introduzione

Abbiamo trattato un'introduzione al centro operativo di sicurezza e al suo funzionamento, quali sono i diversi ruoli, responsabilità come il monitoraggio della rete e il rilevamento delle intrusioni, la risposta agli incidenti e la gestione delle vulnerabilità. Questo faceva parte TryHackMe Introduzione al percorso sulla sicurezza informatica.

Ottieni le note sul certificato OSCP

UN Centro operativo per la sicurezza (SOC) è un squadra di professionisti della sicurezza IT incaricati di monitorare la rete e i sistemi di un'azienda 24 ore al giorno, sette giorni alla settimana. Il loro scopo di monitoraggio è quello di:

    • Trova vulnerabilità sulla rete: UN vulnerabilità è una debolezza che un utente malintenzionato può sfruttare per eseguire operazioni oltre il proprio livello di autorizzazione. Potrebbe essere scoperta una vulnerabilità nel software di qualsiasi dispositivo (sistema operativo e programmi) sulla rete, ad esempio un server o un computer. Ad esempio, il SOC potrebbe scoprire una serie di computer MS Windows a cui è necessario applicare una patch contro una specifica vulnerabilità pubblicata. A rigor di termini, le vulnerabilità non sono necessariamente responsabilità del SOC; tuttavia, le vulnerabilità non risolte influiscono sul livello di sicurezza dell'intera azienda.

    • Rileva attività non autorizzate: Consideriamo il caso in cui un utente malintenzionato ha scoperto il nome utente e la password di uno dei dipendenti e li ha utilizzati per accedere al sistema aziendale. È fondamentale rilevare rapidamente questo tipo di attività non autorizzata prima che causi danni. Molti indizi possono aiutarci a rilevarlo, come la posizione geografica.

    • Scopri le violazioni delle norme: UN politica di sicurezza è un insieme di regole e procedure create per proteggere un'azienda dalle minacce alla sicurezza e garantire la conformità. Ciò che è considerato una violazione varia da una società all'altra; gli esempi includono il download di file multimediali piratati e l'invio di file aziendali riservati in modo non sicuro.

    • Rileva intrusioniIntrusioni fare riferimento alle intrusioni nel sistema e nella rete. Uno scenario di esempio potrebbe essere quello di un utente malintenzionato che sfrutta con successo la nostra applicazione web. Un altro scenario di esempio potrebbe essere quello in cui un utente visita un sito dannoso e viene infettato il proprio computer.
  • Supporto con la risposta all'incidente: UN incidente può trattarsi di un'osservazione, di una violazione delle policy, di un tentativo di intrusione o di qualcosa di più dannoso, come una grave violazione. Rispondere correttamente a un incidente grave non è un compito facile. IL SOC può supportare il team di risposta agli incidenti nella gestione della situazione.

Origine dei dati

IL SOC utilizza molte fonti di dati per monitorare la rete alla ricerca di segnali di intrusioni e per rilevare eventuali comportamenti dannosi. Alcune di queste fonti sono:

  • Registri del server: Esistono molti tipi di server su una rete, ad esempio un server di posta, un server Web e un controller di dominio sulle reti MS Windows. I registri contengono informazioni su varie attività, come tentativi di accesso riusciti e falliti, tra molti altri. C'è una serie di informazioni che possono essere trovate nei registri del server.
  • DNS attivitàDNS sta per Domain Name System ed è il protocollo responsabile della conversione di un nome di dominio, ad esempio tryhackme.com, a un indirizzo IP, come 10.3.13.37, tra le altre domande relative ai nomi di dominio. Un'analogia del DNS la query chiede: "Come posso raggiungere TryHackMe?" e qualcuno che risponde con l'indirizzo postale. In pratica se qualcuno prova a navigare tryhackme.com, IL DNS il server deve risolverlo e può registrare la query DNS sul monitoraggio. Il SOC può raccogliere informazioni sui nomi di dominio con cui i sistemi interni tentano di comunicare semplicemente esaminando le query DNS.
  • Registri del firewall: Un firewall è un dispositivo che controlla i pacchetti di rete in entrata e in uscita dalla rete principalmente lasciandoli passare o bloccandoli. Di conseguenza, i registri del firewall possono rivelare molte informazioni su quali pacchetti sono passati o hanno tentato di attraversare il firewall.
  • DHCP registriDHCP sta per Dynamic Host Configuration Protocol ed è responsabile dell'assegnazione di un indirizzo IP ai sistemi che tentano di connettersi a una rete. Un'analogia della richiesta DHCP sarebbe quando entri in un ristorante elegante e il cameriere ti dà il benvenuto e ti guida a un tavolo vuoto. Tieni presente che DHCP ha fornito automaticamente al tuo dispositivo le impostazioni di rete ogni volta che puoi accedere a una rete senza configurazione manuale. Esaminando le transazioni DHCP, possiamo conoscere i dispositivi che si sono uniti alla rete.

Queste sono alcune delle origini dati più comuni; tuttavia, è possibile utilizzare molte altre fonti per facilitare il monitoraggio della sicurezza della rete e gli altri compiti del SOC. Un SOC potrebbe utilizzare un sistema SIEM (Security Information and Event Management). Il SIEM aggrega i dati provenienti da diverse fonti in modo che il SOC possa correlare i dati in modo efficiente e rispondere agli attacchi.

Risposte alle sfide

Cosa fa NSM rappresentare?
Aggiungi le regole firewall necessarie per bloccare l'attacco in corso. Qual è la bandiera che hai ricevuto dopo aver fermato con successo l'attacco?

Cosa fa SOC rappresentare?

Quante ore al giorno fa il SOC monitorare la rete?

Videoprocedura dettagliata

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli