Innovery offre ai propri Clienti i servizi di Managed Detection & Response come un unico punto di contatto per attività di monitoraggio della sicurezza della infrastruttura ICT finalizzati alla rilevazione di incidenti di sicurezza e/o malfunzionamenti, nonché di supporto tecnico per la gestione delle infrastrutture ICT, sia on-premise che in cloud.
I servizi sono strutturati a più livelli che, in sintesi, sono finalizzati a:
Security Operation Center
Monitoraggio H24x7 delle piattaforme di sicurezza (SIEM in particolare) per il rilevamento di anomalie, la loro analisi e classificazione, il primo contrasto in caso di incidente con verifiche periodiche del corretto tuning del SIEM e verifica che gli use case presenti coprano anche le nuove tipologie di attacchi e, se necessario, l’escalation al ns. IRT (in caso di incidenti di grosso impatto)
Incident Response Team
Gestione completa della risposta agli incidenti, che possono includere le attività di contrasto e contenimento, la definizione del piano di risposta, l’implementazione e test delle misure di remediation, risoluzione delle vulnerabilità del sistema, supporto al cliente per il ripristino dei sistemi.
Network Operation Center
Monitoraggio H24x7 del funzionamento della infrastruttura di rete e la gestione degli incidenti legati al malfunzionamento dei componenti infrastrutturali; le attività possono comprendere la gestione operativa degli apparati di rete, dei sistemi IT e delle applicazioni sia on premise che in cloud.
Il Cert di Innovery
Il team del SOC assieme all’IRT formano il CERT di Innovery (CERT-INN) mediante il quale sono offerti i servizi di difesa reattiva e proattiva erogata dagli analisti di livello T1 e T2, e a livello degli analisti T3 sono erogati anche i servizi avanzanti di difesa proattiva, volti anche in collaborazione con partner tecnologici e con altri CERT nazionali ed esteri
- Struttura del CERT
- Livelli di servizi MDR
- Organizzazione del personale CERT
- Livelli dei servizi offerti
- Contatti
Il CERT di Innovery è strutturato ed opera in conformità agli standard ISO 27001, ISO 20035, ITIL e NIST. La struttura del SOC è composta dalle tre componenti fondamentali:
- Persone
- Tecnologie
- Processi e Procedure (Framework TPP)
Con il supporto dei Competence Center specializzati in molte tecnologie di sicurezza nell’area di Defensive Security, forniamo i servizi di gestione completa delle infrastrutture di sicurezza e di system integration.
Il Framework TPP è il collante tra Persone e Tecnologie:
- Garantisce supporto continuo agli analisti del CERT;
- Facilita il corretto utilizzo delle Tecnologie adottate da ciascun cliente
È strutturato mediante procedure che consentono:
- Ripetibilità ed omogeneità delle operazioni grazie alle procedure operative (SOP) che vengono adattate per ogni cliente;
- Accelerare la reattività degli Analisti nelle azioni di contrasto agli incidenti di sicurezza;
- Incrementare la curva di apprendimento degli operatori anche grazie alla Knowledge Base alimentata continuamente dagli analisti.
I servizi sono erogati da remoto dal personale disposto nelle sale attrezzate dedicate presso gli uffici Italiani (Milano e Roma) e Spagnoli (Madrid e Barcellona).
Diversi livelli di assistenza sono forniti ai nostri clienti, in base alle loro esigenze, come schematizzato nella figura seguente.
A partire dal basso si elencano i servizi di monitoraggio e gestione dell’infrastruttura ICT erogati dal Network Operation Center, e a salire sono evidenziati i principali servizi del Security Operation Center e del team di Incident Response, che insieme formano il CERT.
I team sono differenti ma coordinati centralmente e tutti insieme concorrono a coprire le molteplici aree di competenze necessarie alla gestione degli incidenti di sicurezza relativi alla rete, ai sistemi, alle applicazioni e, in generale, al monitoraggio continuo e alla gestione della cyber security aziendale.
Seguendo le best practices internazionali il nostro CERT è organizzato a più livelli (Tier), con competenze via via crescenti in ambito cyber security. Il front-end è costituito dagli analisti T1 che operano in H24x7 prevalentemente in presenza presso le ns. sedi operative, mentre gli analisti T2 e T3 si attivano su chiamata, garantendo disponibilità sempre in H24, il tutto coordinato dal CERT Manager e dal personale di supporto (team leaders e staff manager).
Le immagini sotto illustrano le modalità di ingaggio e le responsabilità per ciascun livello di competenza.
I servizi offerti dal CERT sono combinati in diversi pacchetti, che vengono adattati alle esigenze del cliente. Alcuni di questi pacchetti possono essere acquisiti separatamente anche senza che il cliente disponga dei ns. servizi CERT, quali ad esempio Incident Response e Proactive Security
Per una descrizione completa dei servizi offerti dal nostro CERT secondo lo standard RFC 2350, si veda il documento al seguente link.
Servizi del Cert
I servizi di Gestione Incidenti sono erogati dal CERT come parte integrante dei servizi di monitoraggio reattivo e proattivo della sicurezza dei sistemi ICT dei nostri clienti, nell’ambito dei servizi MDR, ma possono anche essere richiesti da qualsiasi altra azienda che abbia subito un incidente di sicurezza e necessita del supporto di nostri esperti di cyber security al fine di rimediare alle conseguenze dell’incidente.
Oltre ai servizi di difesa reattiva, il CERT di Innovery offre servizi di difesa proattiva, che hanno la finalità di prevenire gli incidenti di sicurezza attraverso la ricerca continua delle minacce che possono impattare sul cliente (non solo infrastruttura ICT) e la immediata segnalazione al personale preposto.
Early Warning
Per segnalare attraverso report, bollettini e annunci le informazioni relative a nuove minacce e come queste possano impattare sull’infrastruttura del cliente
Cyber Awareness
Basata su una piattaforma avanzata di e-learning che consente di coinvolgere tutta l’organizzazione in un percorso di apprendimento e di sensibilizzazione nei confronti dei rischi cyber
Threat intelligence
Per l’analisi e correlazione delle informazioni presenti sulle fonti aperte (OSINT), al fine di indentificare minacce emergenti e le tendenze del cyber crime che possano impattare il cliente