Protezione ottimale dai cyber-attacchi

«In caso di attacco gli esperti di sicurezza di Swisscom si attivano immediatamente»


Un attacco con ransomware (il software ricattatorio) può, nel peggiore dei casi, paralizzare completamente un'azienda. La St. Galler Kantonalbank SGKB è stata previdente.


Testo: Anton Neuenschwander, Immagini: Michael Meier, 31




Il modello commerciale dell'industria del ricatto è cambiato. In passato proponeva a un'azienda l'offerta, spesso non rifiutabile, di non pubblicare determinate informazioni sensibili in cambio dell'importo richiesto. Oggi le aziende pagano il riscatto per i propri dati. L'arma peggiore del ricattatore è il ransomware, un malware che si insinua nei file server e blocca i file crittografandoli. Chi paga, ne ottiene la decriptazione, ma non sempre.


Cercasi sistema di difesa intelligente

Guido Kölliker è il Chief Information Security Officer di SGKB ed è quindi il responsabile della sicurezza informatica del principale istituto finanziario della svizzera orientale. Agli inizi del 2017 ha analizzato i cyber-rischi cui era esposta la banca. «Abbiamo dovuto constatare di non avere a disposizione alcuna contromisura adatta contro gli attacchi ransomware» ricorda. «Non è stata una bella sensazione. Un attacco di questo tipo può provocare danni che potrebbero ammontare a milioni». Kölliker ha chiesto consiglio agli esperti di Swisscom, perché il File Server di SGKB è gestito da Swisscom. «Le nostre esigenze in termini di sistema di protezione efficace contro i ransomware erano chiare: innanzitutto identificare rapidamente un attacco e quindi reagire in modo immediato con delle contromisure». Donat Kaeser, Product Manager per Storage, Backup & Archive Services in Swisscom, cita un terzo criterio importante: «È inoltre indispensabile anche un efficace approccio di backup e ripristino. Consigliamo di proteggere i dati cinque volte al giorno con la tecnologia snapshot. In caso di attacco, che non si può mai escludere, è necessario avviare immediatamente il ripristino. Il problema: dopo un incidente i dati vengono ripristinati allo stato precedente all'attacco. Spesso trascorrono alcune ore. Nel frattempo, tuttavia, gli oltre 1000 collaboratori di SGKB hanno lavorato molto sui loro file. Questo lavoro andrebbe perso se tutti i file fossero ripristinati senza differenziazioni. In questo senso è utile il ‘Differential Restore’ che sovrascrive solo i file interessati».



Donat Kaeser (a sinistra) e Guido Kölliker vogliono essere più avanti di un passo rispetto ai cibercriminali.



Le modifiche «buone» vengono conservate

SGKB si è decisa per l'opzione del servizio Ransomware Protection. Questo schermo radar intelligente riconosce gli attacchi ransomware in base agli oltre 1700 pattern e avvia subito le misure di protezione prestabilite. Guido Kölliker si dimostra entusiasta di una particolare peculiarità della soluzione: «Con ‘Differential Restore’ si identificano i file che sono stati risparmiati dagli attacchi. Contengono delle modifiche ‘buone’ che vengono mantenute. Invece i file infestati da virus, ovvero con delle modifiche ‘cattive’, vengono sovrascritti con una versione precedente intatta». Grazie a Ransomware Protection Guido Kölliker può dormire sonni tranquilli. «Sappiamo di essere protetti in modo ottimale. In caso di attacco, gli esperti di sicurezza di Swisscom si attivano immediatamente, bloccando determinati profili utente. Veniamo aggiornati subito su ciò che accade precisamente e su ciò che deve ancora fare la banca».


«Sappiamo di essere protetti in modo ottimale.»


Guido Kölliker, Chief Information Security Officer in SGKB


In vantaggio nel gioco del gatto e del topo

Guido Kölliker afferma che la SGKG agisce in modo proattivo in tema di sicurezza e nel suo settore riveste un ruolo di leadership per garantire a sé e ai suoi clienti la protezione più ampia possibile. «Già qualche anno fa la banca si è concentrata sul proprio core business, motivo per cui si è rivolta a competenti Security-Partner esterni» ci racconta. «Per questo motivo stiamo valutando di utilizzare, oltre a Ransomware Protection, altri Managed Security Services di Swisscom. Si parla dei servizi Threat Detection & Response come Security Analytics, Security Operation Center (SOC) e Computer Security Incident Response Team (CSIRT)». Donat Kaeser ritiene che questa procedura sia sensata, perché: «Non illudiamoci: con Ransomware Protection abbiamo creato il framework per una protezione ottimale e un ripristino rapido nell'ambito del File Service, ma il gioco del gatto e del topo con i cibercriminali non è ancora finito. Noi continuiamo a perfezionare le nostre soluzioni affinché i nostri clienti siano equipaggiati contro le minacce future».



La St. Galler Kantonalbank è leader nel campo della Cybersecurity.


St. Galler Kantonalbank SGKB


Una sangallese e un sangallese su due hanno un rapporto commerciale con la SGKB. In qualità di banca universale regionale, SGKB offre consulenza da quasi 150 anni a clienti privati e commerciali. La banca ha la propria sede principale nella capitale del cantone, cui si aggiungono 38 filiali.




Enterprise File Services - Opzione Ransomware Protection


  • Si basa sulle tecnologie NetApp e Cleondris.
  • Riconoscimento e allarme in caso di eventi noti (Ransomware Patterns)
  • Blocchi automatici di client/host
  • Rilascio automatico di Emergency Snapshot (punti di ripristino) per attacchi identificati.
  • Ripristino differenziale per il ripristino rapido del servizio in caso di attacco. Questa funzionalità esclusiva ripara i dati difettosi e lascia le modifiche «buone».
  • Possibilità di integrazione nel Security Portfolio «Threat Detection & Response» (Event & Incident Management)


Hand with smartphone

Newsletter

Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?




Maggiori informazioni