SlideShare a Scribd company logo
Come realizzare e gestire un
               Security Operations Center


Cos’è, come si realizza e tante altre cose che ho imparato negli ultimi anni...


Davide Del Vecchio
Responsabile SOC Enterprise di FASTWEB SpA
Agenda

   Chi sono
   Cos’è un SOC
   La realizzazione
   Gli spazi
   Servizi erogati
   Conoscenze / Certificazioni / Skill



              Come realizzare e gestire un SOC – Davide Del Vecchio
Chi sono

Oggi:
• Responsabile del SOC Enterprise (MSS) di FASTWEB SpA.
• Autore freelance per WIRED Italia
• Socio fondatore del Centro Studi Hermes (http://logioshermes.org)
• Autore del blog http://socstartup.blogspot.com
• Socio CLUSIT
• Socio ISACA
• Certificato: CISM, ITILv3

In passato:
• Consulente in ambito IT Security per 10 anni
• Ho partecipato allo startup di 2 SOC
• Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine
• Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante»
    (pubblicazione di numerosi advisory, ricerche, tool)
• Relatore presso numerosi congressi nazionali ed internazionali
Cos’è un SOC
Un Security Operations Center (SOC) è              Un SOC può anche fornire servizi di Incident Response, in questo
un centro operativo da cui vengono erogati         caso svolge la funzione di C-SIRT
servizi finalizzati alla Sicurezza dei Sistemi     (Computer Security Incident Response Team)
informativi:
                                                   Anche se le due funzioni sono logicamente e funzionalmente
   Dedicato alla sicurezza interna                assimilabili, alcune grandi aziende dispongono di strutture SOC e
    dell’azienda stessa (SOC Corporate /           C-SIRT separate.
    Interno);

   Dedicato all’erogazione dei servizi ai
    Clienti (Managed Security Services -
    MSS);

•   Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di
    fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione,
    nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza.
    Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati
    alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale.

•   Un SOC dedicato all’erogazione di servizi di sicurezza verso terzi viene solitamente denominato MSSP
    (Managed Security Service Provider).
    Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale.
    Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e
    tecnologie messe al servizio dei Clienti.
Classificazione dei servizi SOC / MSS
  Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate
   all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate nel SOC, la
   funzionalità dei sistemi è in questo modo demandata a specialisti di sicurezza e non ad
   un generico reparto IT

  Monitoring: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine
   di individuare tempestivamente tentativi di intrusione, di attacco o di misuse (utilizzo
   non corretto) dei sistemi

  Incident Response: un team di specialisti in collaborazione con il Cliente individua il
   miglior approccio possibile per mitigare un attacco in corso (incident handling, DDoS
   mitigation, crisis team)

  Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione
   dell'organizzazione (risk evaluation, security assessment, early warning, security
   awareness, event correlation)
Il progetto di realizzazione

                               Pre-design




                                Security
          Improvement          Operations       Design
                                 Center




                               Implementation
Pre-design
 Certificazioni utili al design

 Analisi del mercato dei servizi di sicurezza

 Parla con altre persone già coinvolte nel mercato

 Costruisci il team di design

 Visita altri Security Operations Center

 Studia i competitor

 Budget

 Timing
Pre-design
 Certificazioni utili al design

 Alcune certificazioni possono risultare molto utili durante la fase di design. Ti
 metteranno in grado di risparmiare tempo e denaro evitando di farti commettere gli
 errori più comuni. Alcuni esempi di certificazioni utili al design sono: ITIL,
 ISO27001LA, PMP, etc

 L’approccio più razionale.

 In generale, è utile ricordare che “ho seguito le best practice” è la migliore risposta
 alla domanda (che sicuramente vi sentirete fare prima o poi) “perché stai facendo/hai
 fatto le cose in questa maniera?”
Pre-design
 Analisi del mercato dei servizi di sicurezza

 Mai dimenticare che si è guidati dal mercato. Bisogna implementare i servizi che
 sono richiesti dal mercato. Bisogna evitare di trasformare il SOC in un centro di
 ricerca. Un buon esempio di un’analisi di mercato (facile da trovare sul web) sono i
 magic quadrant di GARTNER.

 Esiste anche un’analisi di mercato di GARTNER ad hoc sui servizi di sicurezza
 gestita del mercato europeo.
Pre-design
 Parlare con persone già coinvolte nel mercato

 Per capire meglio la situazione dei servizi di sicurezza gestita nel tuo paese, dovresti
 provare a parlare con il maggior numero di persone possibili già coinvolte in questo
 mercato.
 Prova ad iscriverti a gruppi specifici su LinkedIN, chiama gli amici e parla con i
 protagonisti più conosciuti del mercato.
Pre-design
 Costruire il team di design

 I componenti del team di design dovrebbero essere sia interni che esterni (consulenti)
 all’azienda. Se hai l’opportunità, coinvolgi le persone del marketing, i pre-sale e il NOC.

 Le persone del marketing ed i pre-sale ti aiuteranno a spingere sui venditori mentre le persone
 del NOC ti potranno aiutare a risolvere i classici problemi ben noti di burocrazia interni alla
 compagnia.

 Più persone riuscirai a coinvolgere (ma non troppe) e più queste spingeranno il progetto sia
 internamente che sul mercato.
Pre-design
 Visitare altri Security Operations Center

 Se possibile, visita altri SOC e prova a capire come funzionano (o come dovrebbero
 funzionare!).
Pre-design
 Studiare i competitor

 Prova a capire:

 •   Quali servizi erogano
 •   Quali non erogano e perché
 •   Le mancanze, i difetti ed i possibili miglioramenti
 •   I prezzi ed il modello d’offerta.
Pre-design
 Budget

 Valuta quali sono le risorse economiche a cui puoi attingere, quali tipi di tecnologie
 potrai implementare (un SIEM per esempio è molto costoso) e se sarai in grado di
 acquisire il know-how (certificazioni e corsi).
Pre-design
 Timing

 L’azienda ti darà un obiettivo temporale. Nel migliore dei casi riuscirai a negoziarlo,
 nel peggiore sarà mandatorio.

 Sarai in grado di effettuare lo startup del SOC ed implementare tutti i servizi che hai
 in mente? Quali sarai in grado di offrire nei tempi previsti?
Design

Decidere i servizi da erogare

Effettuare il design dei servizi

Effettuare le scelte tecnologiche

Definire i KPI/KPO

Le facility

Condividere le figure professionali tra i servizi

Pianificare una strategia di mercato
Design
Decidere i servizi da erogare

Decidi i servizi da erogare basando la tua scelta sui fattori presi in considerazione
nella fase di pre-design: analisi del mercato, budget a disposizione, tempi, etc.
Design
Effettuare il design dei servizi

Studia come i servizi devono essere erogati.
Design
Scegliere le tecnologie

Dovrai scegliere quali tecnologie gestire e vendere.

Una buona metodologia per la scelta può essere:

1.   Analisi di mercato
2.   Creazione di una short list
3.   PoC (Proof of Concept)
4.   Valutazione
5.   Scelta
Design
Definire i KPI/KPO

Per il governo del SOC è molto importante definire i Key Performance Indicators
e i Key Performance Objectives. Utile coinvolgere nelle decisioni anche i tecnici.

Esempi?

Ticket gestiti, apparati gestiti, numero cessazioni, numero escalation…
Design
Le Facility

Dal punto di vista delle facility, avrai bisogno di una stanza (open space) con
accesso ristretto, computer e telefoni (con cuffia), il videowall (in realtà quasi
inutile ma è ciò che i clienti si aspettano di vedere). Da non dimenticare che la rete
del SOC dovrà essere divisa mediante un firewall (e un IPS) dal resto della rete
(slide 41 per dettagli).
Design
Condividere le figure professionali tra i servizi

Prova a pensare a quale tipo di risparmio puoi ottenere facendo gestire dallo stesso
gruppo di analisti più servizi o ancora (più complicato) far gestire gli stessi servizi
da due strutture (ad esempio l’allarmistica di notte potrebbe essere seguita da un
NOC).
Design
Pianificare una strategia di marketing

Contatta il marketing (sarebbe meglio che una persona del team di design venisse
dal marketing) e pianifica una strategia.
Implementation
Scrivere processi e procedure
Acquisire il know-how
Implementare le tecnologie
Creare una cultura della sicurezza nei venditori
Creare un ambiente di test
Far partire la strategia di marketing
Applicare KPI/KPO
Implementation
Scrivere processi e procedure

Coinvolgi il personale tecnico (se possibile, delega) nella scrittura delle procedure
tecniche (dovrai comunque leggerle ed approvarle).

Cerca di far scrivere i processi a persone che sono già da molto tempo in azienda
in maniera tale che siano consapevoli del funzionamento dei processi interni, dei
problemi di burocrazia e di quelli “politici”.
Implementation
Acquisire il know-how

Per acquisire il know-how si può:

• Assumere personale (consulenti o dipendenti, con relativi pro e contro)
• Iscriversi a corsi ed ottenere certificazioni
Implementation
Implementare le tecnologie

Implementa le tecnologie che hai selezionato durante la fase di design.
Implementation
Creare una cultura della sicurezza nelle vendite

Fai sapere alle vendite che esistono dei nuovi servizi da vendere.
Organizza incontri, prepara loro dei powerpoint (di semplice comprensione) sia per
spiegar loro i servizi e sia per venderli.
Implementation
Creare un ambiente di test

Avrai bisogno di un ambiente di laboratorio dove testare le nuove configurazioni, le
nuove tecnologie, i PoC, etc.
Implementation
Far partire la strategia di marketing

Dai il via alla strategia di marketing.
Implementation
Applicare KPI/KPO

I KPI e KPO dovranno essere applicati al lavoro di ogni giorno.




«Non si può gestire ciò che non si può misurare»
Improvement

Valutare le certificazioni utili al SOC

Valutare le certificazioni utili al team del SOC

Mantienere tu ed il tuo team aggiornato

Fare in modo che il mercato ti conosca

Fare in modo che il management ti conosca

Effettuare uno scouting dei nuovi servizi erogabili

Effettuare un periodico aggiornamento delle tecnologie

Tenere sotto controllo KPI/KPO
Improvement
Valutare le certificazioni utili al SOC (visto come struttura)

Alcune certificazioni sono richieste dai bandi di gara, per esempio la ISO27001 è
quasi sempre presente.
Improvement
Valutare le certificazioni utili al team del SOC

Alcune saranno richieste dai bandi di gara, altre ti saranno utili nelle fasi di
troubleshooting.
Una short list di certificazioni utili come esempio: GIAC, CISM, Security+, vendor
specific, CCNA, CISSP, ITIL, etc. (vedi dettagli nella slide 56)
Improvement
Mantenere tu ed il tuo team aggiornati riguardo le news di sicurezza

Leggi ogni giorno le sorgenti più importanti di notizie legate all’IT Security /
hacking. Ad esempio: dark reading, twitter, the hacker news, gruppi linkedin,
twitter, update di status di persone conosciute, etc.
Improvement
Fare in modo che il mercato ti conosca

Organizza incontri, prendi parte a conferenze, usa LinkedIN, twitter, apri un blog e
più in generale fai in modo che le altre persone capiscano che sei un attore
importante del mercato.
Improvement
Fare in modo che il management ti conosca

Non dimenticare mai che sei parte di un’organizzazione più grande. Il tuo
management deve sempre sapere cosa stai facendo e quali sono i tuoi risultati.

Organizza presentazioni periodiche, diffondi le informazioni e nel caso in cui arrivi
un nuovo ed importante cliente, fallo sapere a più gente possibile.
Improvement
Effettuare uno scouting dei nuovi servizi erogabili

È molto importante non smettere mai di parlare con i clienti, leggere le analisi di
mercato, etc per capire dove sta andando il mercato per riuscire ad intercettare in
tempo i bisogni dei clienti.
Improvement
Effettuare un periodico rinnovo delle tecnologie

Almeno una volta l’anno dovresti controllare che le tecnologie che stai
vendendo/gestendo (UTM, proxy, IPS, etc) o che stai usando (SIEM, ticketing, etc)
sono ancora lo stato dell’arte per le tue necessità.
Se così non fosse, dovresti valutare un rinnovo delle stesse.
Improvement
Monitorare KPI/KPO

I Key Performance Indicator e i Key Performance Objectives sono il termometro
del tuo lavoro. Se riuscirai a scegliere i giusti KPI/KPO, questi ti aiuteranno a
capire se stai lavorando bene o meno, se puoi fare meglio o no, se stai lavorando
troppo o troppo poco ed a prendere delle decisioni in maniera razionale.
Caratteristiche degli spazi
 Open Space
 Il posto di lavoro ideale per un SOC è l’openspace. Non ci devono essere muri tra gli analisti. Hanno bisogno di
 analizzare insieme eventi, configurazioni, problemi etc e discutere senza barriere. Anche se alcuni si lamentano…

 Accesso ristretto
 L’accesso all’openspace deve essere ristretto e solo il personale autorizzato deve poter entrare nella stanza. Fai
 attenzione al pavimento ed al soffitto flottante: non ci deve essere la possibilità semplice di sfruttarli per saltare
 l’autenticazione.

 La scrivania
 Un telefono (con cuffie) e 2 computer: uno connesso ad internet e l’altro connesso alla rete di management del
 SOC. La scrivania dovrebbe essere posizionata a mezza luna in maniera tale che ogni analista sia in grado di vedere
 chiaramente il videowall. Tra le scrivanie ci dovrebbero essere dei separatori per fare in modo che un Cliente al
 telefono non possa accidentalmente ascoltare la comunicazione di un altro Cliente. Può essere presa in analisi
 l’ipotesi di utilizzare un thin client.

 Il videowall
 Ogni SOC ha un videowall. Il mio suggerimento è di costruirlo con degli LCD e non con degli schermi
 retroproiettati. Gli schermi retroproiettati (sono dei videoproiettori) sono più economici all’inizio ma hanno dei
 costi di manutenzione molto alti dovuti al fatto che le lampade si fulminano spesso.

 La rete
 La rete di management del SOC deve essere divisa dal resto della rete dell’azienda per mezzo di un firewall (e un
 IPS).
SOC di Swisscom
I servizi erogati ed il modello logico
 Governance

                                             SOC MSSP - Managed Security Services


                        Security Solution Management                                     Vulnerability Management

 Channels

      Change                    Incident                                        Threat
                                                    Security Monitoring                              Proactive Security
   Management              Management                                       Management

 Security Services




  Security           Mobile                                               Event & Log
                                             DDoS              Log                           Early           Professional
   Device            Security                                             Correlation
                                           Protection       Management                      Warning            Services
 Management      (Q4 2012)                                                 (Q4 2012)
Servizi di Sicurezza

Argomenti
Security Device Management
Obiettivo
Delegare la gestione degli apparati di sicurezza (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.):
•   Gestisce gli apparati chi conosce approfonditamente la tecnologia e ha già affrontato i problemi più comuni in centinaia
    di installazioni;
•   In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i
    disservizi;
•   Le modifiche vengono gestite entro tempi stabiliti (SLA) e le configurazioni sono validate da personale specializzato: no
    configurazioni improvvisate!!
    (e.g. un IDS implementato in modo maldestro può bloccare traffico lecito e creare disservizi, un firewall non
    correttamente configurato, dando un falso senso di sicurezza, apre la strada verso i sistemi interni!)




                                 Azienda                               Security Operation
                                                                       Center
                                                        Secure
                                                      Connection




                                                                             Service
                                                                             Manager
                                                                                                    Security
                        Firewall / IDS / etc.                                                       Analyst

                                                                                       Product
                                                                                       Specialist
Early Warning
Obiettivo
Prevenire, contenere o contrastare possibili incidenti di natura informatica aggregando ed analizzando le tematiche di
sicurezza che coinvolgono i Clienti. In generale, fornire all’azienda gli strumenti per decidere in modo consapevole sulle
azioni da intraprendere per garantire la sicurezza dei propri sistemi IT
•    Individuare le minacce che possono avere un impatto reale sulla sicurezza filtrando i casi non significativi e non
     afferenti alla realtà del Cliente;
•    Informazioni affidabili e verificate da uno staff di esperti al fine di suggerire le corrette contromisure in base al reale
     pericolo che una minaccia rappresenta;
•    Analizzare le problematiche rispetto a molteplici punti di vista, sia tecnologici che di impatto sul business;
•    Avere strumento comprensibile contenente informazioni «pre-digerite» permette al reparto IT aziendale di
     risparmiare tempo (e costi) durante le fasi implementative



                                                      Security Operation
Azienda A                                             Center

                                                     C. Presentazione
                                                     (report, web-portal, etc.)
Azienda B
                                                                                       Security
                                                                                       Analyst
Azienda C
                                                                                                       A. Raccolta informazioni
                                                         B. Elaborazione dati                          (analisi di molteplici
                                                         (analisi e contestualizzazione)               fonti)
Log Management & Collection                            Il Provvedimento
Obiettivo
                                                        Il Provvedimento del Garante della privacy
Raccogliere e conservare tutti i log del cliente, in
                                                        pubblicato nella GU il 24 dic. 08 obbliga
particolare quelli di “accesso” in conformità alla
                                                        tutte le aziende e la pubblica
normativa italiana.
                                                        amministrazione a conservare i “log” di tutti
Analizzare e correlare gli eventi per individuare       gli accessi amministrativi” a dispositivi e
comportamenti anomali ed eventuali tentativi di         applicazioni che contengono “dati
intrusione                                              personali”.
Plus della gestione attraverso il SOC:
• Supporto e consulenza
  nell’identificazione delle sorgenti di log
• Garanzia di immutabilità e integrità dei
  dati raccolti
• Utilizzo di piattaforma tecnologiche
  leader di mercato
• Soluzioni Scalabili e Modulari che
  consentono di crescere facilmente
  seguendo le necessità del cliente
Professional Services
Obiettivo
Offrire ai Clienti consulenza professionale specializzata attraverso attività che consentano di
ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT.


                                            Penetration
                                               Test


                          PCI-DSS ASV                         Vulnerability
                              scan                            Assessment


                                           Tipologia di
                                          servizi offerti

                                                                 Web
                             Mobile
                                                              Application
                           Assessment
                                                              Assessment


                                               Wi-Fi
                                            Assessment
Professional Services
Penetration test e Vulnerability Assessment
Obiettivo
Individuare problematiche di sicurezza proponendo dei sistemi informatici specificati,
simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di
compromettere la riservatezza, disponibilità e integrità dei dati aziendali e valutarne al
meglio i possibili impatti sul business

Potenziali impatti e minacce
I sistemi aziendali, se non
adeguatamente protetti e regolarmente
aggiornati, possono essere oggetto di
attacchi mirati (es. spionaggio
industriale) o attacchi distribuiti (es.
propagazione di malware)
Professional Services
Web Application Assessment
Obiettivo
Individuare problematiche di sicurezza delle applicazioni web, simulando le metodologie di
attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza,
disponibilità e integrità dei dati aziendali o la sicurezza della navigazione dei visitatori


Potenziali impatti e minacce
I siti web sono obiettivi privilegiati
poichè più esposti ed utilizzati da un
grande numero di utenti (es. clienti,
fornitori, dipendenti). Sono soggetti a
disservizi, danno di immagine, furto
credenziali utente, frodi
Professional Services
Wireless Assessment
Obiettivo
Identificare reti Wireless all’interno degli edifici aziendali, capire se un utente non
autorizzato possa accedervi e quindi esporre il Cliente a rischi per la confidenzialità,
integrità e disponibilità dei dati contenuti nei sistemi aziendali raggiungibili da tali reti.


Potenziali impatti e minacce
Le reti wireless non sicure possono
rappresentare la testa di ponte verso i
sistemi interni e causare accessi non
autorizzati a risorse aziendali e furti di
informazioni riservate
Professional Services
Mobile Assessment
Obiettivo
Identificare problematiche di sicurezza delle piattaforme di Mobile Device Management
(MDM) aziendali e verificare che applicazioni mobile custom non introducano problematiche
di sicurezza che possano consentire il furto di informazioni aziendali o l’accesso non
autorizzato a sistemi remoti che trasferiscono dati con tali applicazioni

Potenziali impatti e minacce
Un eventuale smarrimento o furto di un
dispositivo, o l’infezione da parte di
malware, può portare all’esposizione di
informazioni aziendali verso terzi
Professional Services
PCI-DSS ASV scan
Obiettivo
Effettuare Vulnerability Assessment trimestrali verso i sistemi esterni dei Clienti al fine di
soddisfare la conformità al requisito 11.2.2 dello standard PCI-DSS ed emettere la
documentazione richiesta
                                         PCI: è una società a responsabilità limitata con sede in USA,
                                         fondata da American Express, Discover Financial Services,
Potenziali impatti e minacce             JCB International, MasterCard Worldwide e Visa Inc.
La mancata conformità a questo
standard può essere sanzionata con
                                         PCI-DSS: standard che definisce le misure di protezione dei
multe da parte delle aziende emittenti
                                         processi di gestione dei pagamenti effettuati attraverso
delle carte di credito e con             carta di credito:
l’estromissione dal circuito dei
pagamenti, oltre a creare potenziali     http://it.pcisecuritystandards.org/minisite/en/pci-dss-v2-
problemi con clausole assicurative,      0.php
rivalse legali, ecc.
                                         ASV (Approved Scanning Vendor): aziende autorizzate che
                                         validano l’aderenza a certi requisiti DSS attraverso
                                         l’esecuzione di Vulnerbility Assessment
Distribuited Denial of Service Mitigation
Obiettivo
Un attacco «Distribuited Denial of Service» (DDoS) si verifica quando più sistemi in maniera
coordinata inondano, la larghezza di banda o le risorse di un sistema, al fine di ostacolare e
bloccare le attività arrecando gravi perdite economiche e d’immagine.
Scopo del servizio è rilevare l’attacco ed attuare tutte le contromisure necessarie a limitarne
l’impatto.



                  Azienda

                                         Traffico lecito
                                                                  Traffico illecito
                                                                        Security Operation Center




                                          Anti-DDoS Technology
                  Corporate Firewall
Mobile Security
Rischi per la riservatezza
Nel corso degli ultimi anni si è enormemente diffuso l’utilizzo di dispositivi mobili (es., smartphone e tablet)
non solo per scopi personali ma anche per finalità lavorative. Questa situazione pone un importante rischio
per la sicurezza perché tali dispositivi, se non adeguatamente protetti e gestiti, possono portare
all’esposizione di informazioni aziendali verso terzi.

Obiettivo
L’obiettivo del servizio è quello di rendere disponibile una piattaforma di Mobile Device Management (MDM)
in modalità SaaS con le seguenti caratteristiche:
• Console di amministrazione
  centralizzata per la gestione dei
  dispositivi mobili aziendali assegnati ai
  dipendenti.
• Console di amministrazione
  centralizzata per la gestione dei
  dispositivi personali di chi intende
  usufruire di dati e servizi aziendali (es.
  posta elettronica) con il proprio
  dispositivo personale (BYOD).
• Possibilità di impostare e gestire policy
  di sicurezza su tutti i dispositivi mobili
  connessi alla piattaforma.
Certificazioni e skill
 Certificazioni tecniche

 Utili ad analisti e personale tecnico.

 CEH (Certified Ethical Hacker). Corso + esame: 2895$.
 CGIH (Certified GIAC Incident Handler). Corso + Esame 3500$
 OSCP (Offensive Security Certified Professional). Corso + Esame 4000$
 ISECOM OPST (Open Source Security tester). Costo non disponibile.
 ISECOM OPSA (Open Source Security Analyst). Costo non disponibile.
 Certificazioni vendor specific.

 Certificazioni più ad alto livello

 Utili ai coordinatori degli analisti ed al responsabile del SOC.

 CISM (Certified Information Security Manager) - Esame 500€. Corso ~800€.
 CISSP (Certified Information Systems Security Professional) – Costo esame: ~500€.
 ISO27001 Lead Auditor. Esame + corso ~1800€.
 PMP (Project Manager Professional) Esame 340€ per i membri PMI (129$ costo per essere associato alla PMI)
 oppure 465€ per i non associati PMI. Costo del corso 3K€.
 ITIL v3 foundations. Costo esame: ~150€
 CISA (Certified Information System Auditor) Costo esame 500€. Costo corso ~800€.
Thank you
                     Riferimenti:
           davide.delvecchio@fastweb.it
           http://socstartup.blogspot.com
https://grandiaziende.fastweb.it (sezione security)

More Related Content

What's hot

SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security Framework
Bernie Leung, P.E., CISSP
 
The Art of Playcalling: Building an Incident Response Playbook
The Art of Playcalling: Building an Incident Response PlaybookThe Art of Playcalling: Building an Incident Response Playbook
The Art of Playcalling: Building an Incident Response Playbook
Trenton Brooks
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
Digit Oktavianto
 
DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)
Shah Sheikh
 
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computing
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computingMapping the-forensic-standard-iso-iec-27037-to-cloud-computing
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computing
Bisyron Wahyudi
 
Threat Intelligence
Threat IntelligenceThreat Intelligence
Threat Intelligence
Deepak Kumar (D3)
 
SIEM
SIEMSIEM
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Jim Gilsinn
 
Security operation center
Security operation centerSecurity operation center
Security operation center
MuthuKumaran267
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
PECB
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:
Anton Chuvakin
 
Security Onion
Security OnionSecurity Onion
Security Onion
johndegruyter
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdf
PencilData
 
Purple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMConPurple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMCon
Jorge Orchilles
 
SIEM - Activating Defense through Response by Ankur Vats
SIEM - Activating Defense through Response by Ankur VatsSIEM - Activating Defense through Response by Ankur Vats
SIEM - Activating Defense through Response by Ankur Vats
OWASP Delhi
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity Chasm
Priyanka Aash
 
IBM Security QRadar
 IBM Security QRadar IBM Security QRadar
IBM Security QRadar
Virginia Fernandez
 
Optimizing Security Operations: 5 Keys to Success
Optimizing Security Operations: 5 Keys to SuccessOptimizing Security Operations: 5 Keys to Success
Optimizing Security Operations: 5 Keys to Success
Sirius
 
Siem solutions R&E
Siem solutions R&ESiem solutions R&E
Siem solutions R&E
Owais Ahmad
 
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
MITRE - ATT&CKcon
 

What's hot (20)

SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security Framework
 
The Art of Playcalling: Building an Incident Response Playbook
The Art of Playcalling: Building an Incident Response PlaybookThe Art of Playcalling: Building an Incident Response Playbook
The Art of Playcalling: Building an Incident Response Playbook
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
 
DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)DTS Solution - Building a SOC (Security Operations Center)
DTS Solution - Building a SOC (Security Operations Center)
 
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computing
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computingMapping the-forensic-standard-iso-iec-27037-to-cloud-computing
Mapping the-forensic-standard-iso-iec-27037-to-cloud-computing
 
Threat Intelligence
Threat IntelligenceThreat Intelligence
Threat Intelligence
 
SIEM
SIEMSIEM
SIEM
 
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
Evaluating System-Level Cyber Security vs. ANSI/ISA-62443-3-3
 
Security operation center
Security operation centerSecurity operation center
Security operation center
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:
 
Security Onion
Security OnionSecurity Onion
Security Onion
 
QRadar Architecture.pdf
QRadar Architecture.pdfQRadar Architecture.pdf
QRadar Architecture.pdf
 
Purple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMConPurple Team Exercises - GRIMMCon
Purple Team Exercises - GRIMMCon
 
SIEM - Activating Defense through Response by Ankur Vats
SIEM - Activating Defense through Response by Ankur VatsSIEM - Activating Defense through Response by Ankur Vats
SIEM - Activating Defense through Response by Ankur Vats
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity Chasm
 
IBM Security QRadar
 IBM Security QRadar IBM Security QRadar
IBM Security QRadar
 
Optimizing Security Operations: 5 Keys to Success
Optimizing Security Operations: 5 Keys to SuccessOptimizing Security Operations: 5 Keys to Success
Optimizing Security Operations: 5 Keys to Success
 
Siem solutions R&E
Siem solutions R&ESiem solutions R&E
Siem solutions R&E
 
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
MITRE ATT&CKcon 2.0: Ready to ATT&CK? Bring Your Own Data (BYOD) and Validate...
 

Similar to Come realizzare e gestire un Security Operations Center.

Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1
Alfredo Visconti
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
Dedagroup
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
Enrico Memmo
 
Comunicare e Collaborare per Competere
Comunicare e Collaborare per CompetereComunicare e Collaborare per Competere
Comunicare e Collaborare per Competere
M.Ela International Srl
 
Imola Informatica S.P.A.- Presentazione per Università
Imola Informatica S.P.A.- Presentazione per UniversitàImola Informatica S.P.A.- Presentazione per Università
Imola Informatica S.P.A.- Presentazione per Università
Cristian Faraoni
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Toscana Open Research
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Toscana Open Research
 
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoWebinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Par-Tec S.p.A.
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
Emerasoft, solutions to collaborate
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security
 
Dedagroup - Cloud Sourcing for Fashion
Dedagroup - Cloud Sourcing for FashionDedagroup - Cloud Sourcing for Fashion
Dedagroup - Cloud Sourcing for Fashion
Dedagroup
 
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiTecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
K-Tech Formazione
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA  - IPZS - BC/DR e CypSecPremio Forum PA  - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
Maurizio Quattrociocchi
 

Similar to Come realizzare e gestire un Security Operations Center. (20)

Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
Corso progettazione
Corso progettazioneCorso progettazione
Corso progettazione
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Comunicare e Collaborare per Competere
Comunicare e Collaborare per CompetereComunicare e Collaborare per Competere
Comunicare e Collaborare per Competere
 
Imola Informatica S.P.A.- Presentazione per Università
Imola Informatica S.P.A.- Presentazione per UniversitàImola Informatica S.P.A.- Presentazione per Università
Imola Informatica S.P.A.- Presentazione per Università
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
 
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo modernoWebinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
Webinar 2 marzo 2021 - DevSecOps: la cybersecurity sposa lo sviluppo moderno
 
[X] fdella gatta servizi_it_rev_1
[X] fdella gatta servizi_it_rev_1[X] fdella gatta servizi_it_rev_1
[X] fdella gatta servizi_it_rev_1
 
Costruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio DevopsCostruire una chain of custody del software - una guida per Cto Cio Devops
Costruire una chain of custody del software - una guida per Cto Cio Devops
 
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
Minded Security - Fabrizio Bugli - (3rd) party like nobody's watching...
 
Dedagroup - Cloud Sourcing for Fashion
Dedagroup - Cloud Sourcing for FashionDedagroup - Cloud Sourcing for Fashion
Dedagroup - Cloud Sourcing for Fashion
 
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi DistribuitiTecniche Di Troubleshooting Nei Sistemi Distribuiti
Tecniche Di Troubleshooting Nei Sistemi Distribuiti
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA  - IPZS - BC/DR e CypSecPremio Forum PA  - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 

Come realizzare e gestire un Security Operations Center.

  • 1. Come realizzare e gestire un Security Operations Center Cos’è, come si realizza e tante altre cose che ho imparato negli ultimi anni... Davide Del Vecchio Responsabile SOC Enterprise di FASTWEB SpA
  • 2. Agenda  Chi sono  Cos’è un SOC  La realizzazione  Gli spazi  Servizi erogati  Conoscenze / Certificazioni / Skill Come realizzare e gestire un SOC – Davide Del Vecchio
  • 3. Chi sono Oggi: • Responsabile del SOC Enterprise (MSS) di FASTWEB SpA. • Autore freelance per WIRED Italia • Socio fondatore del Centro Studi Hermes (http://logioshermes.org) • Autore del blog http://socstartup.blogspot.com • Socio CLUSIT • Socio ISACA • Certificato: CISM, ITILv3 In passato: • Consulente in ambito IT Security per 10 anni • Ho partecipato allo startup di 2 SOC • Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine • Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante» (pubblicazione di numerosi advisory, ricerche, tool) • Relatore presso numerosi congressi nazionali ed internazionali
  • 4. Cos’è un SOC Un Security Operations Center (SOC) è Un SOC può anche fornire servizi di Incident Response, in questo un centro operativo da cui vengono erogati caso svolge la funzione di C-SIRT servizi finalizzati alla Sicurezza dei Sistemi (Computer Security Incident Response Team) informativi: Anche se le due funzioni sono logicamente e funzionalmente  Dedicato alla sicurezza interna assimilabili, alcune grandi aziende dispongono di strutture SOC e dell’azienda stessa (SOC Corporate / C-SIRT separate. Interno);  Dedicato all’erogazione dei servizi ai Clienti (Managed Security Services - MSS); • Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione, nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza. Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale. • Un SOC dedicato all’erogazione di servizi di sicurezza verso terzi viene solitamente denominato MSSP (Managed Security Service Provider). Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale. Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e tecnologie messe al servizio dei Clienti.
  • 5. Classificazione dei servizi SOC / MSS  Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate nel SOC, la funzionalità dei sistemi è in questo modo demandata a specialisti di sicurezza e non ad un generico reparto IT  Monitoring: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse (utilizzo non corretto) dei sistemi  Incident Response: un team di specialisti in collaborazione con il Cliente individua il miglior approccio possibile per mitigare un attacco in corso (incident handling, DDoS mitigation, crisis team)  Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (risk evaluation, security assessment, early warning, security awareness, event correlation)
  • 6. Il progetto di realizzazione Pre-design Security Improvement Operations Design Center Implementation
  • 7. Pre-design Certificazioni utili al design Analisi del mercato dei servizi di sicurezza Parla con altre persone già coinvolte nel mercato Costruisci il team di design Visita altri Security Operations Center Studia i competitor Budget Timing
  • 8. Pre-design Certificazioni utili al design Alcune certificazioni possono risultare molto utili durante la fase di design. Ti metteranno in grado di risparmiare tempo e denaro evitando di farti commettere gli errori più comuni. Alcuni esempi di certificazioni utili al design sono: ITIL, ISO27001LA, PMP, etc L’approccio più razionale. In generale, è utile ricordare che “ho seguito le best practice” è la migliore risposta alla domanda (che sicuramente vi sentirete fare prima o poi) “perché stai facendo/hai fatto le cose in questa maniera?”
  • 9. Pre-design Analisi del mercato dei servizi di sicurezza Mai dimenticare che si è guidati dal mercato. Bisogna implementare i servizi che sono richiesti dal mercato. Bisogna evitare di trasformare il SOC in un centro di ricerca. Un buon esempio di un’analisi di mercato (facile da trovare sul web) sono i magic quadrant di GARTNER. Esiste anche un’analisi di mercato di GARTNER ad hoc sui servizi di sicurezza gestita del mercato europeo.
  • 10. Pre-design Parlare con persone già coinvolte nel mercato Per capire meglio la situazione dei servizi di sicurezza gestita nel tuo paese, dovresti provare a parlare con il maggior numero di persone possibili già coinvolte in questo mercato. Prova ad iscriverti a gruppi specifici su LinkedIN, chiama gli amici e parla con i protagonisti più conosciuti del mercato.
  • 11. Pre-design Costruire il team di design I componenti del team di design dovrebbero essere sia interni che esterni (consulenti) all’azienda. Se hai l’opportunità, coinvolgi le persone del marketing, i pre-sale e il NOC. Le persone del marketing ed i pre-sale ti aiuteranno a spingere sui venditori mentre le persone del NOC ti potranno aiutare a risolvere i classici problemi ben noti di burocrazia interni alla compagnia. Più persone riuscirai a coinvolgere (ma non troppe) e più queste spingeranno il progetto sia internamente che sul mercato.
  • 12. Pre-design Visitare altri Security Operations Center Se possibile, visita altri SOC e prova a capire come funzionano (o come dovrebbero funzionare!).
  • 13. Pre-design Studiare i competitor Prova a capire: • Quali servizi erogano • Quali non erogano e perché • Le mancanze, i difetti ed i possibili miglioramenti • I prezzi ed il modello d’offerta.
  • 14. Pre-design Budget Valuta quali sono le risorse economiche a cui puoi attingere, quali tipi di tecnologie potrai implementare (un SIEM per esempio è molto costoso) e se sarai in grado di acquisire il know-how (certificazioni e corsi).
  • 15. Pre-design Timing L’azienda ti darà un obiettivo temporale. Nel migliore dei casi riuscirai a negoziarlo, nel peggiore sarà mandatorio. Sarai in grado di effettuare lo startup del SOC ed implementare tutti i servizi che hai in mente? Quali sarai in grado di offrire nei tempi previsti?
  • 16. Design Decidere i servizi da erogare Effettuare il design dei servizi Effettuare le scelte tecnologiche Definire i KPI/KPO Le facility Condividere le figure professionali tra i servizi Pianificare una strategia di mercato
  • 17. Design Decidere i servizi da erogare Decidi i servizi da erogare basando la tua scelta sui fattori presi in considerazione nella fase di pre-design: analisi del mercato, budget a disposizione, tempi, etc.
  • 18. Design Effettuare il design dei servizi Studia come i servizi devono essere erogati.
  • 19. Design Scegliere le tecnologie Dovrai scegliere quali tecnologie gestire e vendere. Una buona metodologia per la scelta può essere: 1. Analisi di mercato 2. Creazione di una short list 3. PoC (Proof of Concept) 4. Valutazione 5. Scelta
  • 20. Design Definire i KPI/KPO Per il governo del SOC è molto importante definire i Key Performance Indicators e i Key Performance Objectives. Utile coinvolgere nelle decisioni anche i tecnici. Esempi? Ticket gestiti, apparati gestiti, numero cessazioni, numero escalation…
  • 21. Design Le Facility Dal punto di vista delle facility, avrai bisogno di una stanza (open space) con accesso ristretto, computer e telefoni (con cuffia), il videowall (in realtà quasi inutile ma è ciò che i clienti si aspettano di vedere). Da non dimenticare che la rete del SOC dovrà essere divisa mediante un firewall (e un IPS) dal resto della rete (slide 41 per dettagli).
  • 22. Design Condividere le figure professionali tra i servizi Prova a pensare a quale tipo di risparmio puoi ottenere facendo gestire dallo stesso gruppo di analisti più servizi o ancora (più complicato) far gestire gli stessi servizi da due strutture (ad esempio l’allarmistica di notte potrebbe essere seguita da un NOC).
  • 23. Design Pianificare una strategia di marketing Contatta il marketing (sarebbe meglio che una persona del team di design venisse dal marketing) e pianifica una strategia.
  • 24. Implementation Scrivere processi e procedure Acquisire il know-how Implementare le tecnologie Creare una cultura della sicurezza nei venditori Creare un ambiente di test Far partire la strategia di marketing Applicare KPI/KPO
  • 25. Implementation Scrivere processi e procedure Coinvolgi il personale tecnico (se possibile, delega) nella scrittura delle procedure tecniche (dovrai comunque leggerle ed approvarle). Cerca di far scrivere i processi a persone che sono già da molto tempo in azienda in maniera tale che siano consapevoli del funzionamento dei processi interni, dei problemi di burocrazia e di quelli “politici”.
  • 26. Implementation Acquisire il know-how Per acquisire il know-how si può: • Assumere personale (consulenti o dipendenti, con relativi pro e contro) • Iscriversi a corsi ed ottenere certificazioni
  • 27. Implementation Implementare le tecnologie Implementa le tecnologie che hai selezionato durante la fase di design.
  • 28. Implementation Creare una cultura della sicurezza nelle vendite Fai sapere alle vendite che esistono dei nuovi servizi da vendere. Organizza incontri, prepara loro dei powerpoint (di semplice comprensione) sia per spiegar loro i servizi e sia per venderli.
  • 29. Implementation Creare un ambiente di test Avrai bisogno di un ambiente di laboratorio dove testare le nuove configurazioni, le nuove tecnologie, i PoC, etc.
  • 30. Implementation Far partire la strategia di marketing Dai il via alla strategia di marketing.
  • 31. Implementation Applicare KPI/KPO I KPI e KPO dovranno essere applicati al lavoro di ogni giorno. «Non si può gestire ciò che non si può misurare»
  • 32. Improvement Valutare le certificazioni utili al SOC Valutare le certificazioni utili al team del SOC Mantienere tu ed il tuo team aggiornato Fare in modo che il mercato ti conosca Fare in modo che il management ti conosca Effettuare uno scouting dei nuovi servizi erogabili Effettuare un periodico aggiornamento delle tecnologie Tenere sotto controllo KPI/KPO
  • 33. Improvement Valutare le certificazioni utili al SOC (visto come struttura) Alcune certificazioni sono richieste dai bandi di gara, per esempio la ISO27001 è quasi sempre presente.
  • 34. Improvement Valutare le certificazioni utili al team del SOC Alcune saranno richieste dai bandi di gara, altre ti saranno utili nelle fasi di troubleshooting. Una short list di certificazioni utili come esempio: GIAC, CISM, Security+, vendor specific, CCNA, CISSP, ITIL, etc. (vedi dettagli nella slide 56)
  • 35. Improvement Mantenere tu ed il tuo team aggiornati riguardo le news di sicurezza Leggi ogni giorno le sorgenti più importanti di notizie legate all’IT Security / hacking. Ad esempio: dark reading, twitter, the hacker news, gruppi linkedin, twitter, update di status di persone conosciute, etc.
  • 36. Improvement Fare in modo che il mercato ti conosca Organizza incontri, prendi parte a conferenze, usa LinkedIN, twitter, apri un blog e più in generale fai in modo che le altre persone capiscano che sei un attore importante del mercato.
  • 37. Improvement Fare in modo che il management ti conosca Non dimenticare mai che sei parte di un’organizzazione più grande. Il tuo management deve sempre sapere cosa stai facendo e quali sono i tuoi risultati. Organizza presentazioni periodiche, diffondi le informazioni e nel caso in cui arrivi un nuovo ed importante cliente, fallo sapere a più gente possibile.
  • 38. Improvement Effettuare uno scouting dei nuovi servizi erogabili È molto importante non smettere mai di parlare con i clienti, leggere le analisi di mercato, etc per capire dove sta andando il mercato per riuscire ad intercettare in tempo i bisogni dei clienti.
  • 39. Improvement Effettuare un periodico rinnovo delle tecnologie Almeno una volta l’anno dovresti controllare che le tecnologie che stai vendendo/gestendo (UTM, proxy, IPS, etc) o che stai usando (SIEM, ticketing, etc) sono ancora lo stato dell’arte per le tue necessità. Se così non fosse, dovresti valutare un rinnovo delle stesse.
  • 40. Improvement Monitorare KPI/KPO I Key Performance Indicator e i Key Performance Objectives sono il termometro del tuo lavoro. Se riuscirai a scegliere i giusti KPI/KPO, questi ti aiuteranno a capire se stai lavorando bene o meno, se puoi fare meglio o no, se stai lavorando troppo o troppo poco ed a prendere delle decisioni in maniera razionale.
  • 41. Caratteristiche degli spazi Open Space Il posto di lavoro ideale per un SOC è l’openspace. Non ci devono essere muri tra gli analisti. Hanno bisogno di analizzare insieme eventi, configurazioni, problemi etc e discutere senza barriere. Anche se alcuni si lamentano… Accesso ristretto L’accesso all’openspace deve essere ristretto e solo il personale autorizzato deve poter entrare nella stanza. Fai attenzione al pavimento ed al soffitto flottante: non ci deve essere la possibilità semplice di sfruttarli per saltare l’autenticazione. La scrivania Un telefono (con cuffie) e 2 computer: uno connesso ad internet e l’altro connesso alla rete di management del SOC. La scrivania dovrebbe essere posizionata a mezza luna in maniera tale che ogni analista sia in grado di vedere chiaramente il videowall. Tra le scrivanie ci dovrebbero essere dei separatori per fare in modo che un Cliente al telefono non possa accidentalmente ascoltare la comunicazione di un altro Cliente. Può essere presa in analisi l’ipotesi di utilizzare un thin client. Il videowall Ogni SOC ha un videowall. Il mio suggerimento è di costruirlo con degli LCD e non con degli schermi retroproiettati. Gli schermi retroproiettati (sono dei videoproiettori) sono più economici all’inizio ma hanno dei costi di manutenzione molto alti dovuti al fatto che le lampade si fulminano spesso. La rete La rete di management del SOC deve essere divisa dal resto della rete dell’azienda per mezzo di un firewall (e un IPS).
  • 43. I servizi erogati ed il modello logico Governance SOC MSSP - Managed Security Services Security Solution Management Vulnerability Management Channels Change Incident Threat Security Monitoring Proactive Security Management Management Management Security Services Security Mobile Event & Log DDoS Log Early Professional Device Security Correlation Protection Management Warning Services Management (Q4 2012) (Q4 2012)
  • 45. Security Device Management Obiettivo Delegare la gestione degli apparati di sicurezza (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.): • Gestisce gli apparati chi conosce approfonditamente la tecnologia e ha già affrontato i problemi più comuni in centinaia di installazioni; • In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i disservizi; • Le modifiche vengono gestite entro tempi stabiliti (SLA) e le configurazioni sono validate da personale specializzato: no configurazioni improvvisate!! (e.g. un IDS implementato in modo maldestro può bloccare traffico lecito e creare disservizi, un firewall non correttamente configurato, dando un falso senso di sicurezza, apre la strada verso i sistemi interni!) Azienda Security Operation Center Secure Connection Service Manager Security Firewall / IDS / etc. Analyst Product Specialist
  • 46. Early Warning Obiettivo Prevenire, contenere o contrastare possibili incidenti di natura informatica aggregando ed analizzando le tematiche di sicurezza che coinvolgono i Clienti. In generale, fornire all’azienda gli strumenti per decidere in modo consapevole sulle azioni da intraprendere per garantire la sicurezza dei propri sistemi IT • Individuare le minacce che possono avere un impatto reale sulla sicurezza filtrando i casi non significativi e non afferenti alla realtà del Cliente; • Informazioni affidabili e verificate da uno staff di esperti al fine di suggerire le corrette contromisure in base al reale pericolo che una minaccia rappresenta; • Analizzare le problematiche rispetto a molteplici punti di vista, sia tecnologici che di impatto sul business; • Avere strumento comprensibile contenente informazioni «pre-digerite» permette al reparto IT aziendale di risparmiare tempo (e costi) durante le fasi implementative Security Operation Azienda A Center C. Presentazione (report, web-portal, etc.) Azienda B Security Analyst Azienda C A. Raccolta informazioni B. Elaborazione dati (analisi di molteplici (analisi e contestualizzazione) fonti)
  • 47. Log Management & Collection Il Provvedimento Obiettivo Il Provvedimento del Garante della privacy Raccogliere e conservare tutti i log del cliente, in pubblicato nella GU il 24 dic. 08 obbliga particolare quelli di “accesso” in conformità alla tutte le aziende e la pubblica normativa italiana. amministrazione a conservare i “log” di tutti Analizzare e correlare gli eventi per individuare gli accessi amministrativi” a dispositivi e comportamenti anomali ed eventuali tentativi di applicazioni che contengono “dati intrusione personali”. Plus della gestione attraverso il SOC: • Supporto e consulenza nell’identificazione delle sorgenti di log • Garanzia di immutabilità e integrità dei dati raccolti • Utilizzo di piattaforma tecnologiche leader di mercato • Soluzioni Scalabili e Modulari che consentono di crescere facilmente seguendo le necessità del cliente
  • 48. Professional Services Obiettivo Offrire ai Clienti consulenza professionale specializzata attraverso attività che consentano di ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT. Penetration Test PCI-DSS ASV Vulnerability scan Assessment Tipologia di servizi offerti Web Mobile Application Assessment Assessment Wi-Fi Assessment
  • 49. Professional Services Penetration test e Vulnerability Assessment Obiettivo Individuare problematiche di sicurezza proponendo dei sistemi informatici specificati, simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza, disponibilità e integrità dei dati aziendali e valutarne al meglio i possibili impatti sul business Potenziali impatti e minacce I sistemi aziendali, se non adeguatamente protetti e regolarmente aggiornati, possono essere oggetto di attacchi mirati (es. spionaggio industriale) o attacchi distribuiti (es. propagazione di malware)
  • 50. Professional Services Web Application Assessment Obiettivo Individuare problematiche di sicurezza delle applicazioni web, simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza, disponibilità e integrità dei dati aziendali o la sicurezza della navigazione dei visitatori Potenziali impatti e minacce I siti web sono obiettivi privilegiati poichè più esposti ed utilizzati da un grande numero di utenti (es. clienti, fornitori, dipendenti). Sono soggetti a disservizi, danno di immagine, furto credenziali utente, frodi
  • 51. Professional Services Wireless Assessment Obiettivo Identificare reti Wireless all’interno degli edifici aziendali, capire se un utente non autorizzato possa accedervi e quindi esporre il Cliente a rischi per la confidenzialità, integrità e disponibilità dei dati contenuti nei sistemi aziendali raggiungibili da tali reti. Potenziali impatti e minacce Le reti wireless non sicure possono rappresentare la testa di ponte verso i sistemi interni e causare accessi non autorizzati a risorse aziendali e furti di informazioni riservate
  • 52. Professional Services Mobile Assessment Obiettivo Identificare problematiche di sicurezza delle piattaforme di Mobile Device Management (MDM) aziendali e verificare che applicazioni mobile custom non introducano problematiche di sicurezza che possano consentire il furto di informazioni aziendali o l’accesso non autorizzato a sistemi remoti che trasferiscono dati con tali applicazioni Potenziali impatti e minacce Un eventuale smarrimento o furto di un dispositivo, o l’infezione da parte di malware, può portare all’esposizione di informazioni aziendali verso terzi
  • 53. Professional Services PCI-DSS ASV scan Obiettivo Effettuare Vulnerability Assessment trimestrali verso i sistemi esterni dei Clienti al fine di soddisfare la conformità al requisito 11.2.2 dello standard PCI-DSS ed emettere la documentazione richiesta PCI: è una società a responsabilità limitata con sede in USA, fondata da American Express, Discover Financial Services, Potenziali impatti e minacce JCB International, MasterCard Worldwide e Visa Inc. La mancata conformità a questo standard può essere sanzionata con PCI-DSS: standard che definisce le misure di protezione dei multe da parte delle aziende emittenti processi di gestione dei pagamenti effettuati attraverso delle carte di credito e con carta di credito: l’estromissione dal circuito dei pagamenti, oltre a creare potenziali http://it.pcisecuritystandards.org/minisite/en/pci-dss-v2- problemi con clausole assicurative, 0.php rivalse legali, ecc. ASV (Approved Scanning Vendor): aziende autorizzate che validano l’aderenza a certi requisiti DSS attraverso l’esecuzione di Vulnerbility Assessment
  • 54. Distribuited Denial of Service Mitigation Obiettivo Un attacco «Distribuited Denial of Service» (DDoS) si verifica quando più sistemi in maniera coordinata inondano, la larghezza di banda o le risorse di un sistema, al fine di ostacolare e bloccare le attività arrecando gravi perdite economiche e d’immagine. Scopo del servizio è rilevare l’attacco ed attuare tutte le contromisure necessarie a limitarne l’impatto. Azienda Traffico lecito Traffico illecito Security Operation Center Anti-DDoS Technology Corporate Firewall
  • 55. Mobile Security Rischi per la riservatezza Nel corso degli ultimi anni si è enormemente diffuso l’utilizzo di dispositivi mobili (es., smartphone e tablet) non solo per scopi personali ma anche per finalità lavorative. Questa situazione pone un importante rischio per la sicurezza perché tali dispositivi, se non adeguatamente protetti e gestiti, possono portare all’esposizione di informazioni aziendali verso terzi. Obiettivo L’obiettivo del servizio è quello di rendere disponibile una piattaforma di Mobile Device Management (MDM) in modalità SaaS con le seguenti caratteristiche: • Console di amministrazione centralizzata per la gestione dei dispositivi mobili aziendali assegnati ai dipendenti. • Console di amministrazione centralizzata per la gestione dei dispositivi personali di chi intende usufruire di dati e servizi aziendali (es. posta elettronica) con il proprio dispositivo personale (BYOD). • Possibilità di impostare e gestire policy di sicurezza su tutti i dispositivi mobili connessi alla piattaforma.
  • 56. Certificazioni e skill Certificazioni tecniche Utili ad analisti e personale tecnico. CEH (Certified Ethical Hacker). Corso + esame: 2895$. CGIH (Certified GIAC Incident Handler). Corso + Esame 3500$ OSCP (Offensive Security Certified Professional). Corso + Esame 4000$ ISECOM OPST (Open Source Security tester). Costo non disponibile. ISECOM OPSA (Open Source Security Analyst). Costo non disponibile. Certificazioni vendor specific. Certificazioni più ad alto livello Utili ai coordinatori degli analisti ed al responsabile del SOC. CISM (Certified Information Security Manager) - Esame 500€. Corso ~800€. CISSP (Certified Information Systems Security Professional) – Costo esame: ~500€. ISO27001 Lead Auditor. Esame + corso ~1800€. PMP (Project Manager Professional) Esame 340€ per i membri PMI (129$ costo per essere associato alla PMI) oppure 465€ per i non associati PMI. Costo del corso 3K€. ITIL v3 foundations. Costo esame: ~150€ CISA (Certified Information System Auditor) Costo esame 500€. Costo corso ~800€.
  • 57. Thank you Riferimenti: davide.delvecchio@fastweb.it http://socstartup.blogspot.com https://grandiaziende.fastweb.it (sezione security)