“Quando il gioco si fa duro, il SOC entra in azione”. Intervista ad Alberto Davanzo

Monitorare e analizzare l’infrastruttura del cliente alla ricerca di potenziali anomalie. Questo il compito quotidiano del Security Operation Center. E se gli attacchi ai danni delle aziende si fanno più complessi, Security Lab risponde con sistemi di automation sempre più efficienti e veloci. La parola ad Alberto Davanzo, SOC Manager di Security Lab.

Persone, tecnologie e processi. Questi gli ingredienti essenziali alla base del Security Operation Center, il cui compito è monitorare le attività sulla rete e infrastruttura di un’azienda per intercettare eventuali anomalie. L’obiettivo? Garantire una copertura e tutela del cliente 24 ore su 24, 7 giorni su 7. Una sfida non da poco, insomma. Complice anche la velocità con cui evolve il mondo digitale – tra iperconnessione, IoT e Intelligenza Artificiale – che porta alla diffusione di attacchi sempre più complessi. Proprio per questo Security Lab studia e sperimenta costantemente nuovi sistemi di automation in grado di rispondere sempre più velocemente agli attacchi esterni, accompagnando i clienti nei processi, anche decisionali, per accrescere il livello di sicurezza dell’azienda. Una panoramica degli attacchi più frequenti, attività di prevenzione e le sfide future che attendono il SOC. Di questo e molto altro ancora ha parlato Alberto Davanzo, SOC Manager di Security Lab.

Quali sono le attività quotidiane del Security Operation Center?

Anzitutto, ci tengo a precisare che un SOC è costituito da persone, tecnologie e processi. La nostra mission consiste nella copertura del cliente 24 ore su 24, 7 giorni su 7. Il nostro compito principale, infatti, è monitorare e analizzare attività sulla rete del cliente, sui server, sugli endpoint, sulle applicazioni, sui siti web e su tutti gli altri sistemi per scovare eventuali indicatori di compromissione o comportamenti anomali che potrebbero essere indice dell’inizio di un potenziale attacco all’infrastruttura del cliente.

In che modo?

Per vincere la sfida di un quotidiano sempre più frenetico e complesso, Security Lab ha introdotto nel proprio ‘arsenale’ tecnologie e sistemi sempre più efficienti e sofisticati, in grado di ‘dialogare’ in tempo reale con i sistemi del cliente e intervenire non appena vengano rilevate azioni non autorizzate.

A tal proposito, quali sono i tipi di attacchi più frequenti ai danni dei vostri clienti?

Gli attacchi che quotidianamente fronteggiamo in percentuale altissima sono tentativi di phishing, scamming e impersonation, dunque attacchi veicolati tramite la posta elettronica, seguiti da tentativi di accesso alle web application con metodi diversi: dalle SQL injection allo sfruttamento di vulnerabilità presenti sui web server, IoT, smart devices e così via.

Ci spieghi meglio.

Per fare un esempio si potrebbe parlare di Mirai, un malware che ha trasformato in ‘attaccanti’ un’enorme quantità di dispositivi precedentemente infettati dal codice malevolo. Da qui deriva l’adozione di strumenti come i web application firewall che consentono di proteggere in maniera più verticale da questi attacchi specifici. Ci sono poi molti siti compromessi dai quali, in alcuni casi, gli utenti che navigano in rete rischiano di scaricare malware.

Come sono cambiate, se lo sono, nell’ultimo periodo le modalità e la complessità degli attacchi?

Soprattutto nell’ultimo periodo sono frequenti attacchi diffusi e sempre più complessi in grado di mettere in difficoltà anche enti e organizzazioni che nell’immaginario collettivo erano percepite come vere e proprie fortezze. Si tratta di attacchi zero-day che sfruttano vulnerabilità appena scoperte, attacchi alla supply chain che, dunque, prendono di mira la catena di fornitura di un’azienda invece di puntare direttamente al target specifico. Tutto ciò rende più complicata l’individuazione e la protezione qualora gli stessi fornitori non si attengano a rigidi criteri di sicurezza informatica. Recentemente, poi, la diffusione dell’Intelligenza Artificiale contribuisce a correggere e rendere sempre più performanti i codici di attacco dei malware. Permettendo di generare template di phishing sempre più veritieri grazie al Natural Language Understanding.

Ci fa qualche esempio concreto?

Tra gli esempi più eclatanti, con risonanza mondiale, l’attacco al software SolarWinds: ha radicalmente cambiato gli scenari di attacco su larga scala con capacità lato attaccanti di grandi attese. In questo caso si parla di inserimento di codice malevolo in una libreria distribuita con degli update in un arco temporale molto esteso, compromettendo di conseguenza un elevato numero di infrastrutture. Si sente spesso parlare anche di cripting dei dati…

Ossia?

Sono attacchi spesso mirati, quindi gli attaccanti preparano l’assalto in maniera minuziosa e specifica per poi colpire il target e comprometterlo spesso attraverso una semplice mail. Ricordiamoci che, ad oggi, l’anello debole della catena rimane l’uomo. In ultimo, assistiamo di frequente anche all’attività di exfiltration di dati, successivamente rivenduti sul mercato del dark web. Oggi il valore intrinseco dei dati è molto elevato: ad esempio, il valore di un passaporto nel dark web può variare dai 10 ai 4mila dollari circa.

In tutto ciò, dunque, quanto è importante comunicare il ruolo del SOC a clienti e non?

Il ruolo della security all’interno delle aziende sta cambiando. Sta diventando sempre più centrale, ma spesso gli stessi processi vengono anche visti dai non addetti ai lavori come complicazioni o costi. Ovviamente questo allontana dall’obiettivo iniziale di elevazione della cyber sicurezza.

Quale, quindi, il compito di Security Lab?

Il compito di Security Lab è accompagnare nei processi – anche decisionali – che promuovano l’introduzione nell’infrastruttura aziendale di tecnologie in grado di accrescere il livello di sicurezza dell’azienda. Ci avvaliamo anche di piattaforme di simulazione che in tutta sicurezza mostrano al cliente scenari di attacchi reali evidenziando tutti i breach point e le vulnerabilità a cui poi andremo a trovare una soluzione insieme.

Farsi trovare preparati è la chiave: che ruolo gioca il vulnerability assessment?

Il vulnerability assessment consiste in attività di scansione più o meno automatizzate che permettono di individuare e classificare le vulnerabilità aziendali. Si tratta di uno dei processi di security che non può e non deve rimanere un report su carta da archiviare in un cassetto, ma deve essere sfruttato in maniera proattiva al fine di mettere in atto un piano di remediation periodico e razionalizzato delle attività relative. Come Security Lab proponiamo, però, un approccio più completo che prende in esame tutta la superficie aziendale con una serie di simulazioni, revisioni delle configurazioni, adozioni di connettività zero trust.

In quest’ottica rientrano i servizi di cyber addestramento e phishing simulation offerti da Security Lab.

Esattamente. Cyber addestramento è sinonimo di awareness, dunque maturità e conoscenza. È un processo fondamentale che l’azienda deve intraprendere per cercare di responsabilizzare ed elevare il livello dei propri collaboratori in materia al fine di ridurre il più possibile incidenti legati a errori di valutazione. A tal proposito, Security Lab offre anche un servizio di phishing simulation che permette di generare attacchi di phishing e smishing simulato con lo scopo di identificare e quindi migliorare il livello di attenzione e formazione dei collaboratori.

Infine, quali le sfide quotidiane che attendono il SOC nel prossimo futuro?

Il next generation SOC è una vera sfida, vista la velocità con cui si sviluppa il mondo digitale, tra iperconnessione, IoT, smart working e, ovviamente, l’IA. Queste tecnologie entrano nel nostro quotidiano e ci permettono di incrementare la nostra produttività ma, allo stesso tempo, offrono nuove superfici di attacco ai cyber attaccanti pronti a sfruttare nuove vulnerabilità. Insomma la sfida si fa davvero dura… Proprio per questo il SOC deve farsi trovare pronto. Oggi Security Lab, infatti, sperimenta, studia e testa costantemente nuovi sistemi di automation in grado di rispondere sempre più velocemente agli attacchi esterni.

Risorse Consigliate
“La cyber boutique cambia volto”. Intervista a Simone Crevenna
scopri di più
“La cybersecurity non è un optional”. Intervista ad Alessandro Armenia
scopri di più