Come realizzare e gestire un
Security Operations Center
Cos’è, come si realizza e tante altre cose che ho imparato negli ultimi anni...
Davide Del Vecchio
Responsabile SOC Enterprise di FASTWEB SpA

Agenda
 Chi sono
 Cos’è un SOC
 La realizzazione
 Gli spazi
 Servizi erogati
 Conoscenze / Certificazioni / Skill
Come realizzare e gestire un SOC – Davide Del Vecchio

Chi sono
Oggi:
• Responsabile del SOC Enterprise (MSS) di FASTWEB SpA.
• Autore freelance per WIRED Italia
• Socio fondatore del Centro Studi Hermes (http://logioshermes.org)
• Autore del blog http://socstartup.blogspot.com
• Socio CLUSIT
• Socio ISACA
• Certificato: CISM, ITILv3
In passato:
• Consulente in ambito IT Security per 10 anni
• Ho partecipato allo startup di 2 SOC
• Responsabile per 2 anni della rubrica «vulnerabilità» di ICT Security Magazine
• Ricercatore indipendente nell’ambito della sicurezza informatica conosciuto con il nickname «Dante»
(pubblicazione di numerosi advisory, ricerche, tool)
• Relatore presso numerosi congressi nazionali ed internazionali

Cos’è un SOC
Un Security Operations Center (SOC) è Un SOC può anche fornire servizi di Incident Response, in questo
un centro operativo da cui vengono erogati caso svolge la funzione di C-SIRT
servizi finalizzati alla Sicurezza dei Sistemi (Computer Security Incident Response Team)
informativi:
Anche se le due funzioni sono logicamente e funzionalmente
 Dedicato alla sicurezza interna assimilabili, alcune grandi aziende dispongono di strutture SOC e
dell’azienda stessa (SOC Corporate / C-SIRT separate.
Interno);
 Dedicato all’erogazione dei servizi ai
Clienti (Managed Security Services -
MSS);
• Quando un SOC è dedicato alla sicurezza interna dell’azienda stessa il suo principale compito è di
fornire la capacità di analizzare le informazioni e rilevare potenziali rischi e/o tentativi di intrusione,
nonché rispondere in modo tempestivo ad eventuali incidenti di sicurezza.
Un SOC fornisce inoltre tutti quegli strumenti necessari a misurare le performance dei sistemi dedicati
alla sicurezza e quindi a valutare correttamente il livello di rischio/esposizione aziendale.
• Un SOC dedicato all’erogazione di servizi di sicurezza verso terzi viene solitamente denominato MSSP
(Managed Security Service Provider).
Un MSSP eroga servizi che sollevano le aziende dalle gestione operativa della sicurezza aziendale.
Questi servizi sono solitamente gestiti tramite un centro di eccellenza in cui convergono competenze e
tecnologie messe al servizio dei Clienti.

Classificazione dei servizi SOC / MSS
 Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate
all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate nel SOC, la
funzionalità dei sistemi è in questo modo demandata a specialisti di sicurezza e non ad
un generico reparto IT
 Monitoring: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine
di individuare tempestivamente tentativi di intrusione, di attacco o di misuse (utilizzo
non corretto) dei sistemi
 Incident Response: un team di specialisti in collaborazione con il Cliente individua il
miglior approccio possibile per mitigare un attacco in corso (incident handling, DDoS
mitigation, crisis team)
 Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione
dell'organizzazione (risk evaluation, security assessment, early warning, security
awareness, event correlation)

Il progetto di realizzazione
Pre-design
Security
Improvement Operations Design
Center
Implementation

Pre-design
Certificazioni utili al design
Analisi del mercato dei servizi di sicurezza
Parla con altre persone già coinvolte nel mercato
Costruisci il team di design
Visita altri Security Operations Center
Studia i competitor
Budget
Timing

Pre-design
Certificazioni utili al design
Alcune certificazioni possono risultare molto utili durante la fase di design. Ti
metteranno in grado di risparmiare tempo e denaro evitando di farti commettere gli
errori più comuni. Alcuni esempi di certificazioni utili al design sono: ITIL,
ISO27001LA, PMP, etc
L’approccio più razionale.
In generale, è utile ricordare che “ho seguito le best practice” è la migliore risposta
alla domanda (che sicuramente vi sentirete fare prima o poi) “perché stai facendo/hai
fatto le cose in questa maniera?”

Pre-design
Analisi del mercato dei servizi di sicurezza
Mai dimenticare che si è guidati dal mercato. Bisogna implementare i servizi che
sono richiesti dal mercato. Bisogna evitare di trasformare il SOC in un centro di
ricerca. Un buon esempio di un’analisi di mercato (facile da trovare sul web) sono i
magic quadrant di GARTNER.
Esiste anche un’analisi di mercato di GARTNER ad hoc sui servizi di sicurezza
gestita del mercato europeo.

Pre-design
Parlare con persone già coinvolte nel mercato
Per capire meglio la situazione dei servizi di sicurezza gestita nel tuo paese, dovresti
provare a parlare con il maggior numero di persone possibili già coinvolte in questo
mercato.
Prova ad iscriverti a gruppi specifici su LinkedIN, chiama gli amici e parla con i
protagonisti più conosciuti del mercato.

Pre-design
Costruire il team di design
I componenti del team di design dovrebbero essere sia interni che esterni (consulenti)
all’azienda. Se hai l’opportunità, coinvolgi le persone del marketing, i pre-sale e il NOC.
Le persone del marketing ed i pre-sale ti aiuteranno a spingere sui venditori mentre le persone
del NOC ti potranno aiutare a risolvere i classici problemi ben noti di burocrazia interni alla
compagnia.
Più persone riuscirai a coinvolgere (ma non troppe) e più queste spingeranno il progetto sia
internamente che sul mercato.

Pre-design
Visitare altri Security Operations Center
Se possibile, visita altri SOC e prova a capire come funzionano (o come dovrebbero
funzionare!).

Pre-design
Studiare i competitor
Prova a capire:
• Quali servizi erogano
• Quali non erogano e perché
• Le mancanze, i difetti ed i possibili miglioramenti
• I prezzi ed il modello d’offerta.

Pre-design
Budget
Valuta quali sono le risorse economiche a cui puoi attingere, quali tipi di tecnologie
potrai implementare (un SIEM per esempio è molto costoso) e se sarai in grado di
acquisire il know-how (certificazioni e corsi).

Pre-design
Timing
L’azienda ti darà un obiettivo temporale. Nel migliore dei casi riuscirai a negoziarlo,
nel peggiore sarà mandatorio.
Sarai in grado di effettuare lo startup del SOC ed implementare tutti i servizi che hai
in mente? Quali sarai in grado di offrire nei tempi previsti?

Design
Decidere i servizi da erogare
Effettuare il design dei servizi
Effettuare le scelte tecnologiche
Definire i KPI/KPO
Le facility
Condividere le figure professionali tra i servizi
Pianificare una strategia di mercato

Design
Decidere i servizi da erogare
Decidi i servizi da erogare basando la tua scelta sui fattori presi in considerazione
nella fase di pre-design: analisi del mercato, budget a disposizione, tempi, etc.

Design
Effettuare il design dei servizi
Studia come i servizi devono essere erogati.

Design
Scegliere le tecnologie
Dovrai scegliere quali tecnologie gestire e vendere.
Una buona metodologia per la scelta può essere:
1. Analisi di mercato
2. Creazione di una short list
3. PoC (Proof of Concept)
4. Valutazione
5. Scelta

Design
Definire i KPI/KPO
Per il governo del SOC è molto importante definire i Key Performance Indicators
e i Key Performance Objectives. Utile coinvolgere nelle decisioni anche i tecnici.
Esempi?
Ticket gestiti, apparati gestiti, numero cessazioni, numero escalation…

Design
Le Facility
Dal punto di vista delle facility, avrai bisogno di una stanza (open space) con
accesso ristretto, computer e telefoni (con cuffia), il videowall (in realtà quasi
inutile ma è ciò che i clienti si aspettano di vedere). Da non dimenticare che la rete
del SOC dovrà essere divisa mediante un firewall (e un IPS) dal resto della rete
(slide 41 per dettagli).

Design
Condividere le figure professionali tra i servizi
Prova a pensare a quale tipo di risparmio puoi ottenere facendo gestire dallo stesso
gruppo di analisti più servizi o ancora (più complicato) far gestire gli stessi servizi
da due strutture (ad esempio l’allarmistica di notte potrebbe essere seguita da un
NOC).

Design
Pianificare una strategia di marketing
Contatta il marketing (sarebbe meglio che una persona del team di design venisse
dal marketing) e pianifica una strategia.

Implementation
Scrivere processi e procedure
Acquisire il know-how
Implementare le tecnologie
Creare una cultura della sicurezza nei venditori
Creare un ambiente di test
Far partire la strategia di marketing
Applicare KPI/KPO

Implementation
Scrivere processi e procedure
Coinvolgi il personale tecnico (se possibile, delega) nella scrittura delle procedure
tecniche (dovrai comunque leggerle ed approvarle).
Cerca di far scrivere i processi a persone che sono già da molto tempo in azienda
in maniera tale che siano consapevoli del funzionamento dei processi interni, dei
problemi di burocrazia e di quelli “politici”.

Implementation
Acquisire il know-how
Per acquisire il know-how si può:
• Assumere personale (consulenti o dipendenti, con relativi pro e contro)
• Iscriversi a corsi ed ottenere certificazioni

Implementation
Implementare le tecnologie
Implementa le tecnologie che hai selezionato durante la fase di design.

Implementation
Creare una cultura della sicurezza nelle vendite
Fai sapere alle vendite che esistono dei nuovi servizi da vendere.
Organizza incontri, prepara loro dei powerpoint (di semplice comprensione) sia per
spiegar loro i servizi e sia per venderli.

Implementation
Creare un ambiente di test
Avrai bisogno di un ambiente di laboratorio dove testare le nuove configurazioni, le
nuove tecnologie, i PoC, etc.

Implementation
Far partire la strategia di marketing
Dai il via alla strategia di marketing.

Implementation
Applicare KPI/KPO
I KPI e KPO dovranno essere applicati al lavoro di ogni giorno.
«Non si può gestire ciò che non si può misurare»

Improvement
Valutare le certificazioni utili al SOC
Valutare le certificazioni utili al team del SOC
Mantienere tu ed il tuo team aggiornato
Fare in modo che il mercato ti conosca
Fare in modo che il management ti conosca
Effettuare uno scouting dei nuovi servizi erogabili
Effettuare un periodico aggiornamento delle tecnologie
Tenere sotto controllo KPI/KPO

Improvement
Valutare le certificazioni utili al SOC (visto come struttura)
Alcune certificazioni sono richieste dai bandi di gara, per esempio la ISO27001 è
quasi sempre presente.

Improvement
Valutare le certificazioni utili al team del SOC
Alcune saranno richieste dai bandi di gara, altre ti saranno utili nelle fasi di
troubleshooting.
Una short list di certificazioni utili come esempio: GIAC, CISM, Security+, vendor
specific, CCNA, CISSP, ITIL, etc. (vedi dettagli nella slide 56)

Improvement
Mantenere tu ed il tuo team aggiornati riguardo le news di sicurezza
Leggi ogni giorno le sorgenti più importanti di notizie legate all’IT Security /
hacking. Ad esempio: dark reading, twitter, the hacker news, gruppi linkedin,
twitter, update di status di persone conosciute, etc.

Improvement
Fare in modo che il mercato ti conosca
Organizza incontri, prendi parte a conferenze, usa LinkedIN, twitter, apri un blog e
più in generale fai in modo che le altre persone capiscano che sei un attore
importante del mercato.

Improvement
Fare in modo che il management ti conosca
Non dimenticare mai che sei parte di un’organizzazione più grande. Il tuo
management deve sempre sapere cosa stai facendo e quali sono i tuoi risultati.
Organizza presentazioni periodiche, diffondi le informazioni e nel caso in cui arrivi
un nuovo ed importante cliente, fallo sapere a più gente possibile.

Improvement
Effettuare uno scouting dei nuovi servizi erogabili
È molto importante non smettere mai di parlare con i clienti, leggere le analisi di
mercato, etc per capire dove sta andando il mercato per riuscire ad intercettare in
tempo i bisogni dei clienti.

Improvement
Effettuare un periodico rinnovo delle tecnologie
Almeno una volta l’anno dovresti controllare che le tecnologie che stai
vendendo/gestendo (UTM, proxy, IPS, etc) o che stai usando (SIEM, ticketing, etc)
sono ancora lo stato dell’arte per le tue necessità.
Se così non fosse, dovresti valutare un rinnovo delle stesse.

Improvement
Monitorare KPI/KPO
I Key Performance Indicator e i Key Performance Objectives sono il termometro
del tuo lavoro. Se riuscirai a scegliere i giusti KPI/KPO, questi ti aiuteranno a
capire se stai lavorando bene o meno, se puoi fare meglio o no, se stai lavorando
troppo o troppo poco ed a prendere delle decisioni in maniera razionale.

Caratteristiche degli spazi
Open Space
Il posto di lavoro ideale per un SOC è l’openspace. Non ci devono essere muri tra gli analisti. Hanno bisogno di
analizzare insieme eventi, configurazioni, problemi etc e discutere senza barriere. Anche se alcuni si lamentano…
Accesso ristretto
L’accesso all’openspace deve essere ristretto e solo il personale autorizzato deve poter entrare nella stanza. Fai
attenzione al pavimento ed al soffitto flottante: non ci deve essere la possibilità semplice di sfruttarli per saltare
l’autenticazione.
La scrivania
Un telefono (con cuffie) e 2 computer: uno connesso ad internet e l’altro connesso alla rete di management del
SOC. La scrivania dovrebbe essere posizionata a mezza luna in maniera tale che ogni analista sia in grado di vedere
chiaramente il videowall. Tra le scrivanie ci dovrebbero essere dei separatori per fare in modo che un Cliente al
telefono non possa accidentalmente ascoltare la comunicazione di un altro Cliente. Può essere presa in analisi
l’ipotesi di utilizzare un thin client.
Il videowall
Ogni SOC ha un videowall. Il mio suggerimento è di costruirlo con degli LCD e non con degli schermi
retroproiettati. Gli schermi retroproiettati (sono dei videoproiettori) sono più economici all’inizio ma hanno dei
costi di manutenzione molto alti dovuti al fatto che le lampade si fulminano spesso.
La rete
La rete di management del SOC deve essere divisa dal resto della rete dell’azienda per mezzo di un firewall (e un
IPS).

SOC di Swisscom

I servizi erogati ed il modello logico
Governance
SOC MSSP - Managed Security Services
Security Solution Management Vulnerability Management
Channels
Change Incident Threat
Security Monitoring Proactive Security
Management Management Management
Security Services
Security Mobile Event & Log
DDoS Log Early Professional
Device Security Correlation
Protection Management Warning Services
Management (Q4 2012) (Q4 2012)

Servizi di Sicurezza
Argomenti

Security Device Management
Obiettivo
Delegare la gestione degli apparati di sicurezza (FIREWALL , IDS/IPS, ANTIVIRUS, HONEYPOT, etc.):
• Gestisce gli apparati chi conosce approfonditamente la tecnologia e ha già affrontato i problemi più comuni in centinaia
di installazioni;
• In caso di attacco il team del SOC conosce dove/come agire per riportare la situazione in sicurezza minimizzando i
disservizi;
• Le modifiche vengono gestite entro tempi stabiliti (SLA) e le configurazioni sono validate da personale specializzato: no
configurazioni improvvisate!!
(e.g. un IDS implementato in modo maldestro può bloccare traffico lecito e creare disservizi, un firewall non
correttamente configurato, dando un falso senso di sicurezza, apre la strada verso i sistemi interni!)
Azienda Security Operation
Center
Secure
Connection
Service
Manager
Security
Firewall / IDS / etc. Analyst
Product
Specialist

Early Warning
Obiettivo
Prevenire, contenere o contrastare possibili incidenti di natura informatica aggregando ed analizzando le tematiche di
sicurezza che coinvolgono i Clienti. In generale, fornire all’azienda gli strumenti per decidere in modo consapevole sulle
azioni da intraprendere per garantire la sicurezza dei propri sistemi IT
• Individuare le minacce che possono avere un impatto reale sulla sicurezza filtrando i casi non significativi e non
afferenti alla realtà del Cliente;
• Informazioni affidabili e verificate da uno staff di esperti al fine di suggerire le corrette contromisure in base al reale
pericolo che una minaccia rappresenta;
• Analizzare le problematiche rispetto a molteplici punti di vista, sia tecnologici che di impatto sul business;
• Avere strumento comprensibile contenente informazioni «pre-digerite» permette al reparto IT aziendale di
risparmiare tempo (e costi) durante le fasi implementative
Security Operation
Azienda A Center
C. Presentazione
(report, web-portal, etc.)
Azienda B
Security
Analyst
Azienda C
A. Raccolta informazioni
B. Elaborazione dati (analisi di molteplici
(analisi e contestualizzazione) fonti)

Log Management & Collection Il Provvedimento
Obiettivo
Il Provvedimento del Garante della privacy
Raccogliere e conservare tutti i log del cliente, in
pubblicato nella GU il 24 dic. 08 obbliga
particolare quelli di “accesso” in conformità alla
tutte le aziende e la pubblica
normativa italiana.
amministrazione a conservare i “log” di tutti
Analizzare e correlare gli eventi per individuare gli accessi amministrativi” a dispositivi e
comportamenti anomali ed eventuali tentativi di applicazioni che contengono “dati
intrusione personali”.
Plus della gestione attraverso il SOC:
• Supporto e consulenza
nell’identificazione delle sorgenti di log
• Garanzia di immutabilità e integrità dei
dati raccolti
• Utilizzo di piattaforma tecnologiche
leader di mercato
• Soluzioni Scalabili e Modulari che
consentono di crescere facilmente
seguendo le necessità del cliente

Professional Services
Obiettivo
Offrire ai Clienti consulenza professionale specializzata attraverso attività che consentano di
ottenere una fotografia del livello di sicurezza di un’area della propria infrastruttura IT.
Penetration
Test
PCI-DSS ASV Vulnerability
scan Assessment
Tipologia di
servizi offerti
Web
Mobile
Application
Assessment
Assessment
Wi-Fi
Assessment

Professional Services
Penetration test e Vulnerability Assessment
Obiettivo
Individuare problematiche di sicurezza proponendo dei sistemi informatici specificati,
simulando le metodologie di attacco utilizzate da persone fisiche o malware ai fini di
compromettere la riservatezza, disponibilità e integrità dei dati aziendali e valutarne al
meglio i possibili impatti sul business
Potenziali impatti e minacce
I sistemi aziendali, se non
adeguatamente protetti e regolarmente
aggiornati, possono essere oggetto di
attacchi mirati (es. spionaggio
industriale) o attacchi distribuiti (es.
propagazione di malware)

Professional Services
Web Application Assessment
Obiettivo
Individuare problematiche di sicurezza delle applicazioni web, simulando le metodologie di
attacco utilizzate da persone fisiche o malware ai fini di compromettere la riservatezza,
disponibilità e integrità dei dati aziendali o la sicurezza della navigazione dei visitatori
Potenziali impatti e minacce
I siti web sono obiettivi privilegiati
poichè più esposti ed utilizzati da un
grande numero di utenti (es. clienti,
fornitori, dipendenti). Sono soggetti a
disservizi, danno di immagine, furto
credenziali utente, frodi

Professional Services
Wireless Assessment
Obiettivo
Identificare reti Wireless all’interno degli edifici aziendali, capire se un utente non
autorizzato possa accedervi e quindi esporre il Cliente a rischi per la confidenzialità,
integrità e disponibilità dei dati contenuti nei sistemi aziendali raggiungibili da tali reti.
Potenziali impatti e minacce
Le reti wireless non sicure possono
rappresentare la testa di ponte verso i
sistemi interni e causare accessi non
autorizzati a risorse aziendali e furti di
informazioni riservate

Professional Services
Mobile Assessment
Obiettivo
Identificare problematiche di sicurezza delle piattaforme di Mobile Device Management
(MDM) aziendali e verificare che applicazioni mobile custom non introducano problematiche
di sicurezza che possano consentire il furto di informazioni aziendali o l’accesso non
autorizzato a sistemi remoti che trasferiscono dati con tali applicazioni
Potenziali impatti e minacce
Un eventuale smarrimento o furto di un
dispositivo, o l’infezione da parte di
malware, può portare all’esposizione di
informazioni aziendali verso terzi

Professional Services
PCI-DSS ASV scan
Obiettivo
Effettuare Vulnerability Assessment trimestrali verso i sistemi esterni dei Clienti al fine di
soddisfare la conformità al requisito 11.2.2 dello standard PCI-DSS ed emettere la
documentazione richiesta
PCI: è una società a responsabilità limitata con sede in USA,
fondata da American Express, Discover Financial Services,
Potenziali impatti e minacce JCB International, MasterCard Worldwide e Visa Inc.
La mancata conformità a questo
standard può essere sanzionata con
PCI-DSS: standard che definisce le misure di protezione dei
multe da parte delle aziende emittenti
processi di gestione dei pagamenti effettuati attraverso
delle carte di credito e con carta di credito:
l’estromissione dal circuito dei
pagamenti, oltre a creare potenziali http://it.pcisecuritystandards.org/minisite/en/pci-dss-v2-
problemi con clausole assicurative, 0.php
rivalse legali, ecc.
ASV (Approved Scanning Vendor): aziende autorizzate che
validano l’aderenza a certi requisiti DSS attraverso
l’esecuzione di Vulnerbility Assessment

Distribuited Denial of Service Mitigation
Obiettivo
Un attacco «Distribuited Denial of Service» (DDoS) si verifica quando più sistemi in maniera
coordinata inondano, la larghezza di banda o le risorse di un sistema, al fine di ostacolare e
bloccare le attività arrecando gravi perdite economiche e d’immagine.
Scopo del servizio è rilevare l’attacco ed attuare tutte le contromisure necessarie a limitarne
l’impatto.
Azienda
Traffico lecito
Traffico illecito
Security Operation Center
Anti-DDoS Technology
Corporate Firewall

Mobile Security
Rischi per la riservatezza
Nel corso degli ultimi anni si è enormemente diffuso l’utilizzo di dispositivi mobili (es., smartphone e tablet)
non solo per scopi personali ma anche per finalità lavorative. Questa situazione pone un importante rischio
per la sicurezza perché tali dispositivi, se non adeguatamente protetti e gestiti, possono portare
all’esposizione di informazioni aziendali verso terzi.
Obiettivo
L’obiettivo del servizio è quello di rendere disponibile una piattaforma di Mobile Device Management (MDM)
in modalità SaaS con le seguenti caratteristiche:
• Console di amministrazione
centralizzata per la gestione dei
dispositivi mobili aziendali assegnati ai
dipendenti.
• Console di amministrazione
centralizzata per la gestione dei
dispositivi personali di chi intende
usufruire di dati e servizi aziendali (es.
posta elettronica) con il proprio
dispositivo personale (BYOD).
• Possibilità di impostare e gestire policy
di sicurezza su tutti i dispositivi mobili
connessi alla piattaforma.

Certificazioni e skill
Certificazioni tecniche
Utili ad analisti e personale tecnico.
CEH (Certified Ethical Hacker). Corso + esame: 2895$.
CGIH (Certified GIAC Incident Handler). Corso + Esame 3500$
OSCP (Offensive Security Certified Professional). Corso + Esame 4000$
ISECOM OPST (Open Source Security tester). Costo non disponibile.
ISECOM OPSA (Open Source Security Analyst). Costo non disponibile.
Certificazioni vendor specific.
Certificazioni più ad alto livello
Utili ai coordinatori degli analisti ed al responsabile del SOC.
CISM (Certified Information Security Manager) - Esame 500€. Corso ~800€.
CISSP (Certified Information Systems Security Professional) – Costo esame: ~500€.
ISO27001 Lead Auditor. Esame + corso ~1800€.
PMP (Project Manager Professional) Esame 340€ per i membri PMI (129$ costo per essere associato alla PMI)
oppure 465€ per i non associati PMI. Costo del corso 3K€.
ITIL v3 foundations. Costo esame: ~150€
CISA (Certified Information System Auditor) Costo esame 500€. Costo corso ~800€.

Thank you
Riferimenti:
davide.delvecchio@fastweb.it
http://socstartup.blogspot.com
https://grandiaziende.fastweb.it (sezione security)