Tale scenario, di per sé già complesso, è reso ancora più sfidante da numerosi fattori:
- Spesso i ruoli e le responsabilità dei diversi dipartimenti non sono sempre ben definiti e ciò può portare ad avere o diverse funzioni che operano sulla stessa tematica o, peggio ancora, nessuno che prenda in consegna un particolare soggetto
- Obiettivi non sempre chiari e alcune volte contrastanti
- Budget limitati e distribuiti tra diversi gruppi di lavoro
- Modalità per valutare l’efficacia di una particolare iniziativa non chiare o difficilmente misurabili
- Processi non strutturati che non permettono un grado di automatizzazione sufficiente per fare un salto di qualità
- Tecnologie non adeguate o che non assicurano una copertura adeguata
Ma a quale scenario dobbiamo puntare al fine di rendere fluida, efficiente ed efficace l’interazione tra persone, processi e tecnologie e fare in modo che le tre dimensioni possano crescere e maturare secondo il modello discusso nel nostro precedente articolo?
Sicuramente abbiamo bisogno di essere coadiuvati da strumenti focalizzati a orchestrare e gestire il nostro SOC in modo efficace ed efficiente, far sì che le persone giuste siano al posto e al momento giusto, con ruoli e responsabilità bene definiti, fornendo loro le informazioni necessarie a supportare efficacemente il nostro programma, con la possibilità di far leva su processi ben definiti, automatizzando qualora possibile la loro implementazione, facendo in modo che vengano utilizzate tecnologie sempre adeguate.
Nello specifico, all’interno del nostro modello di SOC a cui vorremmo puntare, l’orchestrazione di tutti questi elementi gioca un ruolo fondamentale. Gli strumenti a disposizione del SOC dovranno pertanto:
- Fornire ai diversi ruoli che interagiscono all’interno del SOC (tipicamente gli analisti con i diversi ruoli, il team di coordinamento e tutte le entità cross funzionali) informazioni utili per supportare i rispettivi ruoli e modalità per misurare costantemente le prestazioni proprie e dei propri team al fine di gestire efficacemente il programma del SOC.
- Permettere di modellare semplicemente i processi tipici che troviamo all’interno di un SOC quali ad esempio la gestione degli incidenti, la valutazione di potenziali compromissioni e del rischio associato agli eventi gestiti dal SOC e dalla piattaforma. Il tutto realizzato attraverso contenuti predefiniti, workflow ad-hoc e modalità di interazione specifiche a seconda del ruolo con cui vi si interagisce
Per implementare il modello di SOC descritto in precedenza, RSA fa leva su un approccio tecnologico modulare introducendo componenti differenti con funzioni specifiche ma allo stesso tempo perfettamente integrati tra loro. Tali componenti assicurano una visibilità a 360 gradi grazie alla capacità di collezionare, gestire ed analizzare eventi di sicurezza differenti quali ad esempio log da dispositivi di rete, server e postazioni di lavoro e il traffico di rete che attraversa l’organizzazione.
La soluzione fornisce inoltre strumenti di analisi sui Big Data, ossia la capacità non solo di gestire e collezionare enormi moli di dati ma anche di estrarre da essi del valore, delle informazioni utili a prendere decisioni in modo più veloce ed efficace. Nella stessa direzione va l’integrazione dinamica con il contesto IT e di business che introduce all’interno del componente tecnologico informazioni sugli asset a supporto delle decisione degli analisti.
Da un punto di vista architetturale, l’implementazione del SOC avanzato basato su tecnologia RSA prevede:
- Una componente di orchestrazione e gestione del SOC, chiamata RSA Security Operations Management
- Una componente di raccolta dei dati, che fornisce visibilità su log e traffico di rete e che mette a disposizione strumenti di analisi avanzati chiamata RSA Security Analytics
- Una componente che estende la visibilità agli endpoint, utile sia per compiere analisi forensi che per identificare minacce avanzate chiamata ECAT
- Un servizio di Intelligence che distribuisce contenuti costantemente aggiornati ai diversi componenti chiamato RSA Live
Davide Veneziano – RSA Security Analytics Pre Sales Consultant
Francesco Gelo – RSA Pre Sales Consultant
Nessun commento:
Posta un commento