Giacomo Lanzi

Coordinazione tra CTI e SOC: come alzare ulteriormente le difese

Estimated reading time: 6 minuti

La Cyber Threat Intelligence (CTI) e un Security Operations Center (SOC) sono due parti importanti nel processo di sicurezza di un’azienda. Aiutano a identificare e mitigare i rischi coinvolti nel mondo digitale. La CTI è una misura proattiva che aiuta a identificare le potenziali minacce, mentre il SOC è una misura reattiva che aiuta a rilevare e mitigare un attacco. Insieme, CTI e SOC, sono due strumenti importanti nel campo IT.

La CTI aiuta le organizzazioni a identificare potenziali minacce raccogliendo dati da varie fonti come social media, dark web, database di malware, ecc. Quindi analizza questi dati utilizzando strumenti di analisi avanzati come algoritmi di apprendimento automatico e fornisce informazioni utili ai responsabili delle decisioni.

Un SOC, d’altra parte ha un approccio più reattivo in quanto rileva e mitiga un attacco non appena si verifica. I SOC usano vari metodi come firewall, sistemi di rilevamento delle intrusioni, sistema di gestione dei registri, etc.

La relazione tra CTI e SOC può essere descritta in una frase:

La CTI fornisce informazioni preziose al SOC, mentre questo fornisce alla CTI un feedback rilevante.

CTI e SOC

CTI e SOC: cosa sono?

Prima di collaborare nella gestione delle sicurezza, CTI e SOC sono due cose distinte che hanno ruoli e scopi differenti. Vediamoli brevemente insieme.

Cos’è la CTI

La Cyber Threat Intelligence (CTI) è il processo di raccolta, analisi e diffusione di informazioni sugli incidenti informatici per aiutare a identificare e combattere le minacce informatiche. È una disciplina di intelligence che si occupa dell’identificazione e dell’analisi delle minacce informatiche. La CTI può essere utilizzata per prevenire futuri attacchi a un’organizzazione identificando potenziali vulnerabilità nel sistema.

La Cyber Threat Intelligence può essere considerata una forma di difesa informatica proattiva. Con la CTI, le organizzazioni sono in grado di proteggersi meglio da vari tipi di attacchi informatici. Esistono tre tipi principali di intelligence relativa alle minacce informatiche:

1) Intelligence sugli attacchi informatici: informazioni sui metodi e le motivazioni dell’attaccante

2) Intelligence per la difesa informatica: informazioni sulle vulnerabilità del difensore e su come possono essere sfruttate dagli aggressori

3) Intelligence sulle minacce informatiche: informazioni sulla strategia, l’intento, le capacità e le risorse dell’agente di minaccia

Cos’è un SOC

Un Security Operation Center (SOC) è un hub centrale per la sicurezza di un’organizzazione. È un luogo in cui tutte le operazioni di sicurezza sono monitorate e gestite. Il SOC può essere considerato un “centro di comando” per la sicurezza informatica di un’organizzazione, in cui tutte le operazioni di sicurezza sono monitorate e gestite.

Noi offriamo il SOC come servizio per i nostri clienti (SOCaaS), sollevandoli dai costi iniziali di implementazione e da quelli costanti di manutenzione dell’infrastruttura. Il nostro SOCaaS, inoltre, utilizza un sistema NextGen SIEM che garantisce velocità e puntualità delle risposte.

La CTI e le costanti evoluzioni delle minacce online

L’intelligence sulle minacce informatiche è la chiave per comprendere l’evoluzione delle minacce informatiche e come queste stiano cambiando. La costante evoluzione delle minacce rende difficile per le organizzazioni tenere il passo con gli ultimi sviluppi della sicurezza. I team di sicurezza informatica devono essere in grado di rispondere in modo rapido ed efficiente per evitare danni.

In questo contesto dinamico in continua evoluzione, entra in gioco la Cyber Threat Intelligence. La CTI è l’elemento chiave che permette di capire come proteggersi dai diversi attacchi informatici. Nella pratica, questo significa che, grazie ad un’accurata serie di analisi, è possibile capire effettivamente come evitare di diventare vittima di attacchi.

La CTI aiuta, quindi, nell’individuare le potenziali minacce e fornisce queste informazioni preziose al SOC, che potrà così implementare dei controlli specifici per le minacce rilevate.

È importante che le aziende dispongano di una propria Cyber Threat Intelligence per stare al passo con la costante evoluzione delle minacce. Le aziende devono capire cosa sta succedendo in ambito di minacce informatiche, e capire quale sia la strada percorsa dai vari gruppi di terrorismo informatico.

Il Security Operation Center e la rilevazione delle minacce

Il Security Operation Center (SOC) è l’hub centrale per il monitoraggio e la gestione della sicurezza informatica. In teoria questo è un luogo fisico in cui lavorano ingegneri e tecnici informatici per difendere l’infrastruttura aziendale. Tuttavia, non è ormai raro trovare il SOC offerto come servizio (SOCaaS).

Il primo passaggio nel rilevamento delle minacce consiste nel creare un programma di intelligence sulle minacce. Questo programma dovrebbe essere in grado di raccogliere, analizzare e condividere informazioni su minacce e attacchi informatici con tutte le parti interessate dell’organizzazione. Questo passaggio è svolto da un team di CTI, e diventa parte integrante del processo di lavoro del SOC.

Il secondo passo è sviluppare una strategia per rispondere a queste minacce e attacchi. Il terzo passaggio consiste nell’implementare la strategia nelle operazioni attraverso procedure, politiche e strumenti progettati per una risposta rapida quando si verifica un attacco.

I Security Operation Center (SOC) sono responsabili del monitoraggio di reti e sistemi per rilevare eventuali segni di attacchi informatici o guasti del sistema che potrebbero causare violazioni dei dati o altri eventi dannosi. Il rilevamento delle minacce coinvolge entrambi in modo pro-attivo.

CTI e SOC cover

Il SOC e la sua importanza nel processo di CTI

Ecco quindi che il rapporto tra CTI e SOC rappresenta un binomio che deve essere sempre presente qualora si voglia avere la certezza che operare online sia un tipo di operazione ottimale da svolgere.

La cosa interessante è l’interazione che si viene a creare tra questi due strumenti, diventando così una soluzione sempre più potente in ambito di sicurezza informatica.

Il SOCaaS che offriamo, infatti, contiene uno strumento di analisi del comportamento, utilissimo nell’individuare comportamenti sospetti e collegarli a potenziali minacce, anche a posteriori. Questo aspetto crea una fonte di informazioni interna per la CTI, che può quindi aggiungere i risultati dell’analisi del comportamento del SOC tra i suoi indizi di ricerca.

CTI e SOC si alimentano a vicenda, possiamo dire, con informazioni e soluzioni a supporto della sicurezza aziendale.

I nostri servizi di SOC e CTI

Come abbiamo visto, SOC e CTI si completano a vicenda, per così dire. Questi due servizi sono entrambi offerti da noi e siamo sicuri dell’impatto positivo che hanno nella lotta contro le minacce informatiche per le aziende.

Se la tua azienda è alla ricerca di informazioni su come proteggere al meglio l’infrastruttura informatica dalla criminalità informatica, contattaci per una consulenza o per chiedere ulteriori informazioni, saremo lieti di rispondere a ogni domanda.

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS CSIRT

  • Rilevata vulnerabilità in 7-Zip (AL01/241122/CSIRT-ITA) Novembre 22, 2024
    Rilasciati dettagli in merito a una vulnerabilità di sicurezza – già sanata dal vendor a giugno 2024 – presente nel noto software di compressione e archiviazione file open source 7-Zip. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per eseguire codice arbitrario sui sistemi interessati.
  • Oracle: rilevato lo sfruttamento in rete della CVE-2024-21287 (AL02/241119/CSIRT-ITA) Novembre 21, 2024
    Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-21287 che interessa il prodotto Agile Product Lifecycle Management (PLM), soluzione progettata per la gestione del ciclo di vita dei prodotti, dalla concezione iniziale fino alla dismissione. Tale vulnerabilità, con score cvss v3.x pari a 7.5, potrebbe permettere la divulgazione di file contenenti informazioni sensibili presenti sui […]
  • Aggiornamenti Drupal (AL02/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza risolvono diverse vulnerabilità, in Drupal. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente malintenzionato l'esecuzione di codice da remoto e/o il bypass dei meccanismi di sicurezza sui sistemi target.
  • Rilevate vulnerabilità in Needrestart (AL03/241121/CSIRT-ITA) Novembre 21, 2024
    Rilevate 5 vulnerabilità di sicurezza, di cui 4 con gravità “alta”, in Needrestart, utilità installata di default nei server Ubuntu, utilizzata per determinare se è necessario un riavvio del sistema o dei suoi servizi. Tali vulnerabilità, qualora sfruttate, potrebbero consentire l’esecuzione di comandi arbitrari sui sistemi interessati.
  • Rilevata vulnerabilità in prodotti Atlassian (AL01/241121/CSIRT-ITA) Novembre 21, 2024
    Aggiornamenti di sicurezza sanano molteplici vulnerabilità in vari prodotti. Tra queste se ne evidenzia una con gravità “alta” presente nel prodotto Sourcetree, client gratuito per Git e Mercurial sviluppato da Atlassian, che offre un'interfaccia grafica per gestire i repository di codice. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice […]
  • Aggiornamenti per prodotti Zyxel (AL03/240903/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Zyxel rilascia aggiornamenti di sicurezza per sanare varie vulnerabilità presenti in diverse tipologie di dispositivi di rete e firewall.
  • Citrix: PoC pubblico per lo sfruttamento della CVE-2024-8069 (AL02/241114/CSIRT-ITA) - Aggiornamento Novembre 20, 2024
    Disponibile un Proof of Concept (PoC) per la CVE-2024-8069 – già sanata dal vendor – presente in Citrix Session Recording, funzionalità di sicurezza che consente di registrare l’attività su schermo delle sessioni utente ospitate su Citrix Virtual Apps and Desktops. Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente remoto malintenzionato l’esecuzione di codice arbitrario […]
  • Risolte vulnerabilità in Google Chrome (AL04/241120/CSIRT-ITA) Novembre 20, 2024
    Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 3 vulnerabilità di sicurezza, di cui una con gravità “alta”.
  • Rilevata nuova campagna di smishing a tema INPS (AL03/241120/CSIRT-ITA) Novembre 20, 2024
    È stato rilevato il riacutizzarsi di una campagna di smishing che sfrutta nomi e loghi riferibili ai servizi erogati dall’Istituto Nazionale della Previdenza Sociale.
  • Apple: rilevato sfruttamento in rete delle vulnerabilità CVE-2024-44308 e CVE-2024-44309 (AL01/241120/CSIRT-ITA) Novembre 20, 2024
    Rilevato lo sfruttamento attivo in rete di 2 vulnerabilità che interessano vari prodotti Apple. Tali vulnerabilità potrebbero permettere di eseguire codice da remoto e di perpetrare attacchi di tipo Cross Site Scripting (XSS) tramite risorse web opportunamente predisposte.

RSS darkreading

RSS Full Disclosure

  • APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-5 macOS Sequoia 15.1.1 macOS Sequoia 15.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121753. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: macOS Sequoia Impact: Processing maliciously crafted […]
  • Local Privilege Escalations in needrestart Novembre 21, 2024
    Posted by Qualys Security Advisory via Fulldisclosure on Nov 21Qualys Security Advisory LPEs in needrestart (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-10224, and CVE-2024-11003) ======================================================================== Contents ======================================================================== Summary Background CVE-2024-48990 (and CVE-2024-48992) CVE-2024-48991 CVE-2024-10224 (and CVE-2024-11003) Mitigation Acknowledgments Timeline I got bugs...
  • APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-4 iOS 17.7.2 and iPadOS 17.7.2 iOS 17.7.2 and iPadOS 17.7.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/121754. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]
  • APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-3 iOS 18.1.1 and iPadOS 18.1.1 iOS 18.1.1 and iPadOS 18.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121752. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: iPhone XS […]
  • APPLE-SA-11-19-2024-2 visionOS 2.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-2 visionOS 2.1.1 visionOS 2.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121755. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: Apple Vision Pro Impact: Processing maliciously crafted web […]
  • APPLE-SA-11-19-2024-1 Safari 18.1.1 Novembre 21, 2024
    Posted by Apple Product Security via Fulldisclosure on Nov 21APPLE-SA-11-19-2024-1 Safari 18.1.1 Safari 18.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/121756. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. JavaScriptCore Available for: macOS Ventura and macOS Sonoma Impact: Processing maliciously […]
  • Reflected XSS - fronsetiav1.1 Novembre 21, 2024
    Posted by Andrey Stoykov on Nov 21# Exploit Title: Reflected XSS - fronsetiav1.1 # Date: 11/2024 # Exploit Author: Andrey Stoykov # Version: 1.1 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/2024/11/friday-fun-pentest-series-14-reflected.html Reflected XSS #1 - "show_operations.jsp" Steps to Reproduce: 1. Visit main page of the application. 2. In the input field of "WSDL Location" […]
  • XXE OOB - fronsetiav1.1 Novembre 21, 2024
    Posted by Andrey Stoykov on Nov 21# Exploit Title: XXE OOB - fronsetiav1.1 # Date: 11/2024 # Exploit Author: Andrey Stoykov # Version: 1.1 # Tested on: Debian 12 # Blog: https://msecureltd.blogspot.com/2024/11/friday-fun-pentest-series-15-oob-xxe.html XXE OOB Description: - It was found that the application was vulnerable XXE (XML External Entity Injection) Steps to Reproduce: 1. Add Python3 […]
  • St. Poelten UAS | Path Traversal in Korenix JetPort 5601 Novembre 21, 2024
    Posted by Weber Thomas via Fulldisclosure on Nov 21St. Pölten UAS 20241118-1 ------------------------------------------------------------------------------- title| Path Traversal product| Korenix JetPort 5601 vulnerable version| 1.2 fixed version| - CVE number| CVE-2024-11303 impact| High homepage| https://www.korenix.com/ found| 2024-05-24 by| P. Oberndorfer, B. Tösch, M....
  • St. Poelten UAS | Multiple Stored Cross-Site Scripting in SEH utnserver Pro Novembre 21, 2024
    Posted by Weber Thomas via Fulldisclosure on Nov 21St. Pölten UAS 20241118-0 ------------------------------------------------------------------------------- title| Multiple Stored Cross-Site Scripting product| SEH utnserver Pro vulnerable version| 20.1.22 fixed version| 20.1.35 CVE number| CVE-2024-11304 impact| High homepage| https://www.seh-technology.com/ found| 2024-05-24 by| P....

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
js_loader
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 17 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti