サイバーセキュリティ：SOCとは何ですか？

サイバーセキュリティの世界は日々複雑になっており、多数のサイバーインシデントを管理できるようになっているため、ますます多くの組織がサービスを利用する可能性を検討し始めています。 セキュリティオペレーションセンター （SOC）または組織内で構築します。

しかし、セキュリティオペレーションセンターとは何ですか？

もう少し明確にするために、私は私にとってはっきりとしているように思われる文書を使用します。セキュリティオペレーションセンターの分類著者（Pierre Jacobs、Alapan Arnab、Barry Irwin）は、南アフリカのグレアムズタウンにあるロードス大学のコンピュータサイエンス学科に勤務しています。
私たちが今興味を持っているのは、私が前述の文書の最初の段落を報告しているSOCの概念を強調することです。

"セキュリティオペレーションセンター（SOC）は、企業が分散型セキュリティ攻撃を識別、管理、修復するのを支援する集中型セキュリティ組織として定義することができます[1]。 SOCは、企業またはクライアントが必要とする機能に基づいて、技術管理の管理も担当します。 SOCの最終目標は、脅威や攻撃を検出して対処することによって組織のセキュリティを向上させることです。"

これまでに述べてきたことから、SOCが企業の分散型セキュリティ攻撃の識別、管理、修復を支援する集中型の組織構造であることはすぐに明らかです。 そのサービスを使用する会社のすべての技術的管理を管理するためにSOCを呼び出すこともできます。
SOCは、社内にあり、会社をサポートするためにのみ機能することも、他の会社にサービスを提供することもできます。 いずれにせよ、SOCの最終的な目的は、リスクや攻撃に影響を与える前にそれらを特定して対応することにより、組織の「セキュリティ体制」を改善することです。 コアビジネス 組織。
より現実的な確認として、SOCは「組織のビジネスに対するサイバー攻撃の影響を回避する、またはいずれにせよその損害を制限する」と言えるでしょう。

この文書では、SOCの機能とコンポーネントの詳細な分析を見つけることができますが、現時点では上記の概念にのみ関心があります。
SOCは私たちの時代の発明ではなく、ICTの世界からも生まれたものではないということだけを言いましょう。 物理的なセキュリティを管理する環境で長い間議論されてきました、そしてICTの世界はそれを採用する以外何もしませんでした。
現在、第XNUMX世代のSOCについて、予測分析機能と監視および応答を備えた構造について説明しています。
私の考えでは、より重要な側面を直ちに強調することが適切です。 セキュリティオペレーションセンター は複雑な組織単位であり、一般的に一元化されており、ITセキュリティの問題の特定、管理、および修正を担当し、プロセス、ツール、および人員で構成されています。

プロセスやツールはすべて必要に応じて見つけて交換するのが簡単ですが、同じことが適切に準備され、それらが機能する組織を知る必要がある人々には当てはまりません。

通常、SOCはSIEMタイプの1つ以上のITツールを使用します。 セキュリティ情報とイベント管理異なるシステムから来るデータと情報の集約と相関のために。
そしてこれまでのところ、理論について話してきました...

イタリアでは、会社を含むICTの世界で最大の企業のいくつかによって管理されている複数のSOCがあります エンジニアリング、の Italtel とのこと レオナルド.

現代社会におけるSOCの有用性をよりよく理解するために、私はエンジニアリングのPesaresiエンジニア、Italtelチーム、およびLeonardoチームにいくつか質問をしました。

エンジニアのペサレシサイバースペースは、毎日のニュースを通じて私たちの生活に力強く入り込んでいます。組織でも同様のことが起こっていると思います。 エンジニアリングにとってサイバーセクターはどのくらい重要ですか？ なぜあなたの会社はSOCを作成する必要性を感じたのですか？

エンジニアリング: 私はBUのコマーシャルマネージャーです （事業部編） 工学における防衛と宇宙 企業ビジョンでは、コンピュータセキュリティの問題、つまりサイバーセキュリティは、法的、経済的、技術的スキルの統一と統合に基づく学際的なアプローチによって対処されなければなりません。明らかにされたICTスキルに加えて、導入された課題への対応のためには、規制とドメインの側面の深い理解と社会経済的影響の評価も必要です。
これらの分野では、情報の機密性、完全性、および可用性を確保する目的で、コンピュータシステムによって保存および処理され、ネットワークを介して送信される情報の保護が最も重要と考えられるため、エンジニアリングはサイバーセキュリティに最大限の注意を払います。
サイバーセキュリティ分野における当グループの提案は、アプリケーションセキュリティ、ITインフラストラクチャの境界セキュリティ、異なる分類レベルでのネットワーク間の情報交換におけるセキュリティ、および重要インフラストラクチャのセキュリティを専門としています。

エンジニアリンググループは、ポンサンマルタン、トリノ、ミラノ、ヴィチェンツァにある4データセンターの統合ネットワークを通じて、330を超えるお客様に最高の技術、品質、安全基準を保証するサービスシステムとインフラストラクチャを提供しています。国内的にも国際的にも。 これに関連して、お客様のデータとシステムに必要なITセキュリティフレームワークを確実にするために、Pont Saint Martinのメインデータセンターには最先端のセキュリティオペレーションセンターが設置されています。

また、Italtelでは全国のSOCを当てにできます。 これは、サイバーセクターが非常に重要であることを示唆しています、そうですか？

Italtel: デジタル変換は、ますます進化するサイバー攻撃への露出の表面を増加させます。 したがって、データ保護、重要なインフラストラクチャの復元力、および高度な脅威に対抗するための高品質のソリューションとサービスを提供することが重要です。 サイバーセキュリティは、私たちの歴史的な強みである行政、企業、サービスプロバイダーを対象とした当社の提案の基本的な柱です。 テレコミュニケーション会社として設立されたItaltelは、数年にわたってその提供を多様化し、今日では情報通信技術セクターのイタリアの多国籍企業であり、行政、ヘルスケア、防衛、金融、エネルギーなどのさまざまな垂直セクターにソリューションを提供しています。 、インダストリー4.0、スマートシティ、テレコミュニケーションを無視することなく。 ItaltelのSOCサービスは、SecurMaticsの買収により2001年に誕生し、専門的なネットワークサービスおよびネットワークを介したインフラストラクチャ管理とともに、顧客のセキュリティレベルを効果的かつ継続的に管理する必要性を高めています。オペレーションセンター（NOC）およびテクニカルアシスタンスセンター（TAC）。 今日、脅威の状況は絶えず変化しているため、行政、企業、サービスプロバイダーを対象とした単一のオファーで、マネージドを含むソリューションとサービスを強化することが重要です。

私はずっと前にレオナルドのSOCを訪れ、それに感銘を受けました...

レオナルド: Leonardoは、顧客のシステムのパフォーマンス、継続性、情報の優位性を保証するとともに、対象を絞った介入を通じてインフラストラクチャとアプリケーションを保護します。 また、安全なデジタルソリューションを開発し、脅威、脆弱性、リスクを特定、削減、管理します。 これに関連して、レオナルドはサイバー脅威に対抗する革新的なソリューションを提供することができ、ますます普及し、構造化されており、民間または軍事を問わず、あらゆる組織の技術、情報、知的資産の保護を緊急に必要としています。 サイバーセキュリティセクターにおける最も重要な成果の中で、レオナルドは、NATOに「ターンキー」システムを提供し、NATO Computer Incident Response Capability（NCIRC）の開発、実装、およびサポートを提供しました。国。 保護を提供する機能は、オープンソースデータと異種ソースの両方に適用可能な高度なインテリジェンスソリューションによって強化され、法執行機関や調査機関のニーズをサポートします。

あなたのSOCは内部使用ですか、それとも外部使用ですか？ あなたのSOCはどんなサービスを提供していますか？ 最も要求されているサービスは何ですか？

Italtel: 当社のSOCは主に、顧客のタイプに応じてカスタマイズされたサービスを提供する市場を対象としています。 典型的な顧客の基本的にXNUMXつのマクログループがあります。 適切なセキュリティガバナンスを提供している大企業は、すでに運用チームを内部化していますが、脅威インテリジェンスやインシデントレスポンス（IR）サービスなど、対処できない特定のサービスやスキルを外部に必要としています。 。 フルアウトソーシングされたSOCサービスに加えて、保護レベルを高めるために継続的な評価とギャップ分析を実行できるパートナー/コンサルタントの役割も必要とする中規模の企業。 とりわけ、運用SOCを維持するには、運用をサポートするためのトレーニングとテクノロジーへの継続的な投資が必要です。

その代わりにエンジニアリングの状況はどうですか？ 最も要求されているサービスは何ですか？

エンジニアリング: 私たちのSOCは内部利用のためのサービスを提供していますが、とりわけ私たちの顧客を支持して、すべての市場分野、すなわち金融、電気通信、公益事業、産業とサービスに分配します。ガバナンスの定義を目的とした高度なコンサルティングから、ペネトレーションテスト、脆弱性評価、倫理的ハッキングなどのサービスの評価、セキュリティレスポンスチーム、セキュリティインフラストラクチャ管理、ソリューションなどのSOCのサービスまでDDoSの。 さらに、IDアクセス管理、強力な認証、モバイルデバイスセキュリティなどのセキュリティソリューションを実装するための特定のプロジェクトも実施しています。 最後に、サイバー攻撃の可能性を見越して、サイバー脅威インテリジェンスソリューションのパイロットプロジェクトをいくつか実装しています。

レオナルド: Leonardoは、イタリアと英国に2つのSOCを作成しました。 主なものは、主要な参照分野（すなわち、重要インフラ、大企業、行政、防衛、情報機関、国立機関）におけるサイバー脅威からの保護に捧げられている、サイバーセキュリティおよび脅威インテリジェンスの分野における卓越性の中心であるキエティのそれです。そして国際的な）。 主な参照資産は、Chietiサイトに割り当てられています。
- SOC事業（セキュリティオペレーションセンター）。レオナルドのすべての国内外の顧客に対して24x7の検出および監視能力が保証されています。
- CSIRT（Computer Security Incident Response Team）。これを介して、サイバー攻撃への迅速な対応が保証されます。
- サイバー脅威インテリジェンス（すなわち、高エネルギー効率スーパーコンピューティングプラットフォーム上に実装された独自のミドルウェアに基づくオープンソースインテリジェンスサービス - 高性能コンピュータ）。
今日のChietiセキュリティオペレーションセンターは、提供されるサービスのポートフォリオの完全性、および監視対象の顧客とプラットフォームの数の観点から、ヨーロッパレベルで最も重要なマネージドサービスセキュリティプロバイダ（MSSP）の1つです。 いくつかのより重要な数字：50,000ログの他に、毎秒受信、集計、および収集されたログ。 30,000を超えるセキュリティイベントが収集され、2番目に関連しています。 SOCは、1日あたり平均50のセキュリティインシデントを管理し、インシデントを封じ込め、今日のサイバーセキュリティの脅威に迅速に対応するために、主な国際的なベストプラクティスリファレンス（NIST-800-xx、ENISAなど）を適用します。 Chietiでは100のセキュリティ専門家が働いており、その中で認定倫理的ハッカーは脆弱性評価および侵入テストの活動を専門としています。 このサイトには、マネージドセキュリティサービスの認定もいくつかあります。

運用SOCを維持するには、研究開発に集中する必要があると思います。 サイバースペースのどのセクターにパーセンテージでいくら投資しますか？

エンジニアリング: エンジニアリングは、技術、プロセス、ビジネスモデルの進化と絶えず連携しながら、情報技術の可能性を革新を通じて顧客の成長機会に変えることの研究と必要性を信じています。
Engineeringは1987に最初の研究所を開設し、今日では国内外の企業、大学、研究センターと共同で、次のように評価しています。

250の研究者

進行中の70研究プロジェクト

6開発研究所

Research and Innovationへの年間投資額は約30百万です。

サイバーセキュリティは、特にエンジニアリングにおいてIS3Lab（インテリジェンスシステムおよびソーシャルソフトウェア）と呼ばれるラボで主導的な役割を果たしているヨーロッパにおいて、私たちが研究に関してもっと投資しているトピックの1つです。研究はHorizo​​n2020の下で資金提供された。

セキュリティ組織とのコラボレーションはありますか？ あなたのSOCと各国のCERTの間にはどのような関係がありますか？

エンジニアリング: エンジニアリングは、ITセキュリティを扱うヨーロッパの主要企業を結集させ、ヨーロッパの機関と協力してサイバーセキュリティ分野で共通の戦略を定義しているECSO（European Cyber​​ Security Organization）の創設メンバーの1人です。

レオナルド: この分野では、コラボレーションは重要な成功要因です。 私たちは、新しい脅威や脆弱性に関する情報を交換している多数の国際企業や技術プロバイダーと協力しています。 市場で認められているスキルのおかげで、私たちはヨーロッパおよびそれ以降の多くの最も重要な公共および民間組織の戦略的パートナーです。 これにより、ITセキュリティシステムの設計と実装においてこれらの組織をサポートすることができます。 彼らと私達は契約関係によって要求されるように情報を交換することができます。 最後に、私たちはヨーロッパ（例えばECSO）、そしてイタリアやイギリスでのワーキンググループや機関討論会に参加しています。
さらに、重要なパートナーシッププロジェクトはNATOと一緒に開発されています。
レオナルドと大西洋同盟情報通信庁（NCI - Communications and Information Agency）は、機密情報を共有して参照コンテキストの知識を向上させ、保護を強化するために、コンピュータセキュリティに関する共同契約を締結しました。それぞれのネットワークとシステムの。
この共同イニシアチブは、採用されるサイバー脅威とセキュリティ慣行に関する情報を共有することを目的としており、アライアンスがサイバー犯罪保護に関してその目標を完全に達成できるように、信頼できる産業パートナーと協力することの重要性を認識しています。 LeonardoはNCI機関と協力して、最新の脅威モデルと攻撃の傾向をよりよく理解します。 これにより、予防策の適用がより効果的になり、情報を保護するための会社の能力が向上し、将来の侵入の試みの範囲が狭くなります。

イタリアでは、コンピュータセキュリティサービスの市場は何ですか？ サイバーセキュリティへの関心が高まっていることを考えると、市場は最後の期間に増加しましたか？

エンジニアリング: イタリアでは、顧客がこの種の脅威にあまり敏感ではなかったため、ITセキュリティサービス市場は脱却するのに苦労しました。 接続性が最も低く、したがって本質的にITリスクにさらされにくい国の技術的ギャップが、おそらく重要な役割を果たしました。 しかし、ここ数カ月の間に、おそらく多くの企業の評判を落としているサイバー攻撃の最近のエピソードのせいで、これまでCIO / CSOによって管理されていた技術的問題として見られてきた問題がトップマネジメントの注目を集めています。企業がサイバー攻撃の結果として被ることがあるという評判の結果に気づき始めました。 その結果、イタリアの市場はデータ保護とビジネスシステムの問題を詳しく検討しているようであり、最初はリスク分析活動を依頼し、続いてコミッショニング活動を依頼して、ますます多くの顧客が問題に直面し始めています。 ICTインフラストラクチャのセキュリティ

レオナルド: 2013年から2018年の期間に、世界のサイバーセキュリティ市場は10,4％の複合年間成長率（CAGR）で成長し、80年の予想値は2018億ユーロに達します。 イタリア市場は、約8,6％のCAGRで成長します。 2年に2018億ユーロ。Assinform2017レポートは、過去11年間でITセキュリティ市場がXNUMX％以上成長したことを示しています。
イタリアの文脈では、政府/防衛部門が市場の20％を占め、ビジネスクラスターは約80％を占めています（そのうち、CNI（Critical National Infrascructure）部門は半分以上に影響を及ぼします）。

どのようなスタッフがSOCで雇用を見つけることができますか？ どのような研究や専門分野が必要ですか。

エンジニアリング: 当社のSOCでは、ネットワークとソフトウェアのセキュリティに特化したコンピュータエンジニアが採用されています。 残念ながら、これらのスキルを市場で見つけることは困難です。イタリアでは、コンピュータセキュリティの専門家であるエンジニアの育成を目的とした研究プログラムはほとんどないからです。 このギャップに対処するために、私たちは「Enrico Della Valle」ICTスクールでサイバーセキュリティの一連の専門コースを開始しました。これは主に内部スタッフのトレーニングを目的としていますが、従業員を専門とする外部組織にも開かれています。

レオナルド: 私たちは、ITセキュリティの専門家と、ITセキュリティの標準とプロトコルに関する理論的な知識を持つ若い技術者とエンジニアを採用しています。 ネットワークとセキュリティの問題を解決する傾向の高い担当者、ICTセキュリティのガバナンスに関する標準と参照のベストプラクティスの知識、ITセキュリティインシデントの防止と管理、および保護を目的としたセキュリティ問題の知識を優先します。ネットワークと制御および自動化システム。

なぜあなたの顧客はあなたのところに来たのですか？ サイバーインシデントに続いて、あるいは問題を防ぐために？

Italtel: Italtelは伝統的にグローバルなサービスプロバイダーのためのネットワークインフラストラクチャの設計と構築において活動してきました、そして、我々の経験においてセキュリティの要素は多くの点で常に重要な要素でした。 この専門知識のおかげで、複雑なネットワークの管理において当社のサービス品質をテストする機会がすでにあるため、多くの顧客がサイバーセキュリティに私たちを頼っています。

エンジニアリング: 上記のように、当社はデータセンターを通じて公共および個人顧客にICTサービスを何十年も提供してきました。その意味で、私たちは常に最高レベルの論理的および物理的セキュリティを確保する必要があります。 これらの顧客の多くは、セキュリティレベルを向上させる必要性を感じているインフラストラクチャを運用しています。 それゆえ、私たちの認識された能力に照らして、私たちの顧客がサイバーセキュリティの分野で私たちに助言を求めることはほぼ自然でした。 しかし、最近、私達の会社はまた市場全体に関連してサイバーセキュリティ部門でその能力を促進する活動を始めました。

あなたの意見では、もしあれば、SOC内で最も重要な数字はどれですか？ そして、もしあなたが若い人たちに演説し、一人以上の科目を勉強するように彼らを誘ったら、あなたは何を提案できますか？

エンジニアリング: 他より重要な人物はいないと思います。 サイバーセキュリティは、ガバナンスから、ネットワークの最下位レベルから最先端のアプリケーションまで、ICTインフラストラクチャ全体に関わる最も純粋な技術的問題に至るまで、さまざまなスキルを必要とする学際的なテーマです。
だから私は若いコンピュータエンジニアに与えるだろう唯一の提案は彼が確かに彼を雇うために利用可能な会社を見つけるのでサイバーセキュリティに固有のあらゆる分野に特化することです。

Italtel: 重要な人物を特定する場合、SOC MANAGERはサービス提供の基本的な役割であり、ITインシデントの管理の最もデリケートなフェーズでセキュリティアナリストを管理および刺激し、適切に管理することができます。外の世界とのコミュニケーション。

あなたのSOCでどんなツールを使っていますか？ どのSIEMを使いますか？

エンジニアリング: 当社のSOCは「ブランド」製品を使用しています。 しかし、経済問題だけでなく、「国家安全保障」のニーズについても、オープンソースへの関心が常に高まっています。 実際、このタイプの製品でもソースコードを管理しようとする傾向があります。

規制の観点から、新しい規格「全国的なサイバー保護とITセキュリティのためのガイドライン」として、DPCMは17を2月に発行し、Official Journal、一般シリーズnに発行しました。 2017 4月の87 13は、大きな変化を約束するようですが、どう思いますか？

Italtel: Gentiloni DPCMは、将来の紛争の主な原因であるサイバードミノに直面することで、国家の意思決定チェーンを改善し最適化します。 さらに、機関と私が信じる重要なインフラストラクチャとの間の協調的および協調的モデルは、私たちを待っている脅威に直面するための基本です。

レオナルド: DPCM 17 / 2 / 2017とそれに続く国家計画で、情報セキュリティ部（DIS）は国家レベルでサイバーセキュリティ活動を主導する役割を獲得します。
その役割は、それぞれが最初の「業務」活動と2番目の戦略的かつ進化的性質の活動に捧げられた2つの構造を通して実行されます。 運用面では、サイバー危機の状況に警戒し対応するためのユニットであるh24の管理、違反に関するコミュニケーションの取得、または侵害の試みを目的としたインテリジェンスおよびサイバネティックセキュリティ（NSC）サービスが設定されています。警察部隊、国防総省の組織（別々のまま）、およびCERT（コンピュータ緊急対応/対応チーム）からのセキュリティ情報機関。
重要かつ戦略的なインフラストラクチャー向けの市場ICTコンポーネントの国家評価および認証のための研究所の設立、国家暗号の開発、ソブリン技術の研究開発も計画されています。
レオナルドは、DISの運営を支援するための専門知識とサービスを提供することができます。 特に、これは脅威インテリジェンスとオープンソースインテリジェンスの分野、CERTをサポートするモデル、ソリューションと能力、トレーニングのためのシステムとサービス（サイバーレンジ/サイバーアカデミー）、インフラストラクチャーと応用の統合能力、スキル」に関するものです。システムの強化
さらに興味深いのは、サイバーセキュリティの主権技術の研究開発センターで、公共部門と民間部門の連携を目的として設立され、機関、産業界、学術界の連携を見据えたエコシステムが構築されるでしょう。

エンジニアリング: 国家の文脈でサイバーセキュリティの方法に「統治」を与える必要性を疑うものではなく、指令は確かにこの方向に進み、指針としての中心的役割を持つDISに委ねている。 ただし、このアプローチが、対象を少数の内部関係者にとっての「機密」問題として扱うのではなく、可能性のある最大の精神的開放性で問題に対処することであることを保証するためにあらゆる努力を払う必要があります。特にプライベートです。

Italtel、Engineering、Leonardoの助けを借りて作成された概要は、SOCと提供されるサイバーセキュリティサービスの重要性を説明するのに十分だと思います。残っているのは、利用可能であるすべての人に感謝することだけです。 SOCの概念に関するサイバー世界の明快さ。
I SOCあなたがたは、サイバーセキュリティの1つの側面にすぎないことに注意してください。 ネットワークオペレーションセンター （NOC）e インフラ運用センター （IOC）彼らの異形と共にサイバースペースの管理で使用される構造を完成します、そして、私はそれについてすぐに話す機会を持つことを望みます。

Alessandro Rugolo＆Ciro Metaggiata

もっと知ることができます。
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-ope...
- https://www.slideshare.net/ahmadhagh/an-introduction-to-soc-security-ope...
- http://www.eng.it/
- http://www.leonardocompany.com/
- http://www.italtel.com/it/

（写真：Leonardo）