SOC - Security Operation Center

Il SOC (Security Operation Center) è una struttura organizzativa centralizzata e gerarchica, un eco sistema molto complesso e fatto di strumenti, procedure e personale altamente qualificato.

Il ruolo principale del SOC è quello di vigilare sulla sicurezza di un’impresa, tramite l’identificazione, la gestione e la mitigazione di eventuali attacchi informatici, tentativi di frode, e in generale ogni situazione potenzialmente pericolosa.

Attualmente si parla di SOC di quinta generazione, riferendosi a strutture dotate di capacità di analisi predittive oltre che di monitoraggio e risposta, grazie principalmente a due tecnologie

  • SDL (Security Data Lake): Raccolta e arricchimento delle informazioni contenute nei log file;
  • SIEM (Security Information and Event Management): La enorme mole di dati costantemente acquisiti dai log file, viene analizzata da algoritmi per individuare preventivamente anomalie, minacce e/o attacchi informatici.

La struttura di un SOC è organizzata e incentrata per il costante miglioramento operativo e aggiornamento su nuove minacce e tecnologie per contrastarle. La sinergia tra tecnici esperti, applicazioni molto evolute ed intelligenza artificiale, permette di fermare sul nascere anche i tentativi di breach non convenzionali, migliorando le proprie difese, mitigando rischi e possibili danni, e ricalibrando costantemente le analisi in base ai dati raccolti in precedenza.

Cyber4_Sicurezza_Difensiva_right_1200x1000
Cyber4_Sicurezza_Difensiva_left_1200x1000

Attività di un SOC

Secondo quanto descritto, dunque, le principali attività del SOC si possono sintetizzare in:

  • Remote Monitoring – Monitoraggio proattivo delle reti, dei sistemi operative e degli applicativi in modalità real-time e con supporto multi-vendor ;
  • Service Desk – Single point of contact per eventuali problematiche riscontrate;
  • Incident Management – Rilevamento e risoluzione di incidenti in modalità real-time e proattiva;
  • Operational Management – Supporto remoto e/o locale ad attività di configurazione di rete e di sistema, rimodulazione capacitiva, change management;
  • Correlazione eventi;
  • Rilevamenti e prevenzione intrusioni;
  • Triage Malware.