Sicurezza Informatica Fastweb 150626130029
INFORMATICA 30 Giugno Giu 2015 1756 30 giugno 2015

I cacciatori di hacker in difesa delle aziende

Monitorano il traffico sospetto. Individuano gli hacker. E proteggono le aziende. Senza intaccarne la connettività. Lettera43 nella centrale di sicurezza Fastweb.

  • ...

Il computer più sicuro al mondo? «È spento, abbandonato in una cantina, con il cavo di Rete scollegato e il suo proprietario addormentato o addirittura morto».
Sono le parole di Eugenie Kaspersky, uno dei più acerrimi nemici della pirateria informatica che da anni lotta contro malware di qualsiasi tipo per provare a trasformare la sicurezza in uno degli asset del futuro.
MINACCE PER GOVERNI E BANCHE. Parole che fanno riflettere, in un momento in cui proprio il web e i dati che vi viaggiano sono messi a dura prova da continui e costanti attacchi.
Siamo in piena information warfare, una “guerra dell’informazione” che si gioca dietro lo schermo di un computer, viaggia in Rete e colpisce persone e aziende.
Secondo l’ultimo rapporto stilato da Clusit, l’Associazione italiana per la Sicurezza informatica, nel 2014 un quarto degli attacchi a livello mondiale è stato realizzato ai danni del settore governativo, ma anche di realtà come le banche o i servizi cloud.
ANCHE IL RETAIL NEL MIRINO. La sanità, poi, ha registrato un incremento di attacchi del 190% rispetto al 2013 e nel mirino dei cyber criminali ora è entrato anche il settore retail, con la grande distribuzione organizzata, le catene di punti vendita in franchising e i siti di e-commerce che l'anno scorso hanno registrato nel mondo perdite ingenti, in alcuni casi anche dell’ordine di centinaia di milioni di euro.

Il monitor del Soc di Fastweb a Milano.

L'obiettivo del Soc: difendere la sicurezza di utenti e grandi aziende

Lettera43.it è riuscita a entrare all’interno del Soc (Security operation centre) di Fastweb, uno dei pochi centri di eccellenza anti-frodi presenti in Italia, che tutti i giorni cercano di difendere la sicurezza di utenti e grandi aziende.
Si trova nel cuore di Milano e conta su una squadra di circa 20 persone che giorno e notte, sette giorni su sette, monitora lo stato di salute della Rete e cerca di intercettare o prevenire attacchi. «Rilevare il problema, contenerlo e soprattutto risolverlo: è questo il nostro obiettivo», spiega a Lettera43.it Davide Del Vecchio, responsabile del Centro.
IL MONITORAGGIO IN TEMPO REALE. Sui computer scorrono senza sosta codici e informazioni, e un grande monitor nella sala mostra in tempo reale la geolocalizzazione dei clienti, monitora l'eventuale traffico sospetto e invia un messaggio di allarme.
Il processo non si ferma mai: gli esperti della sicurezza lavorano anche quando non c’è una criticità imminente perché, spiegano, la prevenzione è fondamentale.
PROTEZIONE TOTALE DI SISTEMI E PROCESSI. Grandi banche, pubblica amministrazione, giornali ma anche piccole e medie imprese hanno scelto di affidarsi al sistema di sicurezza informatica offerto dal servizio di Fastweb. «Spesso si tratta di aziende già clienti che hanno scelto Fastweb per i servizi di connettività e che ci chiedono una protezione totale dei sistemi e dei processi», spiega Del Vecchio.

Dai servizi di firewall alla gestione unificata degli attacchi

Le soluzioni disponibili sono tante: «Si va da quelle più semplici, come i servizi di firewall gestiti, ossia i sistemi di sicurezza che stanno fra Internet e la rete del cliente, fino alla gestione degli attacchi tramite motori di correlazione di informazioni (in gergo tecnico Siem)».
Del Vecchio spiega però che una delle prime iniziative lanciate dal Soc di Fastweb è stata la difesa dagli attacchi DDos (Distribuited Denial of Services), che puntano a rendere inaccessibili alcune tipologie di servizi (per esempio, saturando la banda internet disponibile o generando un numero di richieste contemporanee superiori a quelle che un server può supportare).
LA PIATTAFORMA INVIA L'ALLARME. L’obiettivo è mandare in tilt i sistemi e le reti e bloccare l’operatività delle aziende colpite. «Questi attacchi sono cresciuti in modo impressionante: nel 2013 erano “appena” 1.600 all’anno, nel 2014 sono diventati 16 mila», racconta Del Vecchio.
All’interno del centro di massima sicurezza informatica di Fastweb i tecnici “anti-hacker” monitorano costantemente la rete dei clienti. Come? In fase inziale si crea una base di traffico “standard” e si utilizza questo modello quando statisticamente cambia il traffico e se ci sono elementi sospetti.
Non appena viene riscontrata una discrepanza significativa nel traffico, la piattaforma invia un allarme (e tutto compare anche sul mega schermo della stanza operativa).
OPERAZIONI PER RIPULIRE LA RETE. «Subito analizziamo l’anomalia per cercare di capire se è dovuta a un attacco informatico o meno», precisa Del Vecchio.
A quel punto poi il lavoro dei “ghostbuster informatici” è solo all’inizio: il numero uno del Soc di Fastweb spiega infatti che se viene identificato un attacco la centrale chiede al cliente l’autorizzazione per avviare una operazione che tecnicamente viene chiamata di mitigation. In altre parole si tratta di una “pulizia del traffico”, sporco che viene reindirizzato a una macchina-lavatrice in grado di rimetterlo in circolazione privo di minacce.

Il Soc di Fastweb è composto da circa 20 persone.

I processi aziendali non vengono compromessi

«Con il tempo abbiamo affinato anche una serie di contromisure e identificato degli standard che ci permettono di agire in tempi più rapidi e, soprattutto, capire con grande tempismo quando è il caso di intervenire», precisa a Lettera43.it il numero uno del Soc di Fastweb.
Entrando in uno di questi bunker della sicurezza informatica una domanda sorge spontanea: cosa succede davvero alle aziende colpite durante un attacco?
LA SIMULAZIONE DI ATTACCHI. «La connettività non viene mai bloccata, siamo in grado di agire da remoto senza compromettere nessun processo in corso», dice Del Vecchio.
Che precisa: «Siamo così bravi a operare in modo silente che uno dei servizi che offriamo alle aziende è anche quello che viene chiamato security assessment: in pratica simuliamo i comportamenti di un hacker malevolo per verificare i sistemi di sicurezza dei clienti e i loro punti deboli».
A questo si aggiungono una serie di altre attività sulle quali il team anti-hacker del Soc è formato, a partire dai servizi di log management e correlation.
L'INCROCIO DI DATI REALI E VIRTUALI. Per farlo, il centro di sicurezza informatica mette insieme i dati ricavati da eventi come accessi fisici o virtuali a postazioni aziendali e, grazie a una serie di algoritmi, verifica se sono in atto comportamenti sospetti.
«Se per esempio risulta che un dipendente sta utilizzando il suo computer ma non è passato dai tornelli d’ingresso scatta una procedura di verifica che le attività di traffico su quella macchina siano normali o meno», spiegano gli esperti della sicurezza di Fastweb.

La nuova frontiera dei Cryptolocker: file sottratti e richiesta di riscatto

Lavorare sulle emergenze è la competenza principale del Soc, ma gli informatici hanno anche un altro compito importante: creare consapevolezza nelle aziende.
Gli esperti studiano assieme ai clienti i rischi potenziali e, sulla base di una serie di parametri informatici, valutano come e cosa deve essere protetto. «Cerchiamo di capire dove sono le informazioni critiche e aiutiamo le aziende a metterle al sicuro», spiegano a Lettera43.it.
GLI ATTACCHI DIVENTANO UN BUSINESS. Tra un’emergenza informatica e l’altra, e mentre nel mega-monitor della sala operativa continuano a comparire messaggi di allarme geolocalizzati, la squadra “anti-hacker” spiega come nel tempo gli attacchi siano profondamente cambiati.
E, con essi, anche i pirati informatici: alla base non c’è più solo l’ideologia o la sfida intellettuale di qualche smanettone, né la voglia di carpire informazioni sensibili.
«Oggi quello della pirateria informatica è diventato un vero e proprio business illegale capace di generare profitti inimmaginabili», dice Del Vecchio.
CALL CENTER PER 'AIUTARE' LE VITTIME. «Fra i virus più insiodiosi oggi», continua, «ci sono quelli definiti ramsomware, come per esempio Cryptolocker».
Si tratta di un codice capace di infettare la macchina in pochi istanti e di criptare file e dati.
Per riaverli è necessario chiedere un riscatto: «Esistono persino call center operativi 24 ore su 24 per dare informazioni ai malcapitati su come effettuare il pagamento per avere indietro i propri dati».

Articoli Correlati

Potresti esserti perso