Specialisti della sicurezza IT all’opera

In visita presso il «pronto soccorso IT»

Quando le normali misure di protezione non sono più efficaci contro un attacco informatico, ecco che interviene il Computer Security Incident Response Team (CSIRT). Ma cosa fanno esattamente gli specialisti della sicurezza IT del «pronto soccorso IT»?

Testo: Andreas Heer, Immagini: Adobe Stock,

Oggi Antoine Neuenschwander è in prima linea. In qualità di specialista della sicurezza IT del team CSIRT di Swisscom, lavora attualmente come Incident Handler, prendendo in carico tutti gli incidenti rilevanti per la sicurezza che non possono essere risolti dalle attività del Security Operations Center (SOC). Seduto davanti ai due monitor del suo computer, Neuenschwander digita i comandi in una delle numerose finestre presenti sullo schermo. «Il lavoro presso il CSIRT non smette mai di sorprendere», racconta. «Ogni giorno è diverso, e non sai mai cosa ti aspetta».

Uno specialista della sicurezza che non perde mai la calma

Neuenschwander lavora da dieci anni nel campo della sicurezza IT ed è ormai uno di quei rari esperti che, con l’avvento della rivoluzione digitale, sono sempre più richiesti sul mercato. Una carenza che, secondo lo specialista, è da ricondursi soprattutto agli elevati requisiti che caratterizzano il suo profilo professionale: «Oltre alla curiosità e alla determinazione di risalire alle cause alla radice del problema, sono necessarie profonde conoscenze specialistiche, buone capacità analitiche e competenze relazionali nella comunicazione con colleghi e clienti». Inoltre, gli specialisti della sicurezza devono essere in grado di mantenere la calma e di agire con accortezza anche nelle situazioni più frenetiche. Non è poi così diverso dal lavoro in un vero e proprio pronto soccorso.

 

Al momento Neuenschwander sta indagando su un attacco brute force su alcuni accessi SSH. In questo caso, gli hacker cercano di crackare le password deboli per poter accedere all’infrastruttura da remoto. Il server hackerato può quindi essere esaminato alla ricerca di dati aziendali interessanti o utilizzato per ulteriori attacchi, ad esempio attacchi DDoS (Distributed Denial of Service Attack, che sovraccaricano i sistemi rendendoli inutilizzabili). «I sistemi con uno scarso livello di sicurezza e accessibili via internet rappresentano uno dei problemi più comuni nella nostra quotidianità lavorativa», afferma Neuenschwander, descrivendo le sue esperienze con varie aziende.

Trarre vantaggio dall’esperienza acquisita con gli attacchi informatici

In questo caso, Neuenschwander è venuto a conoscenza dell’incidente tramite il SOC. Ma è anche lui stesso a ricercare modelli predefiniti che sono indizio di attacchi informatici. Lo specialista della sicurezza utilizza il threat hunting per scoprire se anche la propria infrastruttura è in quel momento colpita da attacchi non ancora scoperti; in questo modo può adottare contromisure tempestive, possibilmente prima che questi criminali informatici riescano ad accedere all’infrastruttura.

 

Per rintracciare gli attacchi è necessario identificare i TTP, ossia le tattiche, le tecniche e le procedure utilizzate dai criminali informatici. «Così facendo possiamo reagire in tempi molto più rapidi in caso di un nuovo attacco con metodi simili», riferisce il professionista della sicurezza. «I nostri clienti traggono a loro volta vantaggio da questa esperienza».

 

Inoltre, Neuenschwander può avvalersi anche dell’esperienza acquisita nella protezione dell’infrastruttura di Swisscom. «Dopotutto, Swisscom dispone di un team di sicurezza IT dal 1995», afferma. «Le esperienze raccolte sono molte, e il team è ormai maturo».

 

Ma non tutte le segnalazioni si rivelano essere un attacco informatico tramite malware. Sempre più spesso il CSIRT riceve segnalazioni di e-mail inviate dal «capo» nelle quali viene richiesto di effettuare con urgenza un pagamento. Questi messaggi non contengono link sospetti e possono ingannare perché molto verosimili: «La Business Email Compromise è una truffa molto comune dei criminali informatici che utilizzano il social engineering per estorcere denaro», sostiene Neuenschwander. Anche il fattore umano ricopre quindi un ruolo nella difesa informatica e nella quotidianità lavorativa di Neuenschwander.

SOC & CSIRT

Il Security Operation Center (SOC) è in una certa misura la torre di controllo per gli attacchi informatici. Responsabile del monitoraggio dell’infrastruttura tramite processi standardizzati, coordina le contromisure da adottare per la difesa in caso di incidenti informatici. Nella gestione delle allerte, gli specialisti della sicurezza decidono se occuparsi direttamente di un incidente nel SOC o se passarlo alla competenza del CSIRT.

 

Nel Computer Security Incident Response Team (CSIRT), gli specialisti della sicurezza IT mettono in atto le misure di difesa e di ripristino che necessitano di un’analisi più approfondita, tra cui attività di threat hunting e analisi forensi per la ricerca attiva di incidenti nella sicurezza. Il CSIRT supporta inoltre le aziende interessate nella comunicazione di tali episodi a clienti e partner. Il CSIRT amplia così i compiti del SOC.


Maggiori informazioni