uno strumento di sicurezza davvero avanzato, capace non solo di proteggere dalle minacce note, ma anche di affrontare nel modo migliore quelle ancora inedite, e gli attacchi mirati, che oggi rappresentano sicuramente un pericolo ancor più significativo.
Haider Pasha, chief security officer for emerging markets di Palo Alto Networks
Nei SOC tradizionali gli analisti impiegano troppo tempo nella gestione delle minacce conosciute e ne dedicano troppo poco alla ricerca di nuovi codici e alla difesa dagli attacchi targettizzati. Affidare le attività ripetitive a tecnologie di automazione smart permette agli analisti del SOC di dedicarsi a mansioni più produttive e legate all’approfondimento delle competenze sulla sicurezza IT.