Giacomo Lanzi
Il SOCaaS e’ utile per la tua azienda?
Tempo di lettura: 6 min
Nell’articolo di oggi, spiegheremo cos’e’ un Security Operations Center (SOC) e aiuteremo a determinare se una soluzione SOC-as-a-Service (SOCaaS) sia adatta alla vostra azienda. Solo perché dovete gestire la sicurezza informatica, non significa che la vostra azienda si debba occupare di sicurezza informatica. Di fatto il vostro core business potrebbe essere praticamente qualsiasi altra cosa.
Una gestione corretta della sicurezza informatica, pero’, e’ indispensabile per consentire alla vostra azienda di crescere e di ottenere le certificazioni al trattamento dei dati richieste per legge. Avere le giuste competenze in materia di sicurezza informatica disponibili al momento giusto e’ fondamentale per il vostro successo, ma non avete idea di quando sara’ quel momento.
Scegliere la tecnologia, le persone e i processi giusti per costruire una moderna sezione operativa di sicurezza e’ una delle sfide piu’ grandi per i responsabili della sicurezza informatica.
Cos’e’ un SOCaaS e cosa puo’ fare per te
Prima di capire quali siano le sfide per la gestione, e’ bene capire cosa sia un SOC. Esso svolge le seguenti funzioni:
Pianifica, configura e mantiene l’infrastruttura di sicurezza.
Con un SOC e’ possibile configurare lo stack tecnologico (endpoint, applicazioni SaaS, infrastruttura cloud, rete, etc.) per identificare l’attivita’ rilevante ed eliminare i dati non necessari. Monitorare le fonti di dati per garantire che l’ecosistema sia sempre connesso.
Rilevare e rispondere
Inoltre, e’ possibile monitorare l’attivita’ di allarme in arrivo. Indagare sugli allarmi per determinare se si tratta di un vero problema di sicurezza o di un falso allarme. Se qualcosa e’ una reale minaccia alla sicurezza, si puo’ valutare l’ampiezza della situazione ed eseguire azioni di risposta.
Caccia alle minacce
Si puo’ esaminare l’attivita’ di un certo evento per determinare se ci fossero dei segni di compromissione che possono aver eluso i controlli automatici. Lo scenario piu’ comune e’ quello di rivedere la cronologia di un indirizzo IP o di un file che e’ stato determinato essere dannoso.
Stoccaggio dei log file
Altra possibilita’ e’ raccogliere e archiviare in modo sicuro i log file, per un periodo fino a sette anni, per la conformita’ alle norme. Il team dovra’ fornire questi dati critici per un’analisi forense nel caso si verifichi una situazione di sicurezza.
Misurare gli indicatori di performance
Ovviamente e’ possibile monitorare le KPI (indicatori di performance). Nel dettaglio e’ possibile misurare e riportare le KPI per dimostrare al team esecutivo come stia funzionando il SOC.
Le sfide per implementare un proprio SOC
Trovare, formare e conservare i professionisti della sicurezza informatica e’ costoso
Le abilita’ necessarie per gestire le mansioni di sicurezza informatica sono molto richieste. Sfortunatamente, la carenza e’ destinata a peggiorare prima di migliorare. Secondo l’International Certification Organization (ISC), il numero di posizioni non occupate in tutto il mondo era di oltre 4 milioni di professionisti nel 2019, rispetto ai quasi tre milioni dell’anno precedente.
La formazione di personale con un ampio background IT nelle competenze di sicurezza informatica e’ un’opzione, ma mantenere queste persone e’ costoso. La loro sostituzione, quando eventualmente vengono assunte altrove, da’ inizio a un ciclo che di solito finisce per essere piu’ costoso del previsto, soprattutto rispetto al SOCaaS.
Inoltre, le persone che lavorano bene in questo settore di solito vogliono esplorare nuovi argomenti e affrontare nuove sfide. Dovrete trovare altri progetti o ruoli correlati per far ruotare il personale del SOC per tenerli impegnati. Questo aiuta anche a costruire le loro competenze, in modo che siano pronti a rispondere e ad agire prontamente quando necessario.
La sicurezza informatica e’ uno sport di squadra
E’ importante avere un insieme di competenze diverse e un team che lavori bene come squadra. Le minacce alla sicurezza si evolvono rapidamente, indagini e risposte adeguate richiedono persone che comprendano gli endpoint, le reti, le applicazioni cloud e altro ancora. Spesso si finisce per essere un manager SOC, un amministratore di sistema e un cacciatore di minacce, a seconda della giornata e da cio’ che accade nel proprio ambiente.
Questo significa che avrete bisogno di un team che impari in continuazione, in modo da avere le giuste competenze quando ne avrete bisogno. Le persone che vanno bene in questo settore prosperano in un ambiente di squadra in cui possono imparare e sfidarsi a vicenda. Per questo, avete bisogno di un workflow che riunisca regolarmente diversi analisti SOC.
Pensatela in questo modo: non mettereste sul campo una squadra di calcio che non si e’ allenata insieme. La vostra squadra SOC si scontra con un avversario che gioca di squadra ogni giorno. Per avere successo, avete bisogno di professionisti che abbiano molta esperienza di gioco per costruire le loro capacita’ sia nella posizione singola che come squadra.
Una squadra di analisti SOC che non faccia un allenamento regolare non sara’ pronta quando verra’ colpita da un avversario ben allenato. E’ difficile ottenere questa esperienza in una piccola organizzazione.
Un SOCaaS e’ la risposta immediata a questa esigenza. La squadra che si occupera’ della vostra sicurezza IT e’ allenata e stimolata ogni giorno da sfide sempre nuove, dovendo avere a che fare con infrastrutture diverse quotidianamente.
La copertura 24/7 e’ una necessita’
Lasciare che un avversario sia libero di lanciare esche per ore, giorni o settimane rende infinitamente piu’ difficile contenere e rimuovere le minacce. L’avversario sa di avere un tempo limitato per fare piu’ danni possibili, come nel caso del ransomware, o per mettere in secondo piano le porte, come nel caso dell’estrusione dei dati.
Avrete le migliori possibilita’ di recupero se potrete indagare e rispondere in pochi minuti. Una soluzione che fornisca una copertura 24×7 e’ quindi fondamentale.
Nella sicurezza informatica non esistono “orari di lavoro” per un motivo in particolare: un attacco potrebbe arrivare da un punto qualunque del globo, di conseguenza non si puo’ fare affidamento a orari convenzionali. Questo e’ frutto della diffusione della rete come strumento di connessione mondiale, possiamo solo farci i conti in modo adeguato. Un SOCaaS solleva l’azienda che lo utilizza dal mantenere una divisione aperta 24/7.
Gestire i fornitori e integrare gli strumenti e’ piuttosto costoso
La sicurezza informatica e’ complessa e la tecnologia si evolve rapidamente. Ci saranno sempre piu’ tecnologie che devono lavorare insieme, il che richiede il mantenimento delle competenze per implementare, aggiornare e configurare ogni componente e formare il vostro personale sulle nuove versioni e caratteristiche. Se avete il vostro SOC, dovete gestire anche queste relazioni tra i fornitori, le licenze e l’attivita’ di formazione.
La linea di fondo e’ che la creazione delle capacita’ di cui avete bisogno richiede un sacco di compiti di basso livello e un esteso lavoro quotidiano. Per le organizzazioni in grado di sostenerlo, lo sforzo ha senso. Per la maggior parte delle organizzazioni, il compito e’ meglio lasciarlo a un partner in grado di fornire questo servizio, consentendo di ottenere tutti i vantaggi di un SOC di alto livello senza la spesa e la distrazione di costruirlo voi stessi.
Conclusioni
Se il budget non e’ un problema e si dispone di abbastanza personale che si concentri sulla costruzione e manutenzione di un SOC 24×7, allora puo’ avere senso seguire questa strada. Se siete vincolati su uno di questi due fronti, allora il SOCaaS sara’ l’approccio migliore.
In sintesi, il SOCaaS vi permette di:
1. Passare il tempo a gestire la sicurezza, non la tecnologia e i fornitori
2. Avere una spesa prevedibile. Nessuna richiesta di budget a sorpresa
3. Ottenere informazioni sulla sicurezza da altre organizzazioni
4. Gestire gli allarmi in modo piu’ efficiente e con risultati piu’ prevedibili
5. Essere agili e stare al passo con le esigenze IT della vostra organizzazione in continua evoluzione
6. Rimanere al passo con le innovazioni degli strumenti di sicurezza di oggi.
Se la tua azienda vuole saperne di piu’ sulle soluzioni SOCaaS di Secure Online Desktop, contattateci per una consulenza non vincolante. Vi illustreremo tutti i vantaggi e chiariremo ogni dubbio riguardo a questa soluzione.
Link utili:
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Secure Online Desktop 10 anni dopo: il nostro anniversario aziendale
- Advanced persistent threat (APT): cosa sono e come difendersi
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile
- Esempi di phishing: le ultime campagne menzionate dal CSIRT
- Event Overload? Il nostro SOCaaS può aiutare!
- Schemi di business email compromise (BEC)
- XDR come approccio alla sicurezza
- Cos’è la threat intelligence?
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (8)
- Ethical Phishing (5)
- SOCaaS (17)
- Vulnerabilita' (82)
- Web Hosting (15)
Tags
CSIRT
- Risolte vulnerabilità in Apple iOS 12
(AL01/210616/CSIRT-ITA) Giugno 16, 2021Apple ha rilasciato aggiornamenti di sicurezza per sanare 3 vulnerabilità di iOS 12, di cui due 0-day.
- Aggiornamenti per prodotti SonicWall
(AL01/210615/CSIRT-ITA) Giugno 15, 2021Gli aggiornamenti di sicurezza per il sistema operativo SonicOS sanano una vulnerabilità con gravità “alta”.
- La Settimana Cibernetica del 13 giugno 2021 Giugno 14, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 07 al 13 giugno 2021.
- Rilasciate le chiavi di decrittazione del ransomware Avaddon
(AL01/210612/CSIRT-ITA) Giugno 12, 2021L’11 giugno sono state inviate a una nota testata del settore tecnologico le chiavi per decifrare i dati crittografati dal ransomware Avaddon.
- Risolte vulnerabilità di switch e NAS QNAP
(AL03/210611/CSIRT-ITA) Giugno 11, 2021Le vulnerabilità potrebbero permettere a un attaccante di compromettere la sicurezza del software.
- Palo Alto Networks rilascia aggiornamenti per Cortex XDR
(AL02/210611/CSIRT-ITA) Giugno 11, 2021Gli aggiornamenti di sicurezza per l’agent Cortex XDR sanano una vulnerabilità con gravità “alta”.
- CryptBot diffuso tramite siti di phishing
(AL01/210611/CSIRT-ITA) Giugno 11, 2021I siti distribuirebbero software o utility apparentemente legittimi, ma modificati con codice malevolo.
- Rilevate vulnerabilità critiche in SAP
(AL03/210610/CSIRT-ITA) Giugno 10, 2021Disponibili aggiornamenti di sicurezza per prodotti SAP che sanano diverse vulnerabilità, di cui 2 con gravità “critica”.
- Nuova versione di Google Chrome
(AL02/210610/CSIRT-ITA) Giugno 10, 2021Google ha rilasciato una nuova versione del browser Chrome per sanare 14 vulnerabilità, di cui una con gravità “critica”.
- Aggiornamenti Citrix risolvono 3 vulnerabilità
(AL01/210610/CSIRT-ITA) Giugno 10, 2021Gli aggiornamenti rilasciati da Citrix risolvono 3 vulnerabilità che interessano i prodotti Citrix SD-WAN WANOP, Citrix Cloud Connector e Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway (NetScaler Gateway).
Dark Reading:
- Don't Get Stymied by Security Indecision Giugno 16, 2021You might be increasing cyber-risk by not actively working to reduce it.
- Thousands of VMware vCenter Servers Remain Open to Attack Over the Internet Giugno 15, 2021Three weeks after company disclosed two critical vulnerabilities in the workload management utility, many organizations have not patched the technology yet, security vendor says.
- Microsoft Disrupts Large-Scale BEC Campaign Across Web Services Giugno 15, 2021Attackers had used the cloud-based infrastructure to target mailboxes and add forwarding rules to learn about financial transactions.
- Security Experts Scrutinize Apple, Amazon IoT Networks Giugno 15, 2021Both companies have done their due diligence in creating connected-device networks, but the pervasiveness of the devices worries some security researchers.
- Andariel Group Targets South Korean Entities in New Campaign Giugno 15, 2021Andariel, designated as a sub-group of the Lazarus Group APT, has historically targeted South Korean organzations.
- Deloitte Buys Terbium Labs to Expand Threat Intel Capabilities Giugno 15, 2021Terbium Labs' products and services will become part of Deloitte's Detect & Respond lineup, the company confirms.
- What Industrial Control System Vulnerabilities Can Teach Us About Protecting the Supply Chain Giugno 15, 2021Older technologies used in industrial and critical infrastructure leave the sector highly vulnerable to attack, but organizations can take steps to better protect themselves.
- How President Biden Can Better Defend the US From Russian Hacks Giugno 15, 2021Wilson Center cybersecurity expert Meg King pinpoints five ambitious steps the administration should take, including a comprehensive national data breach notification protocol.
- How Does the Government Buy Its Cybersecurity? Giugno 15, 2021The federal government is emphasizing cybersecurity regulation, education, and defense strategies this year.
- VPN Attacks Surged in First Quarter Giugno 14, 2021But volume of malware, botnet, and other exploit activity declined because of the Emotet botnet takedown.
Full Disclosure
- Backdoor.Win32.Zombam.gen / Information Disclosure Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/ff6516c881dee555b0cd253408b64404_D.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.gen Vulnerability: Information Disclosure Description: Zombam malware listens on TCP port 80 and deploys an unsecured HTML Web UI for basic remote administration capability. Third-party attackers who can reach an infected...
- Backdoor.Win32.VB.pld / Unauthenticated Remote Command Execution Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 4000. Third-party attackers who can reach infected systems can connect to port 4000 and run commands made available […]
- Backdoor.Win32.VB.pld / Insecure Transit Giugno 15, 2021Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Insecure Transit Description: The malware listens on TCP port 4000 and has a chat feature "Hnadle-X Pro V1.0 Text Chat". Messages are passed in unencrypted plaintext across the network. […]
- popo2, kernel/tun driver bufferoverflow. Giugno 15, 2021Posted by KJ Jung on Jun 15Linux kernel 5.4 version. latest. __tun_chr_ioctl function of ~/drivers/net/tun.c has a stack buffer overflow vulnerability. it get's arg, ifreq_len, and copy the arg(argp) to ifr(ifreq struct) and this steps are no bounds-checking. if cmd == TUNSETIFF or TUNSETQUEUE or and so on condition then it's enter copy_from_user function area.
- Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 ## Impact on Business Due to a missing authorization check in SAP Solution Manager LM-SERVICE component a remote authenticated attacker could be able to execute privileged actions in the […]
- Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication ## Impact on Business A malicious unauthenticated user could abuse the lack of authentication check on SAP Java P2P cluster communication, in order to connect to the respective TCP […]
- Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE ## Impact on Business By abusing a Code Injection in SAP MII, an authenticated user with SAP XMII Developer privileges could execute code (including OS commands) on the server. […]
- Onapsis Security Advisory 2021-0011 Missing authorization check in SolMan End-User Experience Monitoring Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0011: Missing authorization check in SolMan End-User Experience Monitoring ## Impact on Business Any authenticated user of the Solution Manager is able to craft/upload and execute EEM scripts on the SMDAgents affecting its Integrity, Confidentiality and Availability. ## Advisory Information - Public Release […]
- Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring ## Impact on Business The End-User Experience Monitoring (EEM) application, part of the SAP Solution Manager, is vulnerable to path traversal. As a consequence, an unauthorized attacker would be able to read sensitive […]
- Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager Giugno 14, 2021Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager ## Impact on Business Unauthenticated attackers can bypass the authentication if the default passwords for Admin and Guest have not been changed by the administrator. This may impact the confidentiality of the service. ## Advisory […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Ten years ago, on June 16, 2011, Secure Online Desktop was born. Many things have changed in ten years and we have… https://t.co/DN23n6BK7q
-
SecureOnlineDesktop
Dieci anni fa, il 16 giugno del 2011, nasceva Secure Online Desktop. Sono cambiate moltissime cose in dieci anni e… https://t.co/H7TPlWJ5Pk
-
SecureOnlineDesktop
Estimated reading time: 8 minutes The term shoulder surfing might conjure up images of a little surfer on his… https://t.co/3poUTq9MUc
-
SecureOnlineDesktop
Estimated reading time: 5 minutes I ricercatori della sicurezza hanno appena digerito il protocollo HTTP/2, ma gl… https://t.co/XsFsgBTpia
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Security researchers have just digested the HTTP / 2 protocol, but web innova… https://t.co/FBPWe1pBx5
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Secure Online Desktop 10 anni dopo: il nostro anniversario aziendale Giugno 16, 2021
- Advanced persistent threat (APT): cosa sono e come difendersi Maggio 19, 2021
- Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile Maggio 17, 2021
- Esempi di phishing: le ultime campagne menzionate dal CSIRT Maggio 10, 2021
- Event Overload? Il nostro SOCaaS può aiutare! Maggio 3, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications