Cybersicherheit: Was ist ein SOC?

06/10/17

Die Welt der Cyber-Sicherheit wird von Tag zu Tag komplexer und um die zahlreichen IT-Vorfälle bewältigen zu können, denken immer mehr Unternehmen darüber nach, die Dienste eines zu nutzen Sicherheitsbetriebszentrum (SOC) oder zur Implementierung in Ihrer Organisation.

Aber was ist ein Security Operation Center?

Zur Verdeutlichung verwende ich ein Dokument, das mir sehr klar erschien und zu dessen Lektüre ich Sie einlade: „Klassifizierung von Security Operation Centers", veröffentlicht im Jahr 2013. Die Autoren (Pierre Jacobs, Alapan Arnab, Barry Irwin) arbeiten für das Department of Computer Science der Rhodes University in Grahamstown, Südafrika.
Was uns jetzt interessiert, ist das Konzept des SOC hervorzuheben, für das ich den ersten Absatz des oben genannten Dokuments zitiere:

"Ein Security Operations Center (SOC) kann als eine zentralisierte Sicherheitsorganisation definiert werden, die Unternehmen bei der Identifizierung, Verwaltung und Behebung verteilter Sicherheitsangriffe unterstützt [1]. Abhängig von den Fähigkeiten, die das Unternehmen oder der Kunde von einem SOC verlangt, kann ein SOC auch für die Verwaltung technischer Kontrollen verantwortlich sein. Das Endziel eines SOC besteht darin, die Sicherheitslage eines Unternehmens zu verbessern, indem Bedrohungen und Angriffe erkannt und darauf reagiert werden, bevor sie Auswirkungen auf das Unternehmen haben."

Aus dem Gesagten wird sofort klar, dass es sich beim SOC um eine zentralisierte Organisationsstruktur handelt, die Unternehmen dabei unterstützt, verteilte Sicherheitsangriffe zu erkennen, zu verwalten und zu beheben. Ein SOC kann auch damit beauftragt werden, alle technischen Kontrollen eines Unternehmens zu verwalten, das seine Dienste in Anspruch nimmt.
Das SOC kann unternehmensintern sein und lediglich unterstützend tätig sein oder auch Dienstleistungen für andere Unternehmen anbieten. In jedem Fall besteht das ultimative Ziel eines SOC darin, die „Sicherheitslage“ einer Organisation durch die Identifizierung und Reaktion auf Risiken und Angriffe zu verbessern, bevor sie Auswirkungen auf das Unternehmen haben können Kerngeschäft von der Organisation.
Als realistischere Aussage wäre es besser zu sagen, dass das SOC „dazu tendiert, die Auswirkungen von Cyberangriffen auf das Geschäft der Organisation zu vermeiden oder auf andere Weise den Schaden zu begrenzen“.

In dem Dokument ist eine ausführliche Analyse der Funktionen und Komponenten eines SOC zu finden, derzeit interessiert uns jedoch nur das obige Konzept.
Sagen wir gleich, dass das SOC keine Erfindung unserer Tage ist und noch nicht einmal aus der IKT-Welt stammt. In Umgebungen, in denen die physische Sicherheit verwaltet wird, wird schon seit langem darüber gesprochen, und die IKT-Welt hat nichts anderes getan, als es zu übernehmen.
Derzeit sprechen wir von SOC der fünften Generation und beziehen uns auf Strukturen, die mit prädiktiven Analysefunktionen sowie Überwachungs- und Reaktionsfunktionen ausgestattet sind.
Es ist meiner Meinung nach angebracht, gleich den wichtigsten Aspekt hervorzuheben: a Sicherheitsbetriebszentrum Es handelt sich um eine komplexe, in der Regel zentralisierte Organisationseinheit, die für die Identifizierung, Verwaltung und Behebung von IT-Sicherheitsproblemen verantwortlich ist und aus Prozessen, Tools und Personen besteht.

Während Prozesse und Tools im Großen und Ganzen leicht zu finden und bei Bedarf zu ersetzen sind, gilt dies nicht für Personen, die angemessen geschult sein und über Insiderwissen über die Organisation verfügen müssen, für die sie arbeiten.

Im Allgemeinen verwendet ein SOC ein oder mehrere IT-Tools vom Typ SIEM, d. h Sicherheitsinformationen und Event Management, zur Aggregation und Korrelation von Daten und Informationen aus verschiedenen Systemen.
Und bis jetzt haben wir nur über Theorie gesprochen...

In Italien gibt es mehrere SOCs, die von einigen der größten Unternehmen der IKT-Welt verwaltet werden, darunter auch das Unternehmen Entwicklungdas von der Italtel und der Leonardo.

Um den Nutzen von SOCs in der modernen Gesellschaft besser zu verstehen, wandte ich mich an Ingenieur Pesaresi von Engineering, ein Italtel-Team und ein Leonardo-Team und stellte ihnen ein paar Fragen.

Ingegner Pesaresi, der Cyberspace ist durch die täglichen Nachrichten gewaltsam in unser Leben eingedrungen. Ich kann mir vorstellen, dass in Organisationen etwas Ähnliches passiert. Wie wichtig ist der Cyber-Sektor für das Engineering? Warum hatte Ihr Unternehmen das Bedürfnis, ein SOC zu schaffen?

Entwicklung: Ich bin der kaufmännische Leiter der BU (Geschäftsbereich, Hrsg.) Verteidigung und Raumfahrt im Ingenieurwesen. In der Unternehmensvision muss das Problem der Informationssicherheit oder Cybersicherheit durch einen multidisziplinären Ansatz angegangen werden, der auf der Vereinheitlichung und Integration rechtlicher, wirtschaftlicher und technologischer Fähigkeiten basiert, da heute offensichtlich ist, dass die Identifizierung wirksamer Lösungen und Antworten auf die gestellten Herausforderungen neben den offensichtlichen Fähigkeiten im IKT-Bereich auch ein tiefes Verständnis regulatorischer und domänenbezogener Aspekte sowie die Bewertung sozioökonomischer Auswirkungen erfordert.
In diesen Bereichen legt Engineering größtes Augenmerk auf CyberSecurity, da diese für den Schutz von Informationen, die mit Computersystemen gespeichert und verarbeitet und über Netzwerke übertragen werden, von größter Bedeutung ist, mit dem Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Das Cyber-Security-Angebot der Gruppe ist auf Anwendungssicherheit, Perimetersicherheit von IT-Infrastrukturen, Sicherheit im Informationsaustausch zwischen Netzwerken unterschiedlicher Klassifizierungsstufen und die Sicherheit kritischer Infrastrukturen spezialisiert.

Die Engineering-Gruppe operiert über ein integriertes Netzwerk von 4 Rechenzentren in Pont-Saint-Martin, Turin, Mailand und Vicenza mit einem Dienstleistungssystem und einer Infrastruktur, die die besten Technologie-, Qualitäts- und Sicherheitsstandards für über 330 Kunden im In- und Ausland garantieren. Um in diesem Zusammenhang den notwendigen IT-Sicherheitsrahmen für die Daten und Systeme unserer Kunden zu gewährleisten, ist das Hauptrechenzentrum in Pont Saint Martin mit einem hochmodernen Security Operation Center ausgestattet.

Auch bei Italtel können Sie auf ein landesweites SOC zählen. Das deutet darauf hin, dass der Cybersektor sehr wichtig ist, oder?

ItaltelDie digitale Transformation erhöht die Angriffsfläche für Cyber-Angriffe, die immer komplexer werden. Daher ist es wichtig, hochwertige Lösungen und Dienstleistungen bereitzustellen, um den Datenschutz und die Widerstandsfähigkeit kritischer Infrastrukturen zu gewährleisten und fortgeschrittene Bedrohungen abzuwehren. Cyber-Sicherheit ist ein Grundpfeiler unseres Angebots für die öffentliche Verwaltung, Unternehmen und Dienstleister, unser historischer Stärkebereich. Als Telekommunikationsunternehmen gegründet, hat Italtel sein Angebot über mehrere Jahre hinweg diversifiziert und ist heute ein italienischer multinationaler Konzern im Bereich Informations- und Kommunikationstechnologie, der mit seinen Lösungen verschiedene vertikale Sektoren anspricht, wie zum Beispiel: öffentliche Verwaltung, Gesundheit, Verteidigung, Finanzen, Energie, Industrie 4.0, Smart Cities, ohne dabei die Telekommunikation zu vernachlässigen. Die SOC-Dienste von Italtel wurden im Jahr 2001 mit der Übernahme von SecurMatics ins Leben gerufen. Dabei entstand die Notwendigkeit, neben professionellen Netzwerkdiensten und Infrastrukturmanagement durch unser Network Operation Center (NOC) und unser Technical Assistance Center (TAC) eine effektive und kontinuierliche Verwaltung der Kundensicherheitsniveaus sicherzustellen. Heutzutage verändert sich die Bedrohungslandschaft ständig und daher ist es wichtig, die Lösungen und Dienste, einschließlich der verwalteten, in einer einzigen Angebotslinie zu verbessern, die sich an öffentliche Verwaltungen, Unternehmen und Dienstleister richtet.

Ich habe vor einiger Zeit Leonardos SOC besucht und war beeindruckt...

Leonardo: Leonardo gewährleistet die Leistung, Kontinuität und Informationsüberlegenheit der Systeme seiner Kunden und schützt deren Infrastrukturen und Anwendungen durch gezielte Eingriffe. Darüber hinaus werden sichere digitale Lösungen entwickelt, mit denen Bedrohungen, Schwachstellen und Risiken identifiziert, gemindert und verwaltet werden. In diesem Zusammenhang ist Leonardo in der Lage, innovative Lösungen zur Abwehr von Cyber-Bedrohungen bereitzustellen, die immer allgegenwärtiger und strukturierter werden und den Schutz der technologischen, informationellen und intellektuellen Vermögenswerte jeder zivilen oder militärischen Organisation zu einer dringenden Notwendigkeit machen. Zu den bedeutendsten Errungenschaften im Bereich der Cybersicherheit gehört die Lieferung eines „schlüsselfertigen“ Systems von Leonardo an die NATO für die Entwicklung, Implementierung und Unterstützung der NATO Computer Incident Response Capability (NCIRC), die Dienste für über 70.000 Benutzer in 29 Ländern bereitstellt. Die Fähigkeit, Schutz zu bieten, wird auch durch ausgefeilte nachrichtendienstliche Lösungen verbessert, die sowohl auf Open-Source-Daten als auch auf heterogene Quellen anwendbar sind, um die Bedürfnisse von Polizeikräften und Ermittlungsbehörden zu unterstützen.

Ist Ihr SOC für den internen Gebrauch oder für den externen Gebrauch bestimmt? Welche Leistungen erbringt Ihr SOC? Welche Dienstleistungen werden am häufigsten nachgefragt?

Italtel: Unser SOC richtet sich hauptsächlich an den Markt mit maßgeschneiderten Dienstleistungen je nach Kundentyp. Grundsätzlich gibt es zwei Makrogruppen typischer Kunden. Große Unternehmen, die sich eine angemessene Sicherheitsverwaltung gegeben haben, haben die operativen Teams bereits internalisiert, benötigen jedoch externe spezifische Dienste oder Fähigkeiten, die sie nicht bewältigen können, wie etwa Threat Intelligence oder Incident Response (IR)-Dienste. Mittelständische Unternehmen, die uns neben der vollständigen Auslagerung von SOC-Dienstleistungen auch auf die Rolle eines Partners/Beraters bitten, der in der Lage ist, fortlaufende Bewertungen und Lückenanalysen durchzuführen, um das Schutzniveau zu erhöhen. Die Aufrechterhaltung eines operativen SOC erfordert unter anderem kontinuierliche Investitionen in Schulungen und Technologien zur Unterstützung des Betriebs.

Wie sieht es dagegen im Bereich Engineering aus? Welche Dienstleistungen werden am häufigsten nachgefragt?

Entwicklung: Unser SOC erbringt Dienstleistungen sowohl für den internen Gebrauch als auch vor allem zugunsten unserer Kunden, die in allen Marktbereichen verteilt sind, nämlich Finanzen, Telekommunikation, Versorgungsunternehmen, Industrie und Dienstleistungen sowie der öffentlichen Verwaltung, für die wir Dienstleistungen auf verschiedenen Ebenen erbringen, von hochrangiger, auf die Definition von Governance ausgerichteter Beratung über Bewertungsdienste wie Pentrationstests, Schwachstellenbewertung und ethisches Hacking bis hin zu den Dienstleistungen eines SOC wie beispielsweise Security Response Team, Security Infrastructure Management und DDo-Lösungen St. Darüber hinaus führen wir für unsere Kunden auch spezifische Projekte zur Implementierung von Sicherheitslösungen wie Identity Access Management, Strong Authentication, Mobile Device Security durch. Schließlich führen wir einige Pilotprojekte von Cyber ​​Threat Intelligence-Lösungen durch, die darauf abzielen, potenzielle Cyberangriffe im Voraus vorherzusagen.

LeonardoLeonardo hat zwei SOCs gegründet, eines in Italien und das andere im Vereinigten Königreich. Das wichtigste ist das von Chieti, einem Kompetenzzentrum im Bereich Cyber-Sicherheit und Bedrohungsintelligenz, das sich dem Schutz vor Cyber-Bedrohungen in den wichtigsten Referenzsektoren widmet (d. h. kritische Infrastrukturen, große Unternehmen, öffentliche Verwaltungen, Verteidigung, Geheimdienste, nationale und internationale Institutionen). Die wichtigsten Referenzvermögenswerte befinden sich am Standort Chieti:
- SOC Business (Security Operation Center), durch das die Erkennungs- und Überwachungskapazität rund um die Uhr für alle nationalen und internationalen Kunden von Leonardo gewährleistet ist;
- CSIRT (Computer Security Incident Response Team), durch das die rechtzeitige Reaktion auf einen Computerangriff sichergestellt wird;
- Cyber ​​Threat Intelligence (d. h. Open-Source-Intelligence-Dienste auf Basis proprietärer Middleware, implementiert auf einer äußerst energieeffizienten Supercomputing-Plattform – einem Hochleistungscomputer).
Das Security Operations Center in Chieti ist heute einer der bedeutendsten Managed Service Security Provider (MSSP) auf europäischer Ebene, gemessen an der Vollständigkeit des Leistungsportfolios sowie im Verhältnis zur Anzahl der Kunden und überwachten Plattformen. Einige weitere wichtige Zahlen: Jede Sekunde werden über 50,000 Protokolle empfangen, aggregiert und gesammelt. Mehr als 30,000 Sicherheitsereignisse werden pro Sekunde erfasst und korreliert. Das SOC verwaltet durchschnittlich 50 Sicherheitsvorfälle pro Tag und wendet dabei die wichtigsten internationalen Referenz-Best Practices (z. B. NIST-800-xx, ENISA) an, um die Vorfälle einzudämmen und umgehend auf die heutigen Cyber-Sicherheitsbedrohungen zu reagieren. Über 100 Sicherheitsexperten arbeiten in Chieti, darunter zertifizierte ethische Hacker, die auf Schwachstellenbewertung und Penetrationstests spezialisiert sind. Jedes Jahr werden über 500 Frühwarnmeldungen analysiert und an Kunden gesendet. Die Website verfügt außerdem über verschiedene Zertifizierungen von Managed Security Services.

Um ein betriebsbereites SOC aufrechtzuerhalten, muss man sich meiner Meinung nach auf Forschung und Entwicklung konzentrieren. Wie viel investieren Sie prozentual und in welche Bereiche des Cyberspace?

Entwicklung: Engineering glaubt an die Forschung und an die Notwendigkeit, das Potenzial der Informationstechnologien durch Innovation in Wachstumschancen für seine Kunden umzuwandeln, in ständiger Abstimmung mit der Entwicklung von Technologien, Prozessen und Geschäftsmodellen.
Engineering eröffnete 1987 sein erstes Forschungslabor und zählt heute in Zusammenarbeit mit Unternehmen, Universitäten und Forschungszentren auf nationaler und internationaler Ebene auf:

250 Forscher

70 laufende Forschungsprojekte

6 Entwicklungslabore

Jährliche Investitionen in Höhe von rund 30 Millionen Euro in Forschung und Innovation.

Cybersicherheit ist eines der Themen, in die am meisten geforscht wird, insbesondere in Europa, wo das Ingenieurwesen mit einem Labor namens IS3Lab (Intelligence Systems and Social Software) vertreten ist, das eine Führungsrolle an den wichtigsten im Rahmen von Horizon2020 finanzierten Forschungsprojekten einnimmt.

Bestehen Partnerschaften mit Sicherheitsorganisationen? Welche Art von Beziehung besteht zwischen Ihrem SOC und den nationalen CERTs?

Entwicklung: Engineering ist außerdem eines der Gründungsmitglieder der ECSO (European CyberSecurity Organization), die die wichtigsten europäischen Unternehmen im Bereich IT-Sicherheit zusammenbringt und mit den europäischen Institutionen an der Definition einer gemeinsamen Strategie im Bereich Cybersicherheit arbeitet.

LeonardoZusammenarbeit ist in dieser Branche ein entscheidender Erfolgsfaktor. Wir arbeiten mit zahlreichen internationalen Unternehmen und Technologieanbietern zusammen, mit denen wir Informationen über neue Bedrohungen und Schwachstellen austauschen. Dank der vom Markt anerkannten Fähigkeiten sind wir strategischer Partner vieler der wichtigsten öffentlichen und privaten Organisationen in Europa und darüber hinaus. Dadurch können wir diese Organisationen bei der Gestaltung und Implementierung ihrer Informationssicherheitssysteme unterstützen. Mit ihnen können wir im Rahmen der vertraglichen Beziehungen Informationen austauschen. Schließlich beteiligen wir uns an Arbeitsgruppen und institutionellen Diskussionsrunden in Europa (zum Beispiel ECSO) sowie in Italien und im Vereinigten Königreich.
Darüber hinaus wird gemeinsam mit der NATO ein wichtiges Partnerschaftsprojekt entwickelt.
Leonardo und die Atlantic Alliance Communications and Information Agency (NCI – Communications and Information Agency) haben eine Kooperationsvereinbarung zum Thema IT-Sicherheit unterzeichnet, um vertrauliche Informationen auszutauschen, um das Wissen über den Referenzkontext zu verbessern und den Schutz ihrer jeweiligen Netzwerke und Systeme zu erhöhen.
Diese Gemeinschaftsinitiative zielt darauf ab, Informationen über Cyberbedrohungen und Sicherheitspraktiken auszutauschen und erkennt an, wie wichtig es ist, mit zuverlässigen Industriepartnern zusammenzuarbeiten, damit die Allianz ihre Ziele beim Schutz vor Cyberkriminalität vollständig erreichen kann. Leonardo wird mit NCI zusammenarbeiten, um die neuesten Bedrohungsmuster und Angriffstrends besser zu verstehen. Dadurch wird die Anwendung präventiver Maßnahmen effektiver und die Fähigkeit des Unternehmens zum Schutz von Informationen verbessert, wodurch das Ausmaß künftiger Einbruchsversuche verringert wird.

Was ist der Markt für IT-Sicherheitsdienstleistungen in Italien? Ist der Markt angesichts des gestiegenen Interesses an Cybersicherheit in der letzten Zeit gewachsen?

Entwicklung: In Italien hatte der Markt für IT-Sicherheitsdienste Schwierigkeiten, sich durchzusetzen, da unsere Kunden nicht sehr empfindlich auf diese Art von Bedrohung reagierten. Möglicherweise hat der technologische Rückstand unseres Landes, das zu den am wenigsten vernetzten und daher grundsätzlich weniger IT-Risiken ausgesetzt ist, eine wichtige Rolle gespielt. Doch in den letzten Monaten ist das Thema, das zuvor als technisches Problem betrachtet wurde, das von CIOs/CSOs verwaltet wurde, möglicherweise aufgrund der jüngsten Episoden von Cyberangriffen, die auch den Ruf vieler Unternehmen geschädigt haben, in die Aufmerksamkeit des Top-Managements gerückt, das sich der Konsequenzen bewusst geworden ist, die ein Unternehmen, das Opfer von Cyberangriffen wird, in Bezug auf den Ruf erleiden kann. Infolgedessen scheint der italienische Markt das Thema Datenschutz und Unternehmenssysteme aufmerksamer zu betrachten, und immer mehr Kunden beginnen, sich dem Problem zu stellen, indem sie uns zunächst um Risikoanalyseaktivitäten und anschließend um die Absicherung ihrer IKT-Infrastrukturen bitten.

LeonardoIm Zeitraum 2013–2018 wuchs der globale Cybersicherheitsmarkt mit einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 10,4 % bis zu einem erwarteten Wert von 80 Milliarden Euro im Jahr 2018; Der italienische Markt wächst mit einer CAGR von 8,6 % auf einen Wert von ca. 2 Mrd. € im Jahr 2018. Der Assinform-Bericht 2017 weist auf ein Wachstum des IT-Sicherheitsmarkts von über 11 % im vergangenen Jahr hin.
Im italienischen Kontext stellt der Regierungs-/Verteidigungssektor 20 % des Marktes dar, während der Unternehmenscluster etwa 80 % ausmacht (wovon der CNI-Sektor – kritische nationale Infrastruktur – mehr als die Hälfte ausmacht).

Welches Personal kann in einem SOC eine Anstellung finden? Welche Studienrichtungen und Spezialisierungen sind erforderlich?

EntwicklungUnser SOC beschäftigt Computeringenieure, die auf Netzwerk- und Softwaresicherheit spezialisiert sind. Leider sind diese Fachkräfte auf dem Markt schwer zu finden, da es in Italien nur wenige Studiengänge gibt, die darauf abzielen, Fachingenieure für Computersicherheit auszubilden. Um diese Lücke zu schließen, haben wir an unserer IKT-Schule „Enrico Della Valle“ eine Reihe von Spezialisierungskursen im Bereich Cybersicherheit gestartet, die in erster Linie auf die Schulung interner Mitarbeiter abzielen, aber auch extern für Organisationen offen sind, die ihre Mitarbeiter spezialisieren möchten.

LeonardoWir beschäftigen IT-Sicherheitsexperten und junge Techniker und Ingenieure mit theoretischem Wissen über IT-Sicherheitsstandards und -protokolle sowie über die wichtigsten Sicherheitsthemen. Wir bevorzugen Personal mit einer hohen Neigung zur Lösung von Netzwerk- und Sicherheitsproblemen, Kenntnissen der Referenzstandards und Best Practices für die Governance der IKT-Sicherheit, der Prävention und Bewältigung von IT-Sicherheitsvorfällen sowie Kenntnissen über Sicherheitsfragen zum Schutz von Netzwerken sowie Steuerungs- und Automatisierungssystemen.

Warum sind Ihre Kunden zu Ihnen gekommen? Als Folge von Cyber-Vorfällen oder zur Vermeidung von Problemen?

Italtel: Italtel ist traditionell in der Planung und dem Aufbau von Netzwerkinfrastrukturen für globale Dienstanbieter tätig und unserer Erfahrung nach war der Aspekt der Sicherheit in vielerlei Hinsicht immer ein Schlüsselfaktor. Aufgrund dieser Expertise haben sich viele Kunden im Bereich Cyber ​​Security an uns gewandt, weil sie bereits die Gelegenheit hatten, unsere Servicequalität bei der Verwaltung komplexer Netzwerke zu testen.

Entwicklung: Wie oben erwähnt stellt unser Unternehmen seit Jahrzehnten IKT-Dienstleistungen über seine Rechenzentren für öffentliche und private Kunden bereit und in diesem Zusammenhang war es für uns immer ein „Muss“, ein Höchstmaß an logischer und physischer Sicherheit zu gewährleisten. Viele dieser Kunden verwalten ihre eigenen Infrastrukturen, für die sie das Bedürfnis verspüren, ihre Sicherheitsniveaus zu verbessern. Es war daher fast selbstverständlich, dass unsere Kunden angesichts unserer anerkannten Fähigkeiten uns um Rat im Bereich Cybersicherheit baten. Vor kurzem hat unser Unternehmen jedoch eine Aktivität gestartet, um seine Fähigkeiten im Bereich Cybersicherheit auch auf dem gesamten Markt zu fördern.

Wer ist Ihrer Meinung nach die wichtigste Persönlichkeit innerhalb eines SOC? Und wenn Sie junge Menschen ansprechen und sie einladen würden, ein oder mehrere Fächer zu studieren, was würden Sie ihnen vorschlagen?

Entwicklung: Ich würde sagen, dass es keine wichtigere Figur gibt als die anderen. Cybersicherheit ist ein multidisziplinäres Thema, das vielfältige Fähigkeiten erfordert, die von Governance bis hin zu eher rein technischen Fragen reichen und die gesamte IKT-Infrastruktur betreffen, von der untersten Ebene des Netzwerks bis zu den höchsten Anwendungsebenen.
Daher würde ich einem jungen Computeringenieur nur empfehlen, sich auf ein Thema im Zusammenhang mit Cybersicherheit zu spezialisieren, da er mit Sicherheit ein Unternehmen finden wird, das bereit ist, ihn einzustellen.

Italtel: Wenn wir wirklich eine relevante Figur identifizieren müssten, dann würde ich sagen, dass der SOC-MANAGER die grundlegende Rolle für die Bereitstellung des Dienstes spielt und in der Lage ist, Sicherheitsanalysten in den heikelsten Phasen der Bewältigung eines IT-Vorfalls zu steuern und zu stimulieren und die Kommunikation mit der Außenwelt angemessen zu verwalten.

Welche Tools nutzen Sie in Ihrem SOC? Welches SIEM verwenden Sie?

EntwicklungUnser SOC verwendet sogenannte „Marken“-Produkte. Allerdings wird Open Source nicht nur aus wirtschaftlichen Gründen, sondern auch aus Gründen der „nationalen Sicherheit“ immer mehr Aufmerksamkeit geschenkt. Tatsächlich besteht die Tendenz, auch bei dieser Art von Produkten die Kontrolle über den Quellcode zu erlangen.

Aus regulatorischer Sicht ist die neue „Richtlinie mit Leitlinien für den nationalen kybernetischen Schutz und die IT-Sicherheit“, DPCM, herausgegeben am 17. Februar 2017 und veröffentlicht im Amtsblatt, allgemeine Reihe Nr. 87 vom 13. April 2017 scheint große Veränderungen zu versprechen, was denken Sie?

Italtel: DPCM Gentiloni verbessert und optimiert die nationale Entscheidungskette im Umgang mit dem Cyber-Bereich, dem Hauptschauplatz künftiger Konflikte. Darüber hinaus halte ich das kooperative und kollaborative Modell zwischen Institutionen und kritischen Infrastrukturen für unerlässlich, um den Bedrohungen zu begegnen, die uns erwarten.

LeonardoMit dem DPCM 17 und dem darauffolgenden Nationalen Plan übernimmt das Security Information Department (DIS) die führende Rolle der Cybersicherheitsaktivitäten auf nationaler Ebene.
Die Rolle wird über zwei Strukturen wahrgenommen, von denen die erste „operativen“ Aktivitäten und die zweite denen strategischer und evolutionärer Natur gewidmet ist. Im operativen Bereich wurde ein Geheimdienst- und Cybersicherheitsdienst (NSC) eingerichtet, dessen Ziel es ist, die Einheit für die Alarmierung und Reaktion auf Cyber-Krisensituationen rund um die Uhr zu verwalten und Mitteilungen über Verstöße oder versuchte Verstöße von Informationssicherheitsbehörden, von den Polizeikräften, von den Strukturen des Verteidigungsministeriums (die weiterhin getrennt bleiben) und von den CERTs (Computer Emergency Response/Readiness Team) einzuholen.
Vorgesehen ist auch die Einrichtung von Laboratorien für die nationale Bewertung und Zertifizierung von Markt-IKT-Komponenten für kritische und strategische Infrastrukturen, die Entwicklung nationaler Kryptographie sowie Forschung und Entwicklung im Bereich souveräner Technologien.
Leonardo ist in der Lage, Fachwissen und Dienstleistungen zur Verfügung zu stellen, um den Betrieb des DIS zu unterstützen. Dies betrifft insbesondere die Bereiche Threat Intelligence und Open Source Intelligence, Modelle, Lösungen und Fähigkeiten zur Unterstützung von CERTs, Systeme und Dienste für Schulungen (Cyber ​​Range / Cyber ​​​​Academy), Fähigkeiten zur Infrastruktur- und Anwendungskonsolidierung sowie Fähigkeiten zur Systemhärtung.
Ein interessantes Element ist außerdem das Forschungs- und Entwicklungszentrum für souveräne Cybersicherheitstechnologien, das wahrscheinlich im Hinblick auf die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor eingerichtet wird und so ein Ökosystem schafft, in dem Institutionen, Industrie und Wissenschaft zusammenarbeiten.

Entwicklung: Zweifellos wurde die Notwendigkeit verspürt, der Cybersicherheit auf nationaler Ebene eine „Steuerung“ zu geben, und die Richtlinie geht sicherlich in diese Richtung, indem sie dem DIS eine zentrale Führungsrolle überträgt. Es muss jedoch darauf geachtet werden, dass die Angelegenheit nicht als „vertrauliche“ Angelegenheit für einige wenige Insider behandelt wird, sondern mit größtmöglicher Offenheit und unter Einbeziehung aller Beteiligten, sowohl öffentlicher als auch vor allem privater, mit dem Thema umgegangen wird.

Ich denke, dass der mit Hilfe von Italtel, Engineering und Leonardo erstellte Überblick ausreicht, um die Bedeutung der SOCs und der bereitgestellten Cybersicherheitsdienste zu veranschaulichen. Wir müssen uns also bei allen für ihre Verfügbarkeit bedanken und hoffe, dass sie dazu beitragen können, Klarheit über das Konzept von SOC in der Cyberwelt zu schaffen.
I SOCAllerdings sind sie nur ein Aspekt der Cybersicherheit. Netzwerk-Betriebszentrale (Walnüsse Infrastruktur-Betriebszentrum (IOC) vervollständigen mit ihren Varianten die Strukturen des Cyberspace-Managements und ich hoffe, bald Gelegenheit zu haben, darüber zu sprechen.

Alessandro Rugolo & Ciro Metattato

Um mehr zu erfahren:
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-ope...
https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-ope...
http://www.eng.it/
http://www.leonardocompany.com/
http://www.italtel.com/it/

(Foto: Leonardo)

Events

Klicken Sie auf die rot hervorgehobenen Tage und finden Sie heraus, was belegt ist.
Geschichten des Militärlebens
Schick uns deine Geschichte
Hommage an die 80. „Roma“-Infanterie, die ehrenvoll Abschied nimmt

Nun ja, wir sind mittlerweile daran gewöhnt, die Schließung der Kasernen mitzuerleben und vielleicht sogar ein wenig daran, die lange Geschichte der Abteilungen zu begraben, ein Phänomen, das die Erinnerungen jedoch nicht löscht. Es berührte auch...

Lesen Sie die Geschichte
"Il Signor Parolini" (XNUMX. Teil)

Das gebackene Hühnchen wurde wie erwartet seinem Ruf gerecht und festigte, wo nötig, die unbestrittene kulinarische Meisterschaft von Gastone, Chef ...

Lesen Sie die Geschichte