Nelle organizzazioni che si sono dotate di queste strutture, tipicamente SOC e CERT nascono con ruoli e finalità differenti: i SOC maggiormente rivolti all’operatività nel contrasto alle minacce, e i CERT alla ricerca e caratterizzazione delle stesse. Va però sottolineato che vi dovrebbero essere oggi notevoli sinergie tra le attività di un CERT e quelle di un SOC a beneficio di un’efficace presidio degli aspetti di sicurezza informatica di una specifica realtà aziendale.
In particolare, la loro integrazione può permettere di passare da una strategia “reattiva” alla costruzione di una vera e propria “readiness” in tema del contrasto delle minacce cyber. In questa intervista parleremo con Raoul Brenna, Responsabile della Practice “Information Security & Infrastructures” presso Cefriel, il centro di innovazione digitale auto-finanziato fondato dal Politecnico di Milano, delle possibili sinergie tra SOC e CERT per la sicurezza aziendale.
TIG. Qual è il ruolo che svolge oggi un Security Operations Centre (SOC)?
Raoul Brenna. Un SOC opera nella raccolta e analisi di informazioni provenienti “dal campo”, ossia per la gestione centrale di eventi ed elementi “atomici” (log, banalmente, o specifiche configurazioni la cui variazione è potenziale sintomo di “qualcosa in atto”). L’informazione viene aggregata in forma automatizzata fino ad un certo livello, utile a far scattare un numero “umanamente gestibile” di alert rispetto ad ipotetici attacchi di sicurezza informatica, o comunque ad anomalie legate al tema. Tra le attività continuative in capo al SOC avremo quindi:
- Log Management, la fase centrale di archiviazione e aggregazione nel cosiddetto SIEM (Security Information and Event Management system), che abilita ogni successiva attività di analisi e rilevamento di anomalie;
- Security Monitoring and Alerting, on top rispetto alla raccolta informativa di cui al punto precedente;
- Security Incident Management che esprime la finalità principale e si esplicita nel supporto operativo in caso di un incidente di sicurezza informatica.
Ad esse si affiancano oggi, in ottica di presidio esteso degli aspetti di cybersecurity, altre attività quali:
- Security operation management anche in modalità continuativa;
- Vulnerability assessment sul perimetro interno e/o esterno.
Servizi aggiuntivi (ma solitamente erogati su richiesta, ampliando il perimetro “tipico”) possono inoltre essere:
- Il Security assessment di servizi applicativi;
- La gestione di elementi collegati al sistema di sicurezza complessivo aziendale;
- La fornitura di “Security analytics” partendo dagli eventi del SIEM;
- Aspetti di “Threat intelligence”, anche se qui si inizia a intravedere il tema della sovrapposizione con il ruolo tipico di un CERT.
TIG. Invece, per quanto riguarda il CERT (Computer Emergency Response Team), quali sono le aree di azione ed intervento distintive?
Raoul Brenna. Nel corso degli anni i CERT, nati per la risposta immediata ad emergenze informatiche legate agli incidenti e agli attacchi di cybersecurity, hanno esteso le loro aree di azione e di intervento, trasformandosi da una pura forza di reazione a (in taluni casi) veri e propri security provider, in grado di erogare:
- Servizi preventivi (come gli alert su attacchi di sicurezza informatica)
- I “bollettini” (advisory) di sicurezza informatica
- Il training sul tema
- La gestione dei servizi di sicurezza per le realtà che vi si affidano (quindi in parziale sovrapposizione con le funzioni definite per i SOC).
Il principale vantaggio del CERT, per le organizzazioni che se ne dotano, è di essere molto specializzato nella gestione degli incidenti in senso esteso, e quindi di poter offrire numerosi servizi di valore:
- Un coordinamento centralizzato delle problematiche di sicurezza IT all’interno di un’organizzazione;
- La capacità di fornire una risposta centralizzata e specializzata ad eventuali incidenti;
- Le conoscenze per gestire gli aspetti legali (raccolta e conservazione della digital evidence);
- Il monitoraggio continuo degli sviluppi nel settore della sicurezza informatica;
- Lo stimolo continuo e la costruzione di awareness, all’interno del gruppo di soggetti che formano al costituency dell’ente, ma non solo
- In alcuni casi anche la capacità di supportare e assistere gli utenti nelle procedure di recovery dagli incidenti
- Infine, ma non ultimo, la possibilità, in seguito ad un “incidente tipo”, di studiarlo, modellizzarlo e renderne disponibili internamente e/o esternamente le caratteristiche distintive ed identificative.
Motivo per cui sono sempre di più le organizzazioni che se ne dotano, partendo dagli “early adopter” (settore governativo, militare, infrastrutture critiche) al settore accademico, finanziario, a grandi gruppi in diversi settori industriali, o aggregazioni di PMI.
TIG. E’ chiaro quindi che i punti di contatto tra SOC e CERT sono numerosi …
Raoul Brenna. Entrambe le realtà sono coinvolte in quella che è la fase più critica del presidio della sicurezza informatica in ambito aziendale (ma non solo): la gestione dell’incidente. Su questo serve quindi una sinergia, un operato congiunto. La collaborazione di SOC e CERT, se correttamente realizzata a livello tecnico/organizzativo, permette di ipotizzare il beneficio potenziale di una gestione degli eventi/incidenti di sicurezza informatica che:
- Permetta l’adozione di misure concrete e immediatamente applicabili, in quanto elaborate per essere attuate sui medesimi sistemi gestiti dalla componente SOC;
- Pervenga a soluzioni che risolvano il problema alla radice, o che quantomeno siano quanto di meglio si possa fare con le conoscenze del momento per adottare una soluzione definitiva, in quanto abilitate dalla conoscenza generalista detenuta dalla componente CERT.
TIG. Quale dovrebbe essere quindi la distribuzione ideale di competenze tra SOC e CERT?
Raoul Brenna. Appare opportuno ipotizzare una distribuzione di macro-competenze che, pur ad alto livello, da un lato riconosca e dall’altro abiliti le sinergie dette. In particolare:
- Nel SOC è opportuno che predominino le competenze tecnico-sistemistiche, non solo sulla specificità degli apparati legati all’information security, ma anche sugli aspetti di sicurezza attinenti alle tecnologie in uso nell’azienda, e sulle implicazioni tra necessità di modificarle e disponibilità dei sistemi.
- Nel CERT predominano competenze generali sulla sicurezza informatica sia in termini di fenomeni/motivazioni, che di analisi tecniche, che di processo/comunicazione.
Il fatto poi che almeno una delle due funzioni sia interna (o strettamente internalizzata), migliora l’efficacia nella risposta all’incidente, grazie alla maggiore focalizzazione e conoscenza specifica del contesto operativo.
INTERVISTA A:
RAOUL BRENNA,
Responsabile della Practice “Information Security & Infrastructures”
Cefriel, il centro di innovazione digitale auto-finanziato fondato dal Politecnico di Milano.
A cura di:
Elena Vaciago, The Innovation Group
Per approfondire: