Un lavoro costante e continuamente in aggiornamento: gli attacchi si sventano anche con l’aiuto dell’intelligenza artificiale. Un’eccellenza in Italia è il SOC di Leonardo, Global Security Operation Center, con sede principale a Chieti e altri centri operativi in Italia, Europa e Medio Oriente: monitora e gestisce 24 ore su 24 e 7 giorni su 7 le vulnerabilità dei sistemi informatici delle organizzazioni e delle infrastrutture critiche in tutto il mondo. La sicurezza cyber in questo modo è garantita in ogni fase: dall’analisi della minaccia, al monitoraggio dell’infrastruttura da proteggere, dalla rilevazione degli attacchi alla risposta da mettere in campo. Le attività si basano sulle competenze degli analisti di Leonardo, su strutture di supercalcolo dedicate all’analisi della minaccia, threat intelligence, e su data center che abilitano i servizi di monitoraggio e gestione delle IT, le infrastrutture informatiche, e delle OT, le industriali. Con la threat intelligence infatti si monitorano continuamente fonti aperte, deep e dark web, allo scopo di rilevare e analizzare le attività malevole che avvengono nel cyberspazio.
IL PROCESSO
Ogni anno il SOC realizza oltre 8.500 report con informazioni su autori, motivazioni, dinamiche e caratteristiche di attacchi cibernetici che hanno colpito le infrastrutture monitorate. Le informazioni derivanti dall’intelligence sono correlate con più di 137.000 eventi di sicurezza al secondo, provenienti dai sistemi di monitoraggio, per rendere ancora più efficiente il processo di prevenzione e gestione degli incidenti. I danni di un cyber attacco posso essere imponenti: due anni fa, nel 2021, un ransomware ha bloccato il più grande oleodotto della costa Est degli Usa, causando l’interruzione del trasporto di oltre 378 milioni di litri di carburante e costringendo 17 Stati a dichiarare l’emergenza. La cifra pagata ai cybercriminali per decriptare i dati e tornare all’operatività è stata di 5 milioni di dollari. Al “riscatto”, pagato da molte organizzazioni colpite da ransomware, si aggiunge il costo dei blocchi di operatività dei sistemi e quello in termini di reputazione. Il conto è da brividi: Gartner stima infatti il costo medio del downtime in caso di attacco ransomware in 5.600 dollari al minuto, circa 300mila dollari l’ora. Le conseguenze di un cyber-attack possono poi impattare la sicurezza stessa dei cittadini. Per questo, soprattutto, la risposta deve essere immediata: nel mondo della cyber security, la rapidità di reazione può fare la differenza tra un incidente di piccola portata e una vera e propria crisi, ovvero un evento anomalo e straordinario che minaccia obiettivi strategici e funzioni vitali dell’organizzazione colpita. E così anche l’automazione, insieme all’intelligenza artificiale, può avere un ruolo molto importante, velocizzando l’individuazione e la risposta agli attacchi e consentendo di liberare risorse e persone per dedicarle a situazioni anomale e diminuire il tempo di recovery in caso di crisi.
© RIPRODUZIONE RISERVATA
