SOC e CSIRT spiegati

Come funziona un Security Operations Center (SOC)?

Il Security Operations Center è il moderno centro di difesa dagli attacchi informatici. Come opera quindi un SOC e in che modo interagisce con i «vigili del fuoco IT», ossia il CSIRT? Per spigarlo, sarà utilizzato un episodio (fittizio) che ha coinvolto la sicurezza.

Texte: Andreas Heer, Immagine: iStock,

Silenzio e concentrazione. Si sente solo il ticchettio delle tastiere. Gli specialisti in IT-Security stanno seduti di fronte ai propri schermi ad analizzare il server di rete e i notebook, sui quali - nonostante tutte le misure di sicurezza - si è insediato un malware. Non si percepisce frenesia, anche se si tratta di un attacco sofisticato, che necessita dell'intervento del Computer Security Incident Response Team (CSIRT). Poco tempo prima, il caso era stato inoltrato dai Security Analyst del SOC a causa del suo livello di criticità.

Analisi da parte dell'uomo e della macchina

Si doveva fare in fretta. La piattaforma SOAR (Security Orchestration, Automation and Response) aveva segnalato accessi insoliti da parte di utenti in alcuni server interni e indirizzi Internet. A questo punto, il Security Analyst di turno aveva portato l'allarme al livello di Incident attraverso la piattaforma SOAR e lo aveva inoltrato alla sua collega di Incident Response Layer per un'analisi approfondita.

 

«La nostra piattaforma centrale SOAR ci aiuta ad arricchire con ulteriori informazioni gli allarmi provenienti da diversi sistemi di rilevamento attraverso workflow di analisi automatizzati, filtrare i falsi allarmi e rilevare così con rapidità gli episodi da prendere in seria considerazione», afferma in proposito Florian Leibenzeder, Responsabile tecnico del SOC di Swisscom. In questo caso, dalla prima analisi era risultato un «True Positive», ossia un reale episodio che coinvolge la sicurezza, che ha portato a una escalation.

 

Ciò che l'esperta Security Analyst ha rilevato nella propria analisi approfondita non le è piaciuto affatto. Tre notebook mostravano infatti contemporaneamente lo stesso comportamento sospetto. Uno degli utenti aveva contattato la hotline per la difesa informatica perché aveva ricevuto un documento che, una volta aperto, gli era apparso strano.

 

Da una consultazione telefonica era emerso che l'utente aveva ricevuto un'«offerta» da un presunto potenziale fornitore attraverso una piattaforma di file-sharing. In precedenza era già avvenuto uno scambio di e-mail, cosicché inizialmente l'utente non si era insospettito e aveva aperto il documento, mandando così in esecuzione un nuovo e sofisticato malware. Dato che per l'attacco era stata violata inoltre una nota piattaforma di filesharing, i criminali informatici erano stati in grado di eludere i meccanismi di rilevamento della soluzione EDR (Endpoint Detection & Response). Un attacco così sofisticato e ben mirato rappresenta una sfida per gli specialisti in Security che si occupano della difesa.

Dal SOC al CSIRT

Ora è necessaria l'expertise umana, ossia quella degli esperti Incident Responder del CSIRT in servizio nella Operations Squad. Nonostante tutto, l'atmosfera è calma. Gli esperti stanno seduti concentrati di fronte ai propri schermi. Nel frattempo sono riusciti a isolare il malware e a contenere l'attacco, ovvero effettuare un «Containment», come viene denominata questa fase dell'Incident Response. Questa procedura standard è stata coniata dal SANS Institute, specializzato in corsi di perfezionamento in materia di sicurezza informatica. L'«Incident Response Cycle» suddivide la difesa in sei passaggi, dalla preparazione alla «Lessons Learned», in cui vengono valutate le esperienze e le conoscenze acquisite dalla gestione del Security Incident e avviate misure di miglioramento. «Questa standardizzazione aiuta, in casi come questo, a mantenere una visione di insieme senza farsi prendere dalla frenesia», afferma Stephan Rickauer, Responsabile presso Swisscom del servizio CSIRT per la clientela aziendale.

 

Per il contenimento, il CSIRT aveva bloccato i tre account utente interessati e scollegato i notebook dalla rete, per ostacolare la diffusione del malware all'interno della rete aziendale. Tuttavia, queste misure da sole non consentono ancora agli specialisti di garantire che l'aggressore non si trovi più all'interno della rete. Dopo una breve consultazione, gli specialisti decidono che il passo successivo debba consistere innanzitutto nella ricerca di eventuali ulteriori tracce dell'attacco, i cosiddetti Indicators of Compromise (IoC). Gli specialisti vogliono assicurarsi che i criminali informatici non si nascondano ancora in qualche altro sistema o non abbiano causato altri danni. Ora sono necessarie le loro conoscenze specialistiche.

 

Gli esperti di Security portano avanti il lavoro del sistema SOAR e analizzano l'infrastruttura manualmente alla ricerca di ulteriori tracce di effrazione. Per effettuare un'analisi strutturata, fanno leva sulle ampie conoscenze specialistiche e sull'esperienza pluriennale di cui dispongono. Uno degli esperti analizza i numerosi file log alla ricerca di login sospetti e attività del malware, mentre un secondo specialista esamina il traffico della rete alla ricerca di possibili accessi a un Command&Control-Server. Queste attività aiutano gli esperti a scovare eventuali file malware, anomalie di rete e voci di registro ben nascosti.

Dal contenimento alla postelaborazione

Poco tempo dopo, gli esperti di Security comunicano il cessato allarme. Sulla piattaforma SOAR non sono apparsi ulteriori allarmi e i tentativi di accesso ai server non hanno avuto successo. L'Incident viene riportato a un livello inferiore e le persone coinvolte pianificano la valutazione del proprio intervento nell'ambito della fase «Lessons Learned».

«Solo una progressiva automatizzazione e l'uniformazione degli strumenti ci permetteranno di restare al passo con la crescente complessità delle nostre infrastrutture e con gli attacchi che si verificano al loro interno.»

Florian Leibenzeder, Responsabile tecnico del SOC di Swisscom

Come fanno gli specialisti del CSIRT a pianificare un lavoro che in realtà non sarebbe pianificabile, in quanto è determinato da eventi esterni e non segue gli orari di ufficio? «Il livello di criticità di un evento spesso determina l'assegnazione delle priorità, ed è questo il criterio più importante», spiega Stephan Rickauer.

 

Per questo motivo, i Security Analyst rinviano a una fase successiva l'incarico di effettuare un'analisi forense sugli apparecchi. Quest'analisi aiuta a comprendere meglio le procedure adottate dagli aggressori, ossia a rilevare le tecniche, le tattiche e il modus operandi (TTP). Ad ogni modo, il livello di urgenza di questa fase è basso, perché non ci sono altri pericoli provenienti dai notebook.

Dall'analisi all'automatizzazione

L'analisi forense confluisce nella valutazione dell'episodio che ha coinvolto la sicurezza. Gli specialisti in Security non solo riferiscono le operazioni andate a buon fine e gli aspetti sotto cui si cela del potenziale di miglioramento. Sulla base dell'analisi dell'episodio, sviluppano un nuovo «Detection Use Case». Si tratta nella fattispecie di una rappresentazione schematica del modello di attacco, ad esempio quali registrazioni di log indichino un attacco di quel tipo e su quali sistemi.

 

«Durante lo sviluppo degli Use Case, il nostro obiettivo consiste nell'automatizzazione della prima analisi, del triage ed eventualmente della reazione. A questo proposito ci sono d'aiuto le potenti funzioni EDR sugli apparecchi delle postazioni di lavoro e sui server nonché i workflow SOAR per l'automatizzazione di analisi e Response. «Solo una progressiva automatizzazione e l'uniformazione degli strumenti ci permetteranno di restare al passo con la crescente complessità delle nostre infrastrutture e con gli attacchi che si verificano al loro interno», afferma Florian Leibenzeder. SOC e CSIRT con strumenti di automatizzazione sono imprescindibili per una difesa informatica moderna.

 

In questo modo, se si verifica un nuovo attacco di questo tipo, il SOC sarà in grado di reagire in modo automatizzato e, probabilmente, il CSIRT non dovrà affatto intervenire, in quanto l'attacco viene bloccato già in una fase precedente, durante l'Incident Response. «L'aspetto stimolante del lavoro nel CSIRT sta nella varietà degli incarichi. Non ci piace granché svolgere due volte la stessa attività», afferma ridendo Stephan Rickauer.

 

L'attacco qui descritto è fittizio e ha lo scopo di mostrare a titolo esemplificativo il modus operandi di SOC e CSIRT.

Whitepaper

CSIRT: Incident Response professionale per le aziende

Quali sono i ruoli e i compiti di un CSIRT e perché diventa sempre più importante per le aziende?

 

> Download gratuito

Intervista

«L'automatizzazione aiuta, ma ha dei limiti»

Lorenz Inglin dirige il team di difesa informatica di Swisscom, che si occupa della sicurezza dell'infrastruttura Swisscom. Ha impostato l'attuale struttura secondo un modello Three-Tier.

Lorenz Inglin, che cosa ha fatto sì che il team di difesa informatica adottasse questa struttura?

Questa struttura è da diverso tempo uno standard nel settore. Abbiamo perfezionato la nostra modalità di lavoro di continuo. Da noi, nella gestione operativa, tutti e tre i livelli lavorano a stretto contatto tra loro. I collaboratori del Tier 3 del CSIRT fanno coaching ai Security Analyst dei Tier 1 e 2. Viceversa, i colleghi del SOC supportano i collaboratori del CSIRT. In questo modo le attività si sviluppano assieme in un contatto reciproco sempre più stretto. Nei due anni in cui l'abbiamo adottata fino ad oggi, questa modalità di lavoro si è rivelata valida.

Lorenz Inglin, Responsabile del team di difesa informatica di Swisscom.

Lorenz Inglin, Responsabile del team di difesa informatica di Swisscom.

Come è noto, gli specialisti in Security sono rari. In che misura l'automazione vi aiuta a superare la carenza di personale specializzato?

Non solo mancano gli specialisti, ma parallelamente aumenta anche la quantità di lavoro e questo rende l'automatizzazione ancora più importante. Da un lato, una moderna soluzione EDR ci aiuta in fase di rilevamento. Dall'altro, utilizziamo una piattaforma SOAR per automatizzare analisi e Response. In generale, investiamo molto nella prevenzione. Riducendo il grado di vulnerabilità, riduciamo la necessità di monitoraggio e possiamo evitare i possibili attacchi anziché semplicemente reagire ad essi. Tutto ciò va a vantaggio anche dei nostri clienti, se ad esempio rileviamo tempestivamente nuove pagine web di Phishing e le blocchiamo nella rete Swisscom. Di conseguenza, anche l'analisi e la reazione nel SOC risulteranno a loro volta più semplici.

Ad ogni modo, in determinati casi avete bisogno dell'intervento umano?

Sì, nelle analisi approfondite è necessaria la presenza umana. L'automatizzazione ci aiuta molto nella correlazione di allarmi e incarichi ricorrenti. Tuttavia, a volte i casi non sono prevedibili, sono semplicemente troppo complessi per un'analisi automatizzata, o il software non è in grado di classificare il contesto: quando un collaboratore invia numeri IBAN tramite e-mail, si tratta di dati confidenziali e quindi di un trasferimento di dati indesiderato o semplicemente di polizze di versamento per un'associazione in cui si sta impegnando la persona in questione?


Maggiori informazioni: