Il punto di vista di Cyber Academy
Un SOC è il team e l'insieme di strumenti che monitora, rileva, analizza e risponde agli eventi di sicurezza in tempo reale. Analisti su livelli (T1 rilevamento, T2 investigazione, T3 threat hunting), 8x5 o 24x7. Interno, esternalizzato (MSSP) o ibrido. Senza un SOC il SIEM è un archivio di log; con uno diventa un sistema di allerta precoce.
Cosa fa davvero un SOC
Un Security Operations Center è la funzione che trasforma la telemetria grezza in decisioni e azioni. La shortDefinition lo presenta come il team più il set di strumenti; in pratica, il valore risiede nel modello operativo che li collega. Il SIEM raccoglie e correla i log, l'EDR registra il comportamento degli endpoint e il SOAR esegue i playbook, ma nulla di tutto ciò produce sicurezza da solo. Il SOC è ciò che legge l'allerta alle 02:00, decide se si tratta di un falso positivo o del primo segno di un'intrusione, e aziona la leva giusta per contenerla.
Nel quotidiano, un SOC esegue quattro cicli: monitorare (osservare le console e i flussi), rilevare (confermare che un segnale sia reale), rispondere (contenere, eradicare, ripristinare) e migliorare (affinare le rilevazioni affinché lo stesso rumore non si ripresenti). L'ultimo ciclo è quello che i SOC immaturi saltano, ed è per questo che annegano nelle allerte. Un SOC sano si misura su risultati come il tempo medio di rilevamento e il tempo medio di risposta, non su quante allerte ha chiuso.
Livelli, organico e copertura
Il modello classico suddivide gli analisti in livelli. Il Tier 1 effettua il triage della coda di allerte e decide cosa merita un esame più approfondito. Il Tier 2 indaga sugli incidenti confermati, costruisce la cronologia e guida il contenimento. Il Tier 3 svolge una caccia alle minacce proattiva e sviluppa nuovi contenuti di rilevamento anziché attendere che scatti un'allerta. Intorno a loro si trovano ingegneri del rilevamento, addetti alla risposta agli incidenti e un responsabile del SOC che gestisce processo e metriche.
La copertura è una scelta deliberata con un costo reale. Un SOC 8x5 vigila durante l'orario lavorativo; un SOC 24x7 segue il sole oppure organizza turni notturni affinché un attaccante non possa contare su un fine settimana tranquillo. La risposta giusta dipende dalla vostra esposizione alle minacce, dai vostri obblighi normativi e da ciò che potete sostenere senza esaurire il team.
Costruire, esternalizzare o combinare
Esistono tre modelli di approvvigionamento, e la maggior parte delle organizzazioni finisce in una posizione intermedia.
| Modello | Chi lo gestisce | Adatto a |
|---|---|---|
| Interno | I vostri analisti e i vostri strumenti | Ambienti ad alta sensibilità che desiderano controllo e contesto completi |
| Esternalizzato (MSSP) | Un Managed Security Service Provider | Team che necessitano rapidamente di una copertura 24x7 senza assumere un organico completo |
| Ibrido | Responsabili interni più un MSSP o un MDR per le ore non lavorative | La maggior parte delle organizzazioni di medie dimensioni che bilanciano costo, copertura e controllo |
Esternalizzare la sorveglianza non esternalizza la responsabilità. Un MSSP può coprire il turno di notte, ma il vostro team resta titolare dell'inventario degli asset, delle decisioni di risposta che toccano il vostro business e del rapporto con il resto dell'IT. La modalità di fallimento più comune consiste nel trattare un MSSP come qualcosa da impostare e dimenticare, per poi scoprire durante un incidente che nessuno ha mappato i vostri sistemi più critici né concordato chi possa isolare un host.
Dove si colloca il SOC nella governance
Il SOC è una capacità operativa, ma non vive nel vuoto. Esegue la parte di rilevamento e risposta di framework come l'insieme delle funzioni del NIST Cybersecurity Framework (identificare, proteggere, rilevare, rispondere, ripristinare) e fornisce prove a supporto dei controlli ISO/IEC 27001 relativi a logging, monitoraggio e gestione degli incidenti. In base a normative come NIS2 e DORA, la capacità di rilevare e segnalare rapidamente gli incidenti non è più facoltativa, e il SOC è di solito il luogo in cui tale capacità viene resa operativa. Per i professionisti, ciò significa che un SOC è valutato non solo sul tasso tecnico di rilevamento, ma anche sulla sua capacità di produrre la cronologia, le prove e le notifiche che auditor e regolatori si aspettano.
Frequently asked questions
01Qual è la differenza tra un SOC e un SIEM?
Un SIEM è una piattaforma che aggrega e correla i log. Un SOC è il team e il processo che monitorano quella piattaforma e agiscono su ciò che vi trovano. Il SIEM è lo strumento; il SOC è ciò che lo rende utile.
02Ho bisogno di un SOC 24x7?
Non sempre. Gli attaccanti prediligono notti e fine settimana, quindi il 24x7 riduce il tempo di permanenza, ma è costoso da gestire internamente. Molte organizzazioni coprono internamente l'orario lavorativo e si affidano a un fornitore MSSP o MDR per le ore non lavorative.
03Cosa significano i livelli di un SOC?
Il Tier 1 effettua il triage delle allerte, il Tier 2 indaga e contiene gli incidenti confermati, e il Tier 3 caccia in modo proattivo e costruisce nuove rilevazioni. I livelli descrivono l'escalation e la profondità delle competenze, non necessariamente persone distinte in un team di piccole dimensioni.
04Un MSSP è la stessa cosa di un SOC?
Un MSSP è uno dei modi per erogare un SOC, esternalizzando monitoraggio e risposta a un fornitore. Potete anche costruire il SOC internamente o gestire un modello ibrido. In ogni caso, la responsabilità del vostro ambiente resta a voi.
05Quali metriche mostrano che un SOC funziona?
Il tempo medio di rilevamento e il tempo medio di risposta sono le metriche di risultato centrali, insieme alla copertura di rilevamento e al tasso di falsi positivi. Il volume di allerte da solo non dice nulla sull'efficacia.