Ogni giorno sono centinaia gli attacchi informatici nel nostro Paese. Una squadra di esperti combatte per bloccarli
Secondo un rilevamento aggiornato al 20 marzo 2024 dall’inizio dell’anno sono 917.000 i malware che hanno colpito il nostro Paese. Un malware è un software dannoso progettato per compromettere o sfruttare un dispositivo (qualunque esso sia), un servizio o una rete programmabile. Esattamente come un virus nell’organismo umano i malware cercano di invadere, danneggiare o disattivare computer, sistemi, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni del dispositivo. A Roma c’è uno dei più sofisticati centri operativi di sicurezza (un “security operation center”, SOC) di una società che fa assistenza ad aziende pubbliche e istituzioni private proprio per evitare che finiscano nella trappola di un hacker. Il SOC è una grande stanza che per molti aspetti ricorda una centrale operativa delle forze dell’ordine con 29 operatori informatici che 24 ore al giorno lavorano per scovare minacce online e tutelare le reti dei clienti della società per la quale lavorano.
Davanti a loro una serie di grandi schermi mostrano una serie di informazioni come i dati degli attacchi rilevati dall’inizio della giornata, una statistica di tutte le minacce rilevate a livello globale e persino uno schermo sul quel si vede la cartina del mondo che -in tempo reale- mostra ogni singola minaccia in corso. “Ora stiamo vedendo solamente i malware, i phishing e gli exploit in atto. Se volessimo visualizzare tutti gli attacchi in corso, di qualsiasi tipo, lo schermo sarebbe tutto bianco, non si distinguerebbero le traiettorie”, spiega a Sky Tg24 Alessio Gabrielli, manager del SOC di Kyndryl Italia. Come dei missili vediamo malware partire dalla Gran Bretagna e arrivare in Spagna, dagli Stati Uniti per colpire l’Algeria, da Trinidad verso il Messico. Ogni mezzo secondo una linea curva disegna il percorso fatto da un malware il cui obiettivo come minimo è provocare qualche piccolo danno ad un computer.
“Noi siamo qua proprio per monitorare e quindi accorgerci in anticipo di eventuali minacce che potrebbero avere impatti - in alcuni casi - devastanti sulle aziende, addirittura bloccandole” racconta ancora Gabrielli.
Il caso più eclatante è l’hackeraggio ai danni del sito della Sanità della Regione Lazio ad agosto 2021 che mise in ginocchio l’intero sistema per diversi giorni.
Quel tipo di attacco sarebbe stato evitabile e il SOC alle porte della Capitale esiste proprio per questo: "Qui dentro sostanzialmente gestiamo eventi di debolezza, quindi forniamo un servizio di monitoraggio sulle infrastrutture dei nostri clienti attraverso piattaforme di sicurezza". Aiutati da algoritmi gli operatori che lavorano nel SOC scandagliano costantemente il web e anche il dark web per individuare ogni minaccia.
“Basta che - ad esempio - trovino una traccia che riconduce ad un cliente (come potrebbe essere il nome, un indirizzo email…) che automaticamente scattano le procedure di sicurezza”. Così si previene un attacco. Ma quando invece si rileva un’intrusione cosa succede?
Su uno dei grandi schermi davanti agli esperti informatici è visualizzata una serie di rettangoli verdi che rappresentano le società che vengono controllate in quel momento. Se scatta l’allarme il rettangolo diventa rosso e nell’arco di pochi istanti uno degli esperti prende in carico l’allerta. Dopo una prima analisi, poi, si passa ad un secondo livello di controllo e a quel punto si interviene bloccando e rimuovendo il problema e nel caso in cui il malware (ad esempio) abbia già fatto qualche danno, capendo dove si è sbagliato per far sì che l’errore non si ripeta più, in altre parole si migliora il sistema di protezione che, dunque, è in continuo divenire. Il tutto in una situazione d’emergenza (ossia in caso di un’intrusione vera e propria) richiede al massimo un’ora. Quando invece la minaccia è più lieve e meno pericolosa può occorrere più tempo per completare l’intervento.
"Gli analisti effettuano un’analisi della minaccia fino all’apertura di un ticket (così lo chiamiamo in gergo) dove noi andiamo a esplicitare l’analisi (cioè quello che è successo) e come rimediare a quella minaccia", commenta Alessio Gabrielli.
“In genere conosciamo i malware perché hanno bene o male origini (radici) comuni”, continua il manager del SOC, “quando, invece, la minaccia non è conosciuta entra in gioco l’esperienza dell’analista. Per questo ripetiamo sempre che gli algoritmi sono utilissimi, ma l’esperienza umana è di vitale importanza. Spesso, ancora una volta, si scopre che benché la specifica minaccia fosse conosciuta, era comunque afferente a una famiglia di minacce già nota”.
L’obiettivo, pare scontato dirlo, comunque resta arrivare prima della violazione dei sistemi informatici.
Tante volte, però, dai controlli emerge che l’allerta è scattata per quello che viene definito “falso positivo”, ossia quando uno degli indicatori di attenzione si è attivato, ma senza che si sia verificata un’effrazione del sistema informatico sotto controllo.
Alla fine resta la domanda: quanto possiamo sentirci sicuri. La risposta? Impossibile dirlo, la cautela è il primo schermo che ci protegge, ma i cybercriminali ogni giorno escogitano novi modi per violare computer, telefoni, server. Per questo -proprio come fanno le forze dell’ordine- l’attività nei SOC non si ferma mai.
