L’Italia, in particolare, è caratterizzata da un’elevata attività del cybercrime nel settore manifatturiero, con un incremento allarmante degli attacchi, triplicati già nel 2022 rispetto all’anno precedente. La tendenza prosegue nella prima parte del 2023 che totalizza la somma degli attacchi del periodo 2018-2021. Va anche sottolineato che nel primo semestre 2023, così come nel 2022, quasi un terzo degli attacchi abbiano avuto impatti critici per le aziende colpite. Una delle spiegazioni del maggior interesse del cybercrime nel manifatturiero italiano è la dimensione delle imprese che presentano una minore capacità di attrezzarsi per prevenire le minacce.
Questa ipotesi è confermata da una ricerca, condotta fra le PMI della Lombardia e riportata dall’ultimo rapporto Clusit, che evidenzia come 37% delle imprese sia stata interessata da un incidente cybersecurity negli ultimi 2 anni.
Anche un’analisi internazionale Forbes evidenzia che le PMI sono spesso vittime di ransomware, poiché tendono ad avere meno misure di sicurezza, e che il 94% dei malware rilevati arriva via email.
La tecnica principale impiegata è Malware/Ransomware (83%) che blocca l’accesso ai dati con finalità di ricatto, seguita dalla violazione dei dati (particolarmente delicata per la privacy e la sottrazione di informazioni critiche per il business) e lo sfruttamento di vulnerabilità non note (0-Days).
La presenza di un Security Operation Center (SOC) svolge un ruolo fondamentale nel contrastare in modo efficace queste minacce, soprattutto grazie alla sua capacità di difesa proattiva in grado di ridurre significativamente il divario temporale tra rilevamento dell’attacco e la risposta.
Il SOC è una struttura dedicata alla cybersecurity, con l’obiettivo di difendere l’azienda dalle minacce e dagli attacchi informatici, salvaguardando le risorse critiche dell’organizzazione, come dati, sistemi, reti, e garantirne la riservatezza, l’integrità, la disponibilità.
Il funzionamento del SOC prevede tre componenti principali: persone, tecnologie e processi.
Il SOC è costituito da un team di professionisti della sicurezza IT con diverse competenze e specializzazioni.
Ci sono innanzitutto due gruppi di analisti: i primi sono responsabili del monitoraggio degli avvisi e degli eventi di sicurezza in tempo reale, mentre i secondi effettuano attività di intelligence sulle minacce da varie fonti, inclusi feed pubblici, monitoraggio del dark web e report sulle minacce, specifici del settore.
Vi sono poi i tecnici responsabili dell'implementazione, della configurazione e della manutenzione delle tecnologie di sicurezza utilizzate all'interno del SOC e il team specializzato nella gestione degli incidenti.
I responsabili del SOC, infine, supervisionano le operazioni, garantendo che il team funzioni in modo efficace e che gli incidenti di sicurezza vengano risolti tempestivamente.
Il SOC si avvale di diverse soluzioni per raccogliere e analizzare informazioni sui flussi di dati e per reagire prontamente alle minacce come:
Il SIEM, che rappresenta la componente principale di un SOC, aggrega e analizza registri e dati sugli eventi di sicurezza provenienti da varie fonti, fornendo una piattaforma centralizzata per il monitoraggio e il rilevamento delle minacce.
I sistemi IDS/IPS monitorano il traffico di rete in tempo reale, cercando segni di attività dannose o modelli di attacco noti mentre firewall e proxy rappresentano la prima linea di difesa grazie al controllo e al filtro del traffico di rete.
Fondamentali le soluzioni EDR per monitorare continuamente le attività e i comportamenti degli endpoint, consentendo agli analisti SOC di rilevare e rispondere a potenziali minacce a livello del dispositivo.
Le piattaforme TIP raccolgono e analizzano dati da varie fonti esterne, fra cui fornitori di sicurezza informatica e agenzie governative, per generare informazioni aggiornate sulle minacce emergenti e sulle tecniche di attacco.
Ultimi, ma non per questo meno importanti, gli strumenti di collaborazione e comunicazione efficaci e sicuri sono fondamentali per aiutare il team del SOC a condividere informazioni, coordinare e intensificare gli sforzi di risposta agli incidenti.
Il SOC segue delle specifiche procedure per rilevare anomalie, prevenire le minacce e rispondere ad eventuali incidenti. Di seguito descriviamo con maggior dettaglio le attività tipiche del SOC.
L’azienda può trarre molteplici benefici dalla disponibilità di un SOC, sia esso interno, esterno o una combinazione delle due opzioni.
Il monitoraggio e l’analisi continui dell'attività del sistema consente un rilevamento tempestivo di potenziali minacce e vulnerabilità, aumentando l’efficacia e riducendo i tempi di risposta agli eventuali incidenti, diminuendo i tempi di inattività e favorendo la business continuity.
La semplificazione della gestione degli incidenti e l’utilizzo ottimizzato delle risorse, ha come conseguenza la riduzione dei costi diretti e indiretti associati alla gestione degli incidenti di sicurezza informatica.
Le organizzazioni, sulla base delle esigenze legate al settore e delle risorse disponibili, in termini economici e di competenze, possono orientarsi verso SOC in-house, co-gestiti, virtuali, in outsourcing, ibridi.
Un’organizzazione che sceglie il SOC in outsourcing affida a un partner la responsabilità del monitoraggio, del rilevamento e della risposta agli incidenti di sicurezza. Questa scelta è particolarmente conveniente per le organizzazioni che non dispongono delle risorse o delle competenze per creare e mantenere un SOC interno, in particolar modo per le PMI.
I principali benefici sono:
La continua e veloce evoluzione dei cyber attacchi che crescono in numero e in qualità impone alle organizzazioni di impostare una strategia di sicurezza preventiva, predittiva e proattiva. L’attenzione si sposta verso l’agilità operativa e l’accelerazione delle operazioni, abilitata da soluzioni e tecnologie avanzate che includono, ad esempio, l’intelligenza artificiale, e supportata da competenze sempre aggiornate.
L’approccio DigitelNET, orientato a guidare le aziende all'innovazione tecnologica con grande attenzione alle esigenze uniche di ogni cliente e alla protezione dei loro dati e delle loro risorse, è particolarmente adatto alla gestione della sicurezza, grazie alla proposta di soluzioni avanzate e personalizzate.
Il SOC di DigitelNET garantisce una barriera protettiva contro gli attacchi informatici, offrendo sicurezza e protezione continua, con un approccio proattivo di monitoraggio.
La soluzione Extended Detection and Response (XDR) è in grado offrire una difesa aggiuntiva, anticipando e neutralizzando le minacce emergenti, grazie all’impiego di intelligenza artificiale, analisi comportamentale e automazione.
La combinazione di queste soluzioni garantisce una protezione completa e personalizzata per qualunque organizzazione.