Nel concetto moderno di cyber security, il SOC riveste un ruolo fondamentale per eseguire un monitoraggio evoluto di tutti gli aspetti legati alla sicurezza dei sistemi informatici. Il ruolo di primo piano della cyber security aziendale ha, infatti, portato a ridisegnare completamente la logica delle procedure e degli stessi strumenti utilizzati per proteggere i sistemi IT nelle imprese. Non più semplice “difesa” dei sistemi, ma un vero e proprio ecosistema che consenta di arrivare a quello che gli esperti di HWG indicano come monitoraggio evoluto. Ma di cosa si tratta e quali sono i suoi elementi fondanti?
SOC e vulnerability management per il monitoraggio evoluto
Il fulcro del concetto di monitoraggio evoluto per HWG è rappresentato dal suo Security Operation Center (SOC), composto da esperti di cyber security e dotato di strumenti di controllo che permettono di monitorare in remoto tutte le attività legate alle infrastrutture informatiche delle aziende. L’analisi viene effettuata attraverso sistemi SIEM (Security Information and Event Management) che consentono di registrare i log relativi a tutte le macchine collegate in rete e metterli in correlazione. Il ruolo del SOC, però, non si esaurisce in questo tipo di attività. Si articola, piuttosto in una copertura a 360 gradi di tutto quanto possa avere a che fare con la cyber security, interfacciandosi sia con i responsabili della sicurezza interni all’azienda, sia con gli amministratori dei sistemi IT. Accanto a una costante attività di vulnerability management, la funzione del SOC è quella di coordinare le operazioni per eliminare le falle di sicurezza presenti nei sistemi e contrastare qualsiasi attacco all’attività di business dell’azienda in senso più ampio.
Attenzione al monitoraggio del traffico di rete
Nel panorama attuale, in cui le aziende ricorrono con sempre maggiore frequenza all’utilizzo di strumenti forniti nella formula del Software as a Service (SaaS) attraverso piattaforme cloud, il controllo dei dispositivi non basta per garantire un livello di sicurezza adeguato. Buona parte delle infrastrutture è infatti esterna al perimetro aziendale e i tradizionali strumenti di controllo e protezione non permettono di coprire questa sorta di “area grigia” che, in realtà, fa riferimento a risorse aziendali spesso critiche. L’approccio di HWG prevede, in aggiunta alla analisi dei log, l’implementazione di un sistema di monitoraggio del traffico di rete che consente, analizzando le comunicazioni, di individuare tempestivamente eventuali anomalie ed estendere così a protezione anche a quegli assets che sono gestiti da partner e fornitori di servizi. In questa prospettiva, svolge un ruolo fondamentale l’attività di intelligence, che consente di individuare hash, domini, URL e indirizzi IP potenzialmente malevoli e utilizzare queste informazioni per mettere a fuoco i possibili indici di compromissione (IoC) di qualsiasi servizio. L’attività degli specialisti HWG, in questo senso, permette di adattare gli strumenti di protezione al momento contingente e garantire una difesa adeguata nei confronti delle nuove minacce.
Protezione infrastrutture ma anche brand e azienda
Il concetto di monitoraggio evoluto, soprattutto nella sua declinazione a livello di intelligence, non esaurisce la sua funzione nel controllo o protezione di dispositivi e sistemi informatici. Uno dei punti di forza dell’approccio che fa leva sul SOC HWG, e sulla disponibilità di un team di cyber security dedicato, è la prospettiva sistemica con cui viene intesa la sicurezza dell’azienda. In particolare, al controllo delle infrastrutture si affianca una più generica protezione del “digital footprint”, inteso sia come brand, sia come entità allargata alla sfera che comprende partner, fornitori, clienti e utenti finali. Il campo di azione degli analisti HWG comprende, infatti, attività che riverberano anche all’esterno dell’azienda e, in particolare, nella ricerca costante di informazioni riguardanti possibili data breach non individuati in precedenza, attività di credential stuffing e operazioni da parte dei cyber-criminali orientate, in maniera diretta o indiretta, a danneggiare l’attività dell’azienda, come nel caso di campagne di phishing dirette agli utenti finali o tentativi di frode che sfruttano il marchio dell’azienda anche attraverso forme di “inquinamento” dei social network.
