Per costruire il miglior SOC serve pensiero strategico

05/03/2024

Quindi il tuo team di sicurezza è pronto a potenziare il suo centro operativo di sicurezza, o SOC, per soddisfare meglio le esigenze di sicurezza della tua organizzazione. Questa è una grande notizia. Ma ci sono alcune domande strategiche molto importanti che devono essere risolte se vuoi costruire il SOC più efficace possibile e evitare alcuni dei problemi più comuni che possono incontrare i team di qualsiasi dimensione.

Il rapporto SOC Model Guide di Gartner® è un’eccellente risorsa per capire come porre le domande giuste riguardo alle tue esigenze di sicurezza e cosa fare una volta che queste domande sono state risolte.

Domanda 1: Qual è il modello giusto per te?

Ci sono diversi modi per costruire un SOC efficace. E mentre alcuni sono più complicati (forse anche proibitivamente) di altri, sapere quali sono le tue esigenze e risorse fin dall’inizio ti aiuterà a prendere questa decisione iniziale cruciale.

Gartner lo spiega così:

“Un modello SOC definisce una strategia per la variazione nell’uso di team interni e fornitori di servizi esterni durante l’esecuzione di un SOC. Garantisce che tutti i ruoli necessari per far funzionare un SOC siano assegnati a coloro che sono più adatti a svolgere le responsabilità associate. Un modello SOC efficace consente ai leader di SRM di allocare risorse basate sulle priorità aziendali, sulle competenze disponibili e sul budget…”

Ci sono fondamentalmente tre modi per costruire un SOC: interno, esterno e ibrido. Il rapporto dice così:

Optare per un SOC ibrido è un modo per aiutare a sviluppare le capacità, gestendo al contempo la scala e i costi. Un SOC ibrido è uno in cui più di un team, sia interni che esterni, svolge un ruolo nelle attività necessarie per il corretto funzionamento del SOC. La questione di quali team, ruoli, mansioni e attività è meglio mantenere in casa o esternalizzare è complessa. Costruire un modello SOC ti aiuta a rispondere e garantire che un SOC ibrido sia ben bilanciato.”

Domanda 2: Chi fa cosa?

Supponiamo che la tua organizzazione stia optando per un approccio ibrido. La prossima domanda che dovrai farti è quali ruoli esternalizzare e quali mantenere in azienda? Comprendere le esigenze della tua azienda e stabilire se i partner interni o esterni siano la migliore soluzione può richiedere un serio esame di coscienza da parte tua.

Fortunatamente, Gartner ha alcune raccomandazioni. Dal rapporto:

Gartner afferma “Alcune attività SOC sono strategiche, come quelle svolte dai ruoli di investigatore senior, responsabile della risposta agli incidenti e tester del red team. Sono spesso meglio eseguite da personale interno che comprende le esigenze del business e le problematiche di sicurezza. Altre attività SOC sono tattiche, come la creazione di contenuti di rilevamento per attacchi comuni. Sono generalmente meglio eseguite da un team esterno più ampio, che può farlo in modo più efficiente, su una scala più ampia e per periodi più lunghi.”

Domanda 3: Come mantenere tutto in movimento?

Una volta scelto il modello SOC e formato il team, è importante monitorare e reagire ai modi in cui i partner interni ed esterni lavorano insieme. Supponiamo di aver seguito le raccomandazioni di Gartner e di aver esternalizzato le esigenze tattiche e alcune competenze altamente specifiche, mantenendo i pensatori strategici in azienda; allora è necessario avere un modo per far sì che i team lavorino insieme in modo dinamico come l’ambiente che cercano di proteggere.

Gartner offre questo consiglio:

“Avere chiare demarcazioni tra gestori degli obiettivi, ma assicurarsi che ci sia consapevolezza condivisa. Una sfida con i modelli ibridi che utilizzano fornitori o team diversi per gestire gli obiettivi è che può essere difficile instillare una mentalità orientata ai risultati. Un fornitore esterno o un team interno spesso ha una “visione a tunnel” – concentrandosi solo sul proprio obiettivo individuale – e perde di vista l’immagine completa delle prestazioni del SOC. Devi assicurarti che ogni fornitore o team sia consapevole del suo impatto sugli obiettivi adiacenti, non solo sul proprio.”

Il fatto che i diversi team abbiano obiettivi relativamente diversi non significa che dovrebbero operare in silos. Garantire che i membri del team interni ed esterni siano in grado di vedere l’immagine completa e comprendere le capacità e i limiti degli altri membri del team è un componente critico per costruire un SOC che funzioni bene oggi e cresca insieme.

Costruire un SOC da zero non è impresa facile e diventa ancora più difficile senza un serio pensiero strategico e un esame di coscienza prima di formare il team. Comprendi le tue esigenze uniche, le esigenze generali di un team SOC, quali sono le tue risorse e le aspettative della tua organizzazione prima di costruire il tuo team di professionisti della sicurezza di alto livello.

Per saperne di più sui modelli SOC, consulta la guida sui modelli SOC di Gartner.

Articolo originale

Consulta la Guida sui modelli SOC di Gartner.

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...