Managed Security Services
Security Operations Center
L’organizzazione, i servizi ed i fattori da prendere in considerazione quando si deve
scegliere un provider di servizi.
Davide Del Vecchio
Responsabile SOC Enterprise di FASTWEB SpA
Agenda






Chi sono
Operare come MSSP
Perché scegliere un MSSP
Cos’è un SOC e com’è organizzato
Servizi erogati
Come scegliere il migliore MSSP
Come realizzare e gestire un SOC – Davide Del Vecchio
Chi sono
Oggi:
• Responsabile del SOC (MSS) di FASTWEB SpA.
• Autore freelance per WIRED Italia
• Socio fondatore del Centro Studi Hermes (http://logioshermes.org)
• Autore del blog http://socstartup.blogspot.com
• Socio CLUSIT (autore del rapporto Clusit 2013)
• Socio ISACA
• Certificato: CISM, ITILv3
• Relatore presso numerosi congressi nazionali ed internazionali
In passato:
• Consulente in ambito IT Security per 10 anni
• Ho partecipato allo startup di 2 SOC
• Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine
• Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante»
(pubblicazione di numerosi advisory, ricerche, tool)
Cos’è un SOC
Un Security Operations Center (SOC) è
un centro operativo da cui vengono erogati
servizi finalizzati alla Sicurezza dei Sistemi
informativi:
Un SOC può anche fornire servizi di Incident Response, in questo
caso svolge la funzione di C-SIRT
(Computer Security Incident Response Team)
Anche se le due funzioni sono logicamente e funzionalmente
assimilabili, alcune grandi aziende dispongono di strutture SOC e
C-SIRT separate.

Dedicato alla sicurezza interna
dell’azienda stessa (SOC Corporate /
Interno);

Dedicato all’erogazione dei servizi ai
Clienti (Managed Security Services MSS);
•
Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di
fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione,
nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza.
Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati
alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale.
•
Un provider di servizi in possesso di un SOC dedicato all’erogazione di servizi di sicurezza verso terzi
viene solitamente denominato MSSP (Managed Security Service Provider).
Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale.
Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e
tecnologie messe al servizio dei Clienti.
Operare come MSSP
Managed Security service Provider (MSSP) – Perché ? (1/2)
Managed Security service Provider (MSSP) – Perché ? (2/2)
I Servizi offerti da un MSSP
Security Solution Management
Vulnerability Management
Change
Incident
Security
Threat
Proactive
Management
Management
Monitoring
Management
Security
SOC MSSP - Managed Security Services
Security Device Management
Esigenza
Ottimizzare la gestione degli apparati di sicurezza affidandoli ad un MSSP
Il servizio
Gestione completa di apparati di sicurezza del Cliente (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.)
Perché un MSSP?
•
Conoscenza approfondita delle tecnologie
•
In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i
disservizi;
•
Modifiche in tempi stabiliti (SLA)
•
Nessuna configurazione improvvisata!
Azienda
Security Operation
Center
Secure
Connection
Service
Manager
Security
Analyst
Firewall / IDS / etc.
Product
Specialist
Distribuited Denial of Service Mitigation
Esigenza
Prevenire un attacco «Distribuited Denial of Service» (DDoS), ovvero quando più sistemi in maniera coordinata inondano la
larghezza di banda o le risorse di un sistema, al fine di ostacolare e bloccare le attività arrecando gravi perdite economiche
e d’immagine.
Il servizio
Consiste nella rilevazione dell’attacco DDoS e nell’attuazione di tutte le contromisure necessarie a limitarne l’impatto.
Perché un MSSP?
L’MSSP infrastrutturale che dispone cioè del controllo della connettività e delle piattaforme tecnologiche antiDDoS è
l’unico soggetto in grado di intervenire efficacemente con idonee azioni di mitigation in quanto può intervenire sia presso il
Cliente sia a livello di accesso alla rete
Azienda
Traffico lecito
Traffico illecito
Security Operation Center
Corporate Firewall
Anti-DDoS Technology
Early Warning
Esigenza
Prevenire, contenere o contrastare possibili incidenti di natura informatica tramite la consulenza di personale altamente
specializzato in grado di aggregare ed analizzare le tematiche di sicurezza che coinvolgono i Clienti.
Il servizio
Fornire costantemente all’azienda Cliente gli strumenti e le informazioni per decidere in modo consapevole sulle azioni da
intraprendere per garantire la sicurezza dei propri sistemi IT.
Perché un MSSP?
E’ effettivamente possibile individuare le sole minacce che possono avere un impatto reale sulla sicurezza filtrando i casi
non significativi e non afferenti alla realtà del Cliente.
Security Operation Center
Azienda A
C. Presentazione
(report, web-portal, etc.)
Azienda B
Security
Analyst
Azienda C
B. Elaborazione dati
(analisi e contestualizzazione)
A. Raccolta informazioni
(analisi di molteplici
fonti)
Log Management & Collection
Esigenza
Provvedimento del Garante della privacy 24 dic. 08
Il servizio
Raccogliere e conservare tutti i log del cliente, in particolare quelli di “accesso” in conformità alla normativa italiana.
Analizzare e correlare gli eventi per individuare comportamenti anomali ed eventuali tentativi di intrusione .
Perché un MSSP?
Supporto e consulenza nell’identificazione delle sorgenti di log
Tempi di implementazione ridotti ed utilizzo di piattaforma tecnologiche leader di mercato
Soluzioni Scalabili e Modulari che consentono di crescere facilmente seguendo le necessità del cliente
Il Provvedimento
Il Provvedimento del Garante della privacy pubblicato
nella GU il 24 dic. 08 obbliga tutte le aziende e la
pubblica amministrazione a conservare i “log” di tutti
gli accessi amministrativi” a dispositivi e applicazioni
che contengono “dati personali”.
Mobile Security
Esigenza
Gestire i dispositivi mobili e diminuire il livello di rischio di tali dispositivi (BYOD)
Il servizio
Una piattaforma di Mobile Device Management (MDM) in modalità SaaS
Perché un MSSP?
Provare la soluzione in maniera graduale
Scalabilità
Vantaggi classici di un servizio rispetto alla gestione dell’hardware
Professional Services – Security Assessment
Il servizio
Offrire ai Clienti consulenza professionale specializzata attraverso attività di Security Assessment che simulino il comportamente di un
malintenzionato.
Esigenza
Ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT.
Perché un MSSP?
È buona norma far svolgere le attività di Security Assessment da parte di una terza parte.
Penetration
Test
PCI-DSS
ASV scan
Vulnerability
Assessment
Security
Assessment
Web
Application
Assessment
Mobile
Assessment
Wi-Fi
Assessment
Come scegliere il miglior MSSP
 Assessment interno: la prima delle attività da svolgere è un assessment interno per
individuare ciò di cui si ha realmente bisogno.
 Individuare i servizi: esistono una pletora di servizi di sicurezza gestita. Di quali avete
realmente bisogno?
 Service Level Agreement (SLA): i service level agreement descrivono le aspettative, in
termini di qualità, che un committente può aspettarsi nell’erogazione di un servizio.
Avete bisogno di SLA più stringenti rispetto a quelli proposti oppure è possibile
negoziare un costo inferiore per degli SLA meno sfidanti?
 Penali: esistono delle penali associate al rispetto degli SLA? Vi stupirete, ma spesso non
sono presenti. Qual è il valore di uno SLA senza penali associate? Nullo...
 Monitoring degli SLA e di eventuali KPI/KPO: se delegate l’operatività, dovete
mantenere il governo. Governare vuol dire dare una direzione, capire e misurare. Se la
qualità dei servizi non rispecchia quanto promesso è opportuno che avvenga una
rinegoziazione della parte economica.
Thank you
Riferimenti:
[email protected]
http://socstartup.blogspot.com
https://grandiaziende.fastweb.it