Da tempo oramai i cybercriminali non attaccano più solo le grandi aziende, ma mirano anche alle PMI. La protezione della propria infrastruttura IT è pertanto essenziale; tuttavia spesso le aziende non hanno né il know-how né le risorse per occuparsene. La soluzione per risolvere il dilemma? Rivolgersi a un fornitore di Security-as-a-Service.
Testo: Ladina Camenisch,
Gli hacker sono in pieno boom – la cyberciminalità è in aumento a livello globale e sembra inarrestabile. Gli esperti stimano a circa 6000 miliardi di dollari USA i danni che gli hacker causeranno nel mondo intero entro il 2021. Si tratterebbe di un raddoppio in un periodo di soli cinque anni, pari a quasi dieci volte il PIL della Svizzera. La criminalità informatica è e rimarrà il settore più redditizio della criminalità.
Da una ricerca del ZHAW, condotta dal professor Dirk Baier (2019), emerge che la criminalità informatica fa ottimi affari anche in Svizzera. Malgrado la criminalità in Svizzera sia complessivamente in calo, la criminalità informatica aumenta. Aumentano in particolare i reati di frode come l’acquisizione non autorizzata di dati, l’intrusione nei sistemi di dati o l’abuso fraudolento di un sistema informatico. Anche nel suo rapporto sulla sicurezza 2019 Swisscom ha rilevato che gli attacchi mirati sono generalmente aumentati. Dal rapporto si evince che c'è una tendenza all'abbandono degli attacchi casuali per privilegiare attacchi mirati. Le aziende sono sempre più esposte a sofisticati metodi di attacco che poggiano su ransomware, phishing, sextortion e social engineering.
Le autorità e la polizia hanno già reagito a questa nuova minaccia: il governo elvetico ha annunciato la creazione di diversi centri per la criminalità informatica in tutto il paese, che coinvolgeranno l’Ufficio federale di polizia e la Conferenza dei comandanti delle polizie cantonali. Va inoltre rafforzata la collaborazione tra polizia e procuratori federali nonché la cooperazione regionale in generale. Inoltre, negli ultimi anni diverse migliaia di collaboratori della Polizia cantonale di Zurigo sono stati specificatamente formati per il perseguimento della criminalità informatica.
Si tratta complessivamente di buone notizie, anche se la probabilità di essere vittima di un attacco informatico rimane elevata. «Non sono coinvolte solo le grandi aziende, ma soprattutto le PMI», spiega Remi Schöb, responsabile Security Operation Center di Swisscom. «Per le aziende tali attacchi si traducono non solo in perdite finanziare, ma rappresentano spesso anche un grande danno di immagine». Il loro obiettivo è pertanto quello di non far parte delle vittime.
Per proteggersi adeguatamente, sono necessarie soluzioni di sicurezza in funzione 7x24, una prevenzione permanentemente aggiornata, un monitoraggio costante e specialisti della sicurezza che intervengono immediatamente. Questa la teoria. In pratica, tuttavia, pochissime aziende possono permettersi un'infrastruttura di sicurezza così onerosa. Spesso non hanno i mezzi, le conoscenze e le risorse umane per creare un proprio dipartimento. Per questo motivo le aziende ricorrono spesso a fornitori di Security-as-a-Service. Essi monitorano i sistemi informatici dei loro clienti e, se scoprono qualcosa di insolito, fanno scattare immediatamente l’allarme.
I vantaggi di questi fornitori di servizi sono evidenti: le aziende possono scegliere esattamente i servizi di sicurezza di cui hanno bisogno secondo il principio della modularità. Che si tratti di una grande banca o di una PMI, esperti come Swisscom offrono protezione a costi preventivabili e soddisfano in modo mirato le diverse esigenze. Il primo passo è un'analisi delle esigenze insieme al cliente, spiega Schöb. Oltre a ransomware, social engineering e malvertising, gli hacker si avvalgono di altre tecniche, quali attacchi DDoS, browser hijack, botnet, rootkit, cavalli di Troja, virus e worm.
In Swisscom i sistemi IT sensibili dei clienti vengono accuratamente monitorati dal Security Operation Center (SOC) di Zurigo – ovviamente 24 ore su 24. Lo spazio stesso è soggetto alle più severe norme di sicurezza. Sono ammessi esclusivamente coloro che hanno superato un controllo di sicurezza approfondito e le cui impronte digitali sono state riconosciute. Inoltre anche il SOC di Zurigo è a prova di catastrofe. Altri due SOC Swisscom di dimensioni inferiori si trovano a Ginevra e Berna.
«La protezione contro gli attacchi informatici è sempre un’interazione tra uomo e macchina» sottolinea Schöb. Nell’ambito di una prequalifica e allorché sono disponibili indicatori intelligenti, il motore di informazione sulle minacce (Threat-Intelligence-Engine) fa scattare un allarme. Il Threat-Intelligence è in pratica una banca dati in cui vengono registrati tutti i modelli di minaccia. Non esiste una procedura standard per le operazioni successive, per cui se ne occupa solo uno dei circa 25 collaboratori. «Dopo l’attivazione dell’allarme, analizziamo l’attacco e respingiamo la minaccia. A volte per eliminare il pericolo coinvolgiamo anche le colleghe e i colleghi di altri settori della sicurezza.»
Per individuare tempestivamente i pericoli e trarre le conclusioni corrette, il Managed Network Security di Swisscom si basa su innumerevoli fattori. Più precisamente e più velocemente gli esperti individuano i pericoli, meglio possono intervenire e reagire. Ed è per questo che Swisscom monitora intensamente anche le minacce a livello nazionale e globale e scambia regolarmente informazioni con i propri partner.
Schöb ne è convinto: in futuro i cosiddetti «Threat Detection & Response» ossia il rilevamento e la risposta alle minacce assumeranno un’importanza crescente. «I prodotti richiesti oggi, quali firewall efficaci, Managed Proxy o Managed Mail Security, saranno integrati praticamente ovunque e standardizzati in pochi anni».
Il Threat Detection & Response professionale richiede invece processi specifici, strumenti, molti anni di esperienza e specialisti altamente competenti. Per una singola azienda è infatti difficile capire gli attacchi alla sicurezza informatica in continua evoluzione e reagire di conseguenza. Un fornitore specializzato beneficia invece di economie di scala nelle sue informazioni sulle minacce. Con ogni minaccia contro i singoli clienti, gli esperti imparano e sono pronti a intervenire quando altre aziende vengono attaccate con modalità simili.
Un partner esperto può insomma assumere la protezione dell’infrastruttura IT – è il cliente a decidere in funzione del modello business scelto fino a che punto il partner deve assistere il cliente. Viene ad esempio informato non appena informazioni aziendali e personali sensibili possono essere trovate in reti pubbliche e chiuse come il Darknet. Oppure può scegliere un Security Event Management e ricevere in tal modo raccomandazioni concrete per le azioni da intraprendere in caso di incidenti di sicurezza concreti.
Purtroppo la sicurezza assoluta contro gli attacchi informatici è una mera illusione. Ma rivolgendosi a un fornitore di servizi di sicurezza e beneficiando delle sue competenze, risorse e infrastrutture, un’azienda riduce notevolmente la probabilità di essere vittima di un attacco. Schöb: «Chiunque sia già stato confrontato con un attacco di un hacker e abbia subito gravi perdite, sa che questo investimento è sempre pagante.»
Maggiori informazioni