Sempre più spesso ci troviamo ad approcciare aziende che ci dimostrano la necessità più o meno calata dall’alto di avere un “SOC”.
Che sia molto trendy come vocabolo, lo diciamo già da qualche anno, però mai come in questo momento è stupendo trovare veramente la qualunque a ridosso del SOC. E ovviamente il mercato nè è felicissimo – “Quanto ne facciamo di SOC , 1 etto e mezzo ? Ho fatto due, lascio ?”. Siccome la situazione è veramente sfuggita di mano, non potevamo esimerci di scrivere due righe; quantomeno per dare alle persone la capacità di capire che abbisognano di SOC, MDR o forse nessuno dei due (come dice il titolo).
Partiamo dalle basi:
SOC
il SOC sta per “Security Operation Center”. Quindi, NON è un articolo che si compra al supermercato. Se il mondo fosse un po’ serio, il SOC potrebbe essere un ente all’interno di ogni azienda. Un ufficio preposto a fare da centro nevralgico per le operazioni di sicurezza. Un ufficio INTERNO all’azienda, che conosce BENE la propria realtà aziendale, conosce BENE le criticità dell’azienda, lavora a strettissimo contatto con altri enti dell’AZIENDA (dalla dirigenza alla operatività vera e propria).
Quali dovrebbero esser quindi i compiti in carico al SOC. Innumerevoli, faticosissimi, per la maggior parte del tempo super-noiosi, su wikipedia se ne trovano un po’.
Proviamo a fare una analogia. Il SOC è un ospedale. Ma di quelli grossi. Ora, se vi chiedessimo cosa fa un ospedale ? Beh tutto, dalle analisi del sangue, ad esami specialistici, al pronto soccorso, la lunga degenza, reparti infettivi, medicina generale e chi più ne ha..
A casa vostra voi avete un ospedale ? Dubito. Facilmente però avrete una cassetta del pronto soccorso, con dentro qualche farmaco da banco, qualche disinfettante, delle bende e qualche cerotto.
MDR
Potremmo dire, proseguendo l’analogia ospedaliera, che l’MDR è un reparto dell’ospedale. Cioè qualcuno che al posto vostro, fa il pronto-soccorso.
MDR sta per Managed Detect and Respond. Di cosa si occupa ? Teoricamente di gestire la parte degli endpoint e, se c’è un problema sugli endpoint, si occupa di gestire il problema al posto vostro, 24 ore al giorno, 7 giorni su 7, 365 giorni all’anno.
Attenzione però “gestire” può voler dire
- “Se trovo qualcosa ti mando una mail”
- “Se trovo qualcosa blocco l’endpoint e ti mando una mail”
- “Se trovo qualcosa intraprendo delle azioni concordate e poi ti mando una mail”
- “Se trovo qualcosa intraprendo delle azioni concordate, faccio un’indagine sul perchè è accaduta la cosa, ti presento dei correttivi e ti spiego come mitigare la minaccia alla radice”
Quindi, attenzione a cosa viene inteso quando si parla di l’MDR. Potreste anche trovarvi con una utilissima mail alle 02:00 del mattino di domenica che vi dice che è stato trovato qualcosa.
E’ quello che state cercando ?
QUINDI ?
Ma torniamo al discorso principale, motivo di questo articolo.
La narrativa commerciale, sta cercando di far credere alle aziende che dovrebbero tutti avere un ospedale in casa. “Come ? Non lo hai ? Te lo do io !”
Ma che ospedale ricevo ? Ed è qui che inizia il problema perché magari mi dai il pronto soccorso, però non hai la risonanza magnetica. Forse hai ortopedia, ma non hai la camera iperbarica.
Ma allora di cosa ho bisogno ? Te lo diciamo noi !
Hai bisogno di fare il punto della situazione. Prima di buttarti su un SOC o su un MDR, dovresti innanzitutto capire chi sei e di cosa hai bisogno.
Se la tua azienda ha numeriche e rischi consistenti (tanti pazienti, tutti gravissimi) e, non ultimo, puoi spendere cifre importanti per la parte di CyberSecurity allora puoi iniziare a valutare la costruzione di un ospedale ehm volevamo dire SOC.
Se invece non sei ancora pronto per una faccenda così articolata, magari il budget è ben diverso e tuttavia bisogna pensare alla parte di sicurezza operativa, un servizio MDR in grado di darti coperture H24 quanto meno sulla parte endpoint (sulla rete è un NDR) potrebbe essere la risposta corretta. Fai però attenzione a cosa ti viene proposto. C’è chi fa semplice monitoraggio e chi invece interviene direttamente sui server !
Se infine sei all’inizio di questo viaggio nel mondo cyber, magari non hai bisogno né di SOC né di MDR ma solo provare a rispondere ai 15 punti del CINI di cui abbiamo parlato nello scorso articolo e fatti aiutare da consulenti seri, che sappiano valutare in questo momento cosa è giusto per te.
Ancora una volta si torna al punto principale. Non c’è ancora niente di magico per la cybersecurity: prima ce ne facciamo una ragione meglio è. Bisogna in questo momento storico cercare di trovare un partner che possa consigliare e aiutarci a capire cosa è meglio per noi e poi, con le idee chiare, decidere le azioni da intraprendere.