Come generare la massima efficacia da un SOC e un NOC che lavorano in team. Videointervista a Marco Marini
Matteo Cecchini, Co-Founder e CEO di T-Consulting, e Marco Marini, Head of Cybersecurity di T-Consulting, parleranno dell’importanza di una buona comunicazione fra SOC e NOC soprattutto in occasione di situazioni di crisi quando il tempo è un fattore determinante.
I nostri ospiti:
Matteo Cecchini Imprenditore IT dal 2007, Matteo è prima di tutto un appassionato di tecnologia. Fin dall’adolescenza si dedica allo studio dei sistemi e del loro funzionamento, con un interesse spiccato per la Cybersecurity. Questa passione lo porta a poter contribuire - all’inizio della sua carriera - a prestigiosi progetti di digitalizzazione e di innovazione tecnologica. Nel 2007 fonda T-Consulting allo scopo di supportare con la giusta tecnologia le imprese del suo territorio, ad oggi è attivo su più fronti, come Presidente di CNA Forlì-Cesena e come membro del Consiglio Direttivo del Distretto dell'Informatica Romagnolo. |
Marco Marini Marco inizia la sua carriera come “hardwarista” per poi approdare in T-Consulting prima come operatore NOC a supporto dei clienti, successivamente nell’area progetti per l’implementazione di nuove soluzioni. In questi 10 anni in T-Consulting si è occupato di tutti gli aspetti tecnici, mentre negli ultimi anni si è specializzato in Cybersecurity. Nell’estate del 2022 ha ricevuto dalla EC-Council la qualifica di Certified Ethical Hacker. Attualmente ricopre il ruolo di responsabile SOC in T-Consulting per garantire sicurezza a colleghi e clienti. |
Il tema della videointervista di oggi: come generare la massima efficacia da un SOC e un NOC che lavorano in team
Nel corso della videointervista si parlerà di come un’efficace comunicazione fra NOC e SOC sia fondamentale per rispondere con tempestività ad attacchi cyber e limitarne i danni, si parlerà anche dell’importanza di utilizzare l’automation sempre nell’ottica di una diminuzione dei tempi di risposta per favorire tutte le eventuali attività di remediation. Infine saranno elencati alcuni dei servizi complementari che T-Consulting affianca al servizio di MDR, come ad esempio il servizio di Vulnerability Management, di Awareness, di e-mail security e di monitoraggio del Dark Web.
Se sei interessato ad approfondire le tematiche trattate contattaci cliccando qui.
Transcript intervista:
MATTEO: Buongiorno a tutti e ben ritrovati a un nuovo appuntamento! Oggi cambieremo argomento per parlare dell’importanza di avere una buona integrazione tra un NOC e un SOC e come questa integrazione possa portare a risultati davvero importanti per il mantenimento della sicurezza in azienda. Qui con me oggi c’è Marco Marini, nostro Cybersecurity Team Leader. Ciao Marco!
MARCO: Buongiorno a tutti!
MATTEO: Eccoci qua. Allora, veniamo a noi ed entriamo immediatamente nel vivo della nostra chiacchierata. Dicevo in apertura: NOC e SOC. Molto spesso si tende a vederli come due universi paralleli che non hanno punti di intersezione. La nostra esperienza, però, non ci suggerisce proprio questo scenario. Ci puoi condividere, Marco, il tuo punto di vista?
MARCO: Assolutamente. Partiamo con togliere il dubbio: è assolutamente un mito da sfatare. Diciamo che una buona comunicazione tra il NOC, quindi Network Operations Center, e il SOC, Security Operation Center, è di fondamentale importanza. Sottolineo il fatto che sia di fondamentale importanza perché, effettivamente, quando viene individuato un qualsiasi tipo di vulnerabilità, quindi quando la componente del SOC fa il proprio lavoro di analisi e di individuazione, poi questa analisi e questa individuazione vanno “scaricate a terra”, cioè vanno applicate tutte quelle modifiche di remediation che poi vanno a sanare la situazione. Tutte queste operazioni, quindi, saranno poi eseguite (“scaricate a terra”, appunto) da quello che è il NOC. Una buona comunicazione aiuta il lavoro del NOC e, inoltre, va a ridurre i tempi. Come sappiamo, i tempi nel mondo della Cybersecurity sono molto importanti: una buona reattività, una reazione tempestiva può fare la differenza.
MATTEO: Ottimo, ottimo. Ovviamente concordo, nel senso che l’esperienza e il day by day che andiamo ad affrontare ci porta a questo tipo di conclusione: il tempo è un fattore chiave quando si gestiscono attacchi o comunque situazioni in cui bisogna intervenire andando magari a fare anche una mitigazione preventiva di determinate vulnerabilità o determinati eventi che possono portare a un rischio importante per l’azienda. Ecco, da questo punto di vista qui, ci puoi fare un esempio concreto di come questa integrazione, se fatta nel giusto modo, se costruita con la giusta modalità, può portare veramente a un’efficacia molto alta?
MARCO: Sì, assolutamente, colgo la domanda proprio per andare a raccontare un esempio che è successo abbastanza di recente, la scorsa settimana: una vulnerabilità uscita nell’ambiente 3CX. Questa vulnerabilità prevedeva diverse operazioni di remediation, tra l’altro suggerite dal vendor stesso. Ovviamente ripeto quello che avevo detto prima, cioè il discorso della tempestività, quindi non appena uscito questo tipo di segnalazione era importante andare ad applicare queste remediation suggerite direttamente dal vendor nella maniera più veloce possibile. Una buona comunicazione verso il NOC, cioè chi applicava la remediation, è stata fondamentale. Così come, ad esempio, l’utilizzo dell’automation: andare a utilizzare, ad esempio, un RMM che permette di utilizzare, appunto, l’automation, anche questo incrementa notevolmente il tempo di risposta e la quantità di modifiche, quindi di remediation, che si riescono ad applicare. È tutto volto verso l’automazione, quindi verso i tempi di risposta.
MATTEO: Corretto. È chiaro che se mi devo trovare a implementare, come dicevi giustamente tu, un certo numero di azioni di remediation, chiaramente se il NOC che viene chiamato in causa deve effettuare queste operazioni magari su centinaia di asset a mano, i tempi si allungano tanto. Se posso mettere in campo l’automation, magari grazie a strumenti come gli RMM, sicuramente vado a comprimere tanto il tempo necessario e, consentimi di aggiungere, si evita anche la possibilità che vengano persi dei pezzi per strada perché, una volta che lo vado ad applicare massivamente e in modo automatizzato su tutti gli asset, da quel punto di vista lì sono anche molto più tranquillo.
MARCO: Assolutamente!
MATTEO: Bene, grazie Marco. Un’altra domanda: qui magari entriamo un pochino di più su quelli che sono gli approcci e i modelli con cui in T-Consulting abbiamo organizzato e ingegnerizzato nel corso del tempo i nostri servizi di sicurezza gestita. La domanda che ti volevo fare era fondamentalmente questa: tipicamente, quando si parla di servizi di sicurezza gestita, si parla molto spesso di servizi MDR, di servizi comunque basati su SOC. Noi abbiamo voluto arricchire questo tipo di declinazione affiancando a questo servizio che, ovviamente, è il core della sicurezza gestita, anche una serie di elementi complementari e collaterali. Ci vuoi raccontare un po’ come abbiamo ingegnerizzato questo tipo di soluzione?
MARCO: Certo. Allora, riprendo un attimino la domanda: come dicevi tu, rispetto a un classico servizio di MDR siamo andati ad aggiungere una serie di servizi complementari. Faccio alcuni esempi. Uno è il servizio di Vulnerability Management che ci permette, come dice la parola stessa, di andare a gestire le vulnerabilità, quindi è una scansione, un’analisi continua di quella che è l’infrastruttura per andare a vedere e a scoprire tutte quelle che possono essere le vulnerabilità e mantenere, quindi, un po’ tutto l’ambiente più sicuro. Un altro servizio è quello di Awareness: mi viene da sorridere perché, come avevo detto durante il nostro T-CON, uno dei punti più deboli è sicuramente la componente umano, quindi un buon servizio di awareness, quindi di aumento della consapevolezza di quello che è l’utente finale, è sicuramente molto importante all’interno di un’azienda.
Vado avanti: un altro servizio è quello di e-mail security. Anche qui riprendo un pochino quelle che erano le mie parole durante il T-CON dicendo che alla fine le e-mail sono uno dei vettori in assoluto più utilizzati per gli attacchi, quindi riuscire a mantenere un canale di comunicazione mail il più sicuro possibile non è da considerare solo uno standard o un servizio che tutti hanno effettivamente. Rispetto a quello che era un “vecchio e classico” anti-spam, l’evoluzione del servizio è stata enorme, quindi ora parliamo di e-mail security proprio per andare a sottolineare la grande differenza che c’è rispetto a un servizio di questo tipo che si è evoluto nel tempo, quindi occorre grande attenzione per la sicurezza via mail.
Ultimo ma non ultimo, mi viene in mente il servizio del monitoraggio del dark web, quindi un servizio che andiamo ad aggiungere e che va a fare un po’ tutta la scansione di quelli che sono i marketplace o, insomma, le credenziali degli utenti che vengono messe in vendita costantemente all’interno del dark web.
MATTEO: Corretto. Scusami, volevo aggiungere una cosa. Abbiamo cercato di approcciare il tema della sicurezza gestita veramente a 360° cercando di presidiare un po’ tutte le aree che, in qualche modo, concorrono a mantenere alto il livello, scusate il gioco di parole, di sicurezza e mitigare il più possibile il rischio che un attacco possa, in qualche modo, andare a meta. A questo aggiungiamo, ovviamente, l’importanza di avere un SOC che, come dicevo prima, è il cuore del servizio di sicurezza gestita perché operi, come anche nel nostro caso, in modalità 24x7 così da avere un presidio e una gestione veramente costante di tutti quelli che possono essere gli eventi che richiedono un qualche tipo di azione o intervento.
Bene, abbiamo fatto una panoramica velocissima, scambio super rapido, ma speriamo comunque utile. Volendo fare una sintesi e dare un consiglio per chi ci ascolta: non sottovalutare l’importanza dell’integrazione tra questi due mondi, ovvero il mondo NOC (infrastruttura, reti) e il mondo SOC (security). È fondamentale che questi due mondi si parlino, lavorino fianco a fianco. Non importa se il NOC è interno o esterno all’azienda, l’importante è che ci sia un lavoro di squadra tra questi due team e che questo lavoro porti comunque a una diminuzione reale e sostanziale di quelli che sono i tempi di reazione e di remediation che vengono in qualche modo attuati.
Marco, io ti ringrazio per questo contributo.
MARCO: Grazie a te!
MATTEO: Come solito, io invito chiunque ci stesse ascoltando e desideri approfondire queste tematiche a contattarci, vedete qui i nostri riferimenti. Rimaniamo a vostra disposizione e alla prossima. Grazie a tutti!
MARCO: Ciao a tutti!