L’idea di “bunker” sta alla base di un emergente concetto di sala operativa, allestita dagli outsourcer, in grado di offrire prevenzione e detection degli eventi. Tali strutture, battezzate Soc, potrebbero essere parte fondamentale della sicurezza del futuro.
Sono molti i security manager che stanno valutando la possibilità di delegare parte del monitoraggio degli eventi di sicurezza a un outsourcer. Questa tendenza è legata soprattutto alla parte di intrusion prevention/detection e response, sulla quale molti staff interni stanno ammettendo fondamentali difficoltà operative.
Alla domanda di servizi cercano di rispondere alcuni grossi Isv che, per forza di cose, si stanno trasformando anche in Mssp, cioè Manager security service provider. Per gestire gli eventi di sicurezza e, evidentemente, correlare alcune attività di management, questa categoria di outsourcer ha deciso di creare, all’interno delle proprie strutture, delle sale operative, con l’obiettivo di gestire in maniera autonoma, e (si spera) con la massima proattività, emergenze ed escalation di attacco. Tali sale, chiamate in gergo Soc (Security operation center) possono essere più o meno articolate e costruite secondo criteri di oggettiva conformità con standard di sicurezza quali l’Iso 17799.
Le funzioni da garantire
Immaginiamo di voler creare un Soc o di doverne valutare uno. Come è facilmente comprensibile, non si tratta di una procedura semplice, specie per due fattori di integrazione: dei processi aziendali e delle tecnologie preesistenti. In pratica, bisogna avere sempre presente l’obiettivo di centralizzare in maniera organica politiche, procedure e architetture differenti.
Dal punto di vista infrastrutturale, si dovrebbe scegliere una soluzione in grado di garantire tre aree funzionali, partendo dall’automatizzazione della detection degli eventi. Solitamente, questo avviene a mezzo dell’impiego di un sistema automatico di verifica dei log, spesso associato a uno o più Intrusion detection system. In realtà, quando ci si trova in presenza di un sistema multiclient, bisogna correlare (quindi normalizzare) i log provenienti da diverse categorie di sensori e di Ids, sia commerciali sia open source. Pertanto, non si tratta di un’operazione facile. La seconda area funzionale da soddisfare è l’abilità di visualizzazione dell’intero status dell’infrastruttura di sicurezza. L’output del Soc deve poter essere visualizzato e valutato da diverse categorie di operatori, sia fuori sia dentro il Soc. Il security manager interno, per esempio, può avere bisogno di dati aggregati da fornire come supporto decisionale, mentre il chief security analyst deve essere in grado di scendere molto in dettaglio. La visualizzazione assume, in questo caso, un’importanza fondamentale, in quanto deve consentire, oltre alla mera valutazione dei log, anche una certa possibilità di "contatto visivo" con poli dell’infrastruttura, quali firewall, Ids, antivirus server e via dicendo. Infine, vi è l’area dell’intelligence gathering. Questa attività consiste nel monitoraggio dei tentativi di attacco e dei rischi operativi associati a uno o all’altro pericolo. Un caso emblematico è quello di "slammer". Chi pensa che un antivirus possa risolvere tutto, in questi casi si sbaglia. In realtà è stata la simbiosi tra firewalling, detection delle firme di scansione sulla porta 1434 e patching dei sistemi a risolvere il tutto. Ma i tre fattori appena citati sarebbero stati inefficaci se non ci fosse stato qualcuno a monitorare l’escalation, per territorio e piattaforma tecnologica, di uno dei malicious code più insidiosi dell’ultimo periodo.
La selezione del personale
Un’importante attività, inoltre, è quella di ricerca e selezione del personale, sia dal punto di vista del management sia da quello degli analisti. Il primo deve essere in grado di deliberare l’emissione di un allarme che può essere più o meno incidente sui processi aziendali. Deve essere, quindi, un professionista con visione transnazionale dei threat, anche un po’ "freddo" nei ragionamenti, se non addirittura cinico. Gli analisti, invece, devono essere operatori di grande tecnicismo, ma non solo. Queste persone, solitamente, lavorano in bunker a vari metri sotto terra, senza luce naturale e con turni molto articolati. Per forza di cose, chi non è emotivamente stabile è inadatto e, sempre per lo stesso motivo, spesso si preferisce personale proveniente dalle forze armate e di polizia.
Un consiglio finale per la valutazione del Soc, comunque, è quello di analizzare anche gli investimenti che il proponente ha fatto in termini di sicurezza fisica e integrazione tra tecnologie proprietarie e disponibili. Una volta terminata questa analisi, si avrà un quadro preciso di quanto il proponente "creda" nel progetto che vi sta sottoponendo.
