L’efficacia di un Security Operations Center non si misura solo in velocità, cioè nei tempi di rilevamento e di risposta alle minacce e agli incidenti informatici. Per un’attività efficace è anche necessario individuare le minacce prima che si aggravino. E per farlo bisognerebbe innanzitutto eliminare le lacune di visibilità attuali: secondo un nuovo studio di Kaspersky (“Anatomy of a Cyber World”), il 57% dei dati telemetrici raccolti non viene inserito nelle pipeline di rilevamento in tempo reale.
In pratica, la maggior parte dei Soc raccoglie molti più dati di quanti ne utilizzi effettivamente per il rilevamento: in media, nelle aziende valutate da Kaspersky, la copertura delle regole di correlazione si attesta al 43%. Il restante 57% di dati telemetrici resta comunque a disposizione per indagini retrospettive per attività di threat hunting o per scopi di compliance, ma è invisibile al rilevamento in tempo reale.
Si creano, quindi, delle aree di ombra che i Soc interni aziendali non considerano, e si tratta di aree cruciali per la sicurezza. Le fonti che più frequentemente restano prive di copertura sono la telemetria di rete, i database e i server Web: infrastrutture fondamentali che dovrebbero invece essere al centro di qualsiasi strategia di rilevamento.
Perché la maggior parte dei dati di telemetria non rientra nel rilevamento in tempo reale? In alcuni casi, determinati dati volutamente restano fuori dall’ambito della correlazione attiva, per soddisfare esigenze investigative o normative. Altre volte, invece, e tipicamente nei Soc “maturi”, le fonti vengono integrate senza un piano di rilevamento chiaro oppure non si giunge mai a definire le regole da adottare. Nei Soc meno evoluti, di contro, spesso i dati vengono raccolti senza poi essere utilizzati, e questo accade per diverse ragioni: le fonti vengono integrate prima di definire chiaramente le regole, oppure il rilevamento segue una gestione poco chiara, o ancora il lavoro di ingegneria viene continuamente rimandato per mancanza di tempo, soldi o personale. In tutti i casi, il risultato è che porzioni significative dell’ambiente iT non vengono monitorate in tempo reale.
Il problema, peraltro, tende ad aggravarsi con la crescita dell’azienda. I Soc che gestiscono i volumi di dati più elevati, infatti, coprono appena il 30% delle proprie fonti con logiche di rilevamento attive. Con l’espansione dell’infrastruttura, la capacità di ingegneria del rilevamento raramente cresce allo stesso ritmo. Oltretutto, molte aziende definiscono l’ambito di rilevamento del proprio Soc già nella fase iniziale di progettazione senza più rivederlo nel tempo, e questo porta all’accumulo di punti ciechi man mano che l’infrastruttura evolve.
La valutazione del Soc: questione non banale
Secondo un recente sondaggio di Kaspersky, le aziende tipicamente valutano l’efficacia dei Soc attraverso un numero limitato di indicatori chiave di performance, in particolare il tempo medio di risposta e quello di rilevamento. Parametri più approfonditi, come i tassi di falsi positivi o il costo per incidente, vengono poco considerati.
Sul totale dei Soc valutati, circa il 50% si affida principalmente a set di regole forniti dai vendor, con la conseguenza di dover spesso affrontare elevati tassi di falsi positivi e lacune di copertura dovute a una messa a punto insufficiente. Circa il 40% costruisce la propria logica da zero e si affida principalmente a un sistema di Endpoint Detection and Response (Edr), con il rischio di creare punti ciechi nei casi in cui manca la correlazione tra fonti differenti.
“Anche con l’adozione di Kpi ben definiti, valutare internamente l’efficacia del Security Operations Center resta difficile a causa del pregiudizio derivante dalla visione privilegiata degli addetti ai lavori”, ha commentato Roman Nazarov, head of Soc Consulting di Kaspersky. “Per questo motivo le aziende si rivolgono sempre più spesso a servizi di consulenza Soc esterni, in grado di valutare la logica di rilevamento, analizzare i flussi di eventi e simulare attacchi, così da comprendere cosa venga effettivamente individuato. Per migliorare, le aziende dovrebbero adottare un processo strutturato di ingegneria del rilevamento: una disciplina ripetibile per lo sviluppo, la convalida e la revisione periodica della logica di rilevamento”.
Nel 2025 il servizio Kaspersky Soc Consulting è stato ingaggiato soprattutto per consulenze di valutazione tecnica del Soc (23,4%), per lo sviluppo di framework del Soc (20%), per valutazioni di maturità e per la garanzia di qualità Siem (11,7% ciascuno).