Come funziona un Security Operations Center (SOC)?

Analisi da parte dell'uomo e della macchina

Si doveva fare in fretta. La piattaforma SOAR (Security Orchestration, Automation and Response) aveva segnalato accessi insoliti da parte di utenti in alcuni server interni e indirizzi Internet. A questo punto, il Security Analyst di turno aveva portato l'allarme al livello di Incident attraverso la piattaforma SOAR e lo aveva inoltrato alla sua collega di Incident Response Layer per un'analisi approfondita.

«La nostra piattaforma centrale SOAR ci aiuta ad arricchire con ulteriori informazioni gli allarmi provenienti da diversi sistemi di rilevamento attraverso workflow di analisi automatizzati, filtrare i falsi allarmi e rilevare così con rapidità gli episodi da prendere in seria considerazione», afferma in proposito Florian Leibenzeder, Responsabile tecnico del SOC di Swisscom. In questo caso, dalla prima analisi era risultato un «True Positive», ossia un reale episodio che coinvolge la sicurezza, che ha portato a una escalation.

Ciò che l'esperta Security Analyst ha rilevato nella propria analisi approfondita non le è piaciuto affatto. Tre notebook mostravano infatti contemporaneamente lo stesso comportamento sospetto. Uno degli utenti aveva contattato la hotline per la difesa informatica perché aveva ricevuto un documento che, una volta aperto, gli era apparso strano.

Da una consultazione telefonica era emerso che l'utente aveva ricevuto un'«offerta» da un presunto potenziale fornitore attraverso una piattaforma di file-sharing. In precedenza era già avvenuto uno scambio di e-mail, cosicché inizialmente l'utente non si era insospettito e aveva aperto il documento, mandando così in esecuzione un nuovo e sofisticato malware. Dato che per l'attacco era stata violata inoltre una nota piattaforma di filesharing, i criminali informatici erano stati in grado di eludere i meccanismi di rilevamento della soluzione EDR (Endpoint Detection & Response). Un attacco così sofisticato e ben mirato rappresenta una sfida per gli specialisti in Security che si occupano della difesa.

Dal SOC al CSIRT

Ora è necessaria l'expertise umana, ossia quella degli esperti Incident Responder del CSIRT in servizio nella Operations Squad. Nonostante tutto, l'atmosfera è calma. Gli esperti stanno seduti concentrati di fronte ai propri schermi. Nel frattempo sono riusciti a isolare il malware e a contenere l'attacco, ovvero effettuare un «Containment», come viene denominata questa fase dell'Incident Response. Questa procedura standard è stata coniata dal SANS Institute(apre una nuova finestra), specializzato in corsi di perfezionamento in materia di sicurezza informatica. L'«Incident Response Cycle» suddivide la difesa in sei passaggi, dalla preparazione alla «Lessons Learned», in cui vengono valutate le esperienze e le conoscenze acquisite dalla gestione del Security Incident e avviate misure di miglioramento. «Questa standardizzazione aiuta, in casi come questo, a mantenere una visione di insieme senza farsi prendere dalla frenesia», afferma Stephan Rickauer, Responsabile presso Swisscom del servizio CSIRT per la clientela aziendale.

Per il contenimento, il CSIRT aveva bloccato i tre account utente interessati e scollegato i notebook dalla rete, per ostacolare la diffusione del malware all'interno della rete aziendale. Tuttavia, queste misure da sole non consentono ancora agli specialisti di garantire che l'aggressore non si trovi più all'interno della rete. Dopo una breve consultazione, gli specialisti decidono che il passo successivo debba consistere innanzitutto nella ricerca di eventuali ulteriori tracce dell'attacco, i cosiddetti Indicators of Compromise (IoC). Gli specialisti vogliono assicurarsi che i criminali informatici non si nascondano ancora in qualche altro sistema o non abbiano causato altri danni. Ora sono necessarie le loro conoscenze specialistiche.

Gli esperti di Security portano avanti il lavoro del sistema SOAR e analizzano l'infrastruttura manualmente alla ricerca di ulteriori tracce di effrazione. Per effettuare un'analisi strutturata, fanno leva sulle ampie conoscenze specialistiche e sull'esperienza pluriennale di cui dispongono. Uno degli esperti analizza i numerosi file log alla ricerca di login sospetti e attività del malware, mentre un secondo specialista esamina il traffico della rete alla ricerca di possibili accessi a un Command&Control-Server. Queste attività aiutano gli esperti a scovare eventuali file malware, anomalie di rete e voci di registro ben nascosti.

Dal contenimento alla postelaborazione

Poco tempo dopo, gli esperti di Security comunicano il cessato allarme. Sulla piattaforma SOAR non sono apparsi ulteriori allarmi e i tentativi di accesso ai server non hanno avuto successo. L'Incident viene riportato a un livello inferiore e le persone coinvolte pianificano la valutazione del proprio intervento nell'ambito della fase «Lessons Learned».

«Solo una progressiva automatizzazione e l'uniformazione degli strumenti ci permetteranno di restare al passo con la crescente complessità delle nostre infrastrutture e con gli attacchi che si verificano al loro interno.»

Florian Leibenzeder, Responsabile tecnico del SOC di Swisscom

Come fanno gli specialisti del CSIRT a pianificare un lavoro che in realtà non sarebbe pianificabile, in quanto è determinato da eventi esterni e non segue gli orari di ufficio? «Il livello di criticità di un evento spesso determina l'assegnazione delle priorità, ed è questo il criterio più importante», spiega Stephan Rickauer.

Per questo motivo, i Security Analyst rinviano a una fase successiva l'incarico di effettuare un'analisi forense sugli apparecchi. Quest'analisi aiuta a comprendere meglio le procedure adottate dagli aggressori, ossia a rilevare le tecniche, le tattiche e il modus operandi (TTP). Ad ogni modo, il livello di urgenza di questa fase è basso, perché non ci sono altri pericoli provenienti dai notebook.

Dall'analisi all'automatizzazione

L'analisi forense confluisce nella valutazione dell'episodio che ha coinvolto la sicurezza. Gli specialisti in Security non solo riferiscono le operazioni andate a buon fine e gli aspetti sotto cui si cela del potenziale di miglioramento. Sulla base dell'analisi dell'episodio, sviluppano un nuovo «Detection Use Case». Si tratta nella fattispecie di una rappresentazione schematica del modello di attacco, ad esempio quali registrazioni di log indichino un attacco di quel tipo e su quali sistemi.

«Durante lo sviluppo degli Use Case, il nostro obiettivo consiste nell'automatizzazione della prima analisi, del triage ed eventualmente della reazione. A questo proposito ci sono d'aiuto le potenti funzioni EDR sugli apparecchi delle postazioni di lavoro e sui server nonché i workflow SOAR per l'automatizzazione di analisi e Response. «Solo una progressiva automatizzazione e l'uniformazione degli strumenti ci permetteranno di restare al passo con la crescente complessità delle nostre infrastrutture e con gli attacchi che si verificano al loro interno», afferma Florian Leibenzeder. SOC e CSIRT con strumenti di automatizzazione sono imprescindibili per una difesa informatica moderna.

In questo modo, se si verifica un nuovo attacco di questo tipo, il SOC sarà in grado di reagire in modo automatizzato e, probabilmente, il CSIRT non dovrà affatto intervenire, in quanto l'attacco viene bloccato già in una fase precedente, durante l'Incident Response. «L'aspetto stimolante del lavoro nel CSIRT sta nella varietà degli incarichi. Non ci piace granché svolgere due volte la stessa attività», afferma ridendo Stephan Rickauer.

L'attacco qui descritto è fittizio e ha lo scopo di mostrare a titolo esemplificativo il modus operandi di SOC e CSIRT.