Security Operation Center
I buttafuori
Cinquanta esperti monitorano e difendono 24 ore su 24 le reti aziendali dei clienti. Che cosa accomuna Roger Federer ai cibercriminali e chi protegge le aziende svizzere da attacchi hacker: visita al centro di sicurezza Swisscom a Zurigo.
Testo: Flavian Cajacob, Immagini: Michele Limina, Pubblicato nel supplemento NZZ del 9 novembre 2017, aggiornato il 20 gennaio 2021
Markus Kaegi apre tre porte una dopo l’altra, ma alla quarta il suo badge fa cilecca. «Qui non entro nemmeno io», dice il Product Manager Security Services di Swisscom, «questo è il livello di sicurezza 4. L’accesso è riservato ai soli collaboratori del Security Operation Center. «Sono esattamente cinquanta, tutti veri maestri nel proprio ramo. Il loro capo è Nemanja Mitic, un giovanotto in gamba con la barba folta che ora sta aprendo la barriera dal suo lato per recarsi al livello 3. «Chi vuole lavorare nella mia squadra viene esaminato scrupolosamente sotto l’aspetto tecnico, umano e ovviamente anche per ciò che riguarda la sua reputazione.» Questo significa che chi non è all’altezza del controllo di sicurezza relativo alle persone della Confederazione non può ottenere un impiego nel Security Operation Center (SOC) di Swisscom nel Binz di Zurigo.
Il sovraccarico agisce da freno
Per una buona parte delle aziende svizzere la criminalità su internet è già una realtà che interessa non solo i grandi gruppi industriali, ma sempre più spesso anche le piccole e medie imprese. Secondo un nuovo studio di KPMG, nove aziende svizzere su dieci tra quelle intervistate sono state vittime di attacchi informatici negli ultimi mesi. Rispetto all’anno precedente è un aumento del 34 per cento. Un’altra indagine, questa volta di EY, ha inoltre svelato che solo due quinti delle aziende intervistate nel nostro Paese è in grado di far fronte a cyber attacchi complessi.
Sono numeri impressionanti, ma che non sorprendono, perché la sorveglianza e la protezione delle reti aziendali diventano sempre più ampie e complesse. «Costi, capacità, know-how: sono fattori che possono facilmente sovraccaricare un’azienda», osserva realisticamente Kaegi. Il sovraccarico è dunque un motivo che spinge a tirare il freno quando si tratta della propria sicurezza? Sicuramente non è uno stimolo.
Ci si difende. E si tace.
Di cyber minacce ne esistono molte (vedere il riquadro). Premendo un pulsante, Mitic rimuove il paravento che protegge i collaboratori nel SOC dagli sguardi di coloro che si trovano nella sala conferenze adiacente. E afferma: «Qui lavoriamo 24 ore su 24, sette giorni la settimana. Mi creda, non ci annoiamo mai!» Il suo collega Kaegi presenta un paio di altre cifre secondo le quali gli esperti di sicurezza di Swisscom bloccano ogni mese in media 2250 attacchi phishing e scoprono 1300 attacchi con software dannosi.
Queste azioni di difesa messe in atto con successo non vengono riferite al pubblico. «Quando succede qualcosa di spiacevole come un cyber attacco, noi Svizzeri preferiamo tenercelo per noi, è nel nostro DNA», spiega Markus Kaegi. Da un lato è assolutamente comprensibile, dall’altro però non aiuta. «Nella lotta contro la cibercriminalità, un po’ di trasparenza sarebbe utile.» Gli attacchi alle reti aziendali potrebbero essere respinti in modo più rapido e capillare e i dati analizzati potrebbero fornire informazioni su altri attacchi pianificati.
Da tempo ormai tutto questo non ha più niente a che fare con giovani hacker che sorprendentemente riscuotono tanta ammirazione tra il pubblico. «Abbiamo a che fare con strutture organizzate in modo professionale, la cibercriminalità ha ormai assunto dimensioni industriali», fa notare Kaegi. Swisscom combatte questi misfatti nella rete con un’ampia gamma di Managed Security Services (MSS-i), che all’occorrenza possono essere combinati in modo modulare. Il cliente compone un proprio pacchetto che gli assicura la protezione dell’infrastruttura IT e dei processi aziendali digitali.
Nel Security Operation Center al Binz di Zurigo l’atmosfera si anima. Parlare di frenesia sarebbe esagerato. Su uno dei grandi schermi che mostrano, tra le altre cose, i cyber attacchi in corso al momento, viene visualizzato il dossier di un cliente. Questo significa che la piattaforma di sorveglianza intelligente sta registrando un incidente e che per una volta ha cercato di combatterlo senza successo. Ora l’attacco viene classificato come minaccioso dal sistema di difesa automatico. Arrivano gli analisti della sicurezza, due uomini e una donna che confabulano e si consultano sul da farsi. «È sempre un’interazione tra uomo e macchina», spiega Nemanja Mitic. «Ora bisogna agire velocemente, mentre i miei colleghi lavorano a una soluzione, il cliente viene informato dell’incidente.» Su una dashboard posso seguire gli eventi in tempo reale.
Falso allarme a causa di Federer
Non sempre l’allarme è causato da un’azione criminale. Mitic cita un esempio pratico: «Quando Roger Federer gioca a tennis, le persone lo vogliono vedere dall’ufficio.» Quindi lo seguono online sul computer aziendale. Il responsabile del SOC sorride: «E capita che ci siano reti che interpretano questo carico eccessivo come attacchi mirati al servizio IT.»
L’attacco hacker di cui si sono occupati gli esperti è stato nel frattempo respinto. Il cliente era stato vittima di un attacco phishing. Il firewall di Swisscom è stato comunque in grado di bloccare il malware. Grazie agli agenti di sicurezza è stato possibile scongiurare un danno. Il cliente riceve ora un rapporto dettagliato, gli analisti sorseggiano un tè soddisfatti. Nessuno sa quando si presenterà la prossima emergenza.
Sui grandi schermi appesi alla parete del Security Operation Center viene visualizzato l’elenco delle attività da eseguire. A fianco si vede il presidente americano che parla. E su un terzo schermo si incrociano linee bianche che indicano i cyber attacchi attualmente in corso in tutto il mondo. Mitic attiva la tendina: fine della presentazione. «Siamo un po’ come i buttafuori che stanno davanti ai locali alla moda», spiega e si accinge a uscire dal livello di sicurezza 3 in direzione del livello 4. «Vietiamo l’ingresso a chi potrebbe creare dei problemi. E buttiamo fuori quelli che disturbano.»
Le cyber minacce più frequenti!
La Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione (Melani) ha individuato molteplici cyber attacchi a cui sono esposte le aziende:
(Cyber) spionaggio
I punti deboli nell’infrastruttura digitale – ad esempio mancanza della cifratura su una connessione internet o password deboli – vengono sfruttati dai cibercriminali per carpire informazioni riservate e preparare altri attacchi. Sono interessate non solo le aziende statali, ma anche quelle aziende a cui viene rubato del know-how per usi illeciti.
Flussi di dati in uscita
Vengono rubati dati riservati. In seguito, l’aggressore esterno li usa per ricattare l’azienda, minacciandola di renderli pubblici o di copiarli e di diffonderli. È difficile appurare se ciò sia vero oppure no, per cui nel dubbio molte aziende pagano la somma estorta.
DDoS
Questi attacchi mirano a limitare la disponibilità di un servizio IT come un sito web o un webshop e a fare in modo che il servizio IT si blocchi. Possono essere collegati anche a un’estorsione. Vengono sfruttati principalmente servizi IT con capacità di carico limitate o senza sorveglianza del traffico dati.
Social Engineering
Gli utenti vengono ingannati con dei trucchi psicologici e indotti a compiere attività IT pericolose. Il social engineering sfrutta il «punto debole» costituito dalle persone. Questo include il mettere sotto pressione la vittima, intimandole di fare qualcosa immediatamente, ad esempio «Effettui subito il login, altrimenti il suo conto verrà bloccato».
Phishing
Presentandosi con una falsa identità, ad esempio fingendo di essere una banca, un attacco phishing persegue l’obiettivo di spiare i dati di accesso della persona che ha preso di mira. Mediante la password così sottratta, i cibercriminali ottengono l’accesso al servizio di online banking della vittima.
Malware
In molti cyber attacchi vengono utilizzati software dannosi, i cosiddetti malware, che manipolano sistemi IT, spiano, modificano o addirittura distruggono dati. Per l’azienda interessata, un attacco del genere è accompagnato dalla perdita di riservatezza, integrità e disponibilità dei dati.
Ransomware
Mediante dei trojan di crittografia, i cosiddetti ransomware, i dati della vittima vengono crittografati e resi inutilizzabili. I cibercriminali chiedono soldi offrendo in cambio la decodifica dei dati, che comunque non è garantita.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
