“In generale ci si accorge dell’importanza della sicurezza informatica troppo tardi, ovvero quando si è stati vittima di un attacco”. Ferruccio Vitale, SOC – Security Operation Center Manager di Cybertech, lavora nel settore cybersecurity da oltre vent’anni. “Mi diverto ancora molto lavorando: è un po’ come giocare a guardie e ladri. Ogni giorno ho una sfida nuova da vincere e questa è la parte più bella di questo lavoro”.
Bellezza che traspira da ogni parola con la quale descrive la passione e l’entusiasmo che mette nel fare il suo lavoro. Parlare di sicurezza informatica oggi, in un momento di emergenza sanitaria, è importante perché il rischio di attacchi, anche a strutture critiche quali per esempio gli ospedali, è tangibile.
“C’è stata in questo momento – commenta Ferruccio – un’accelerazione nell’uso di strumenti digitali e, di conseguenza, un incremento anche di attenzione e investimenti sul fronte cybersecurity. Pensiamo per esempio allo smart working: quando lavoriamo in un posto diverso dalla nostra azienda cambia non solo lo spazio di lavoro ma anche il perimetro di sicurezza delle informazioni che gestiamo. Per questa ragione oggi, più che in altri momenti, è urgente pensare alla sicurezza informatica e farlo prima che si possano contare i danni di un eventuale attacco”.
Cosa significa SOC Manager? Cosa fa in pratica una persona che è responsabile del Security Operation Center?
“Il SOC, insieme ad altre due strutture quali il NOC – Network Operations Center e l’MSS – Managed Security Service, fa un’attività di monitoraggio rispetto a eventuali minacce rilevate sui sistemi dei clienti e, ovviamente, interviene in caso di incidente informatico per mettere al sicuro dati e informazioni, e ripristinare l’erogazione del servizio. Si lavora su quello che io definisco un trittico: persone, processi e tecnologie. Si insiste, pertanto, sulla formazione e sensibilizzazione delle persone che lavorano in un determinato contesto; si esegue un monitoraggio dei processi aziendali e si applicano le tecnologie digitali utili a svolgere meglio il nostro lavoro.”
Come si svolge una giornata tipo all’interno del SOC?
“Le giornate sono scandite dal monitoraggio di eventi “collezionati” in un sistema informatico e analizzati al fine di comprenderne la natura per poi risolvere eventuali incidenti. Nel caso in cui si identifichi un attacco, infatti, il compito di chi lavora al SOC è quello di individuare la portata del rischio e quindi comprendere il valore dell’asset aziendale che può essere colpito per dare una priorità di intervento rispetto all’attacco in corso. Chiaramente è compito di chi analizza cercare anche di comprendere ciò che l’attaccante sta facendo, quali sono i suoi obiettivi e soprattutto se ha già superato il perimetro aziendale e magari è entrato in possesso di dati o sta solo “saggiando” la sicurezza (o insicurezza) del sistema.
Da questa prima scrematura, la minaccia viene assegnata solitamente al primo layer, dove lavorano persone che possono risolvere eventi non particolarmente complessi. Qualora il Layer 1 non riesca a risolvere il problema, si attiva un Layer 2 dove sono impiegate persone con skill più elevate, che vengono coinvolte solo in caso di necessità. In pratica è come se si facesse un vero e proprio triage dell’evento analizzato, che serve a comprendere la “gravità della malattia” per poterla “curare” nel migliore dei modi e nei tempi più rapidi possibili.”
C’è una cassetta degli attrezzi nel lavoro di un esperto di sicurezza informatica? Qual è il ruolo della tecnologia digitale nella gestione delle attività del SOC?
“Il sistema che utilizziamo per il monitoraggio degli eventi (SIEM) consente di identificare meglio le tipologie di attacchi anche grazie ad algoritmi di intelligenza artificiale, in grado di confrontare eventi accaduti su rete e sistemi con regole di detection, minacce conosciute e con altri alert che si possono andare a identificare grazie alle esperienze di altri attacchi risolti. Ovviamente l’intelligenza artificiale non è che una compagna di viaggio in grado di supportare il lavoro delle persone. Sono queste che fanno la differenza grazie alle loro competenze e soprattutto al loro intuito. Possiamo dire tranquillamente che, al momento attuale, non è pensabile che questo lavoro possa essere svolto in autonomia dalle macchine.”
Quali sono le competenze che un SOC Manager deve avere? Quale il percorso di studi migliore per prepararsi a svolgere questa professione?
“Se dovessi parlare di competenze necessarie attraverso il mio percorso professionale e di studi potrei dire che io ho un DNA al 90% tecnico. Dopo il liceo scientifico ho preferito lavorare fin da subito in questo settore piuttosto che affrontare un percorso universitario che, all’epoca, ritenevo essere troppo teorico. Percorso che ho affrontato dopo alcuni anni con una Laurea in Informatica Applicata, in un momento in cui ho saputo apprezzare anche la teoria.
Le mie esperienze sono state nello sviluppo software, nell’area sistemistica e poi, per più di dieci anni, nella sicurezza informatica offensiva. Questo mio essere sviluppatore, sistemista e hacker mi ha spesso aiutato nel trovare soluzioni in modo più rapido ed efficace. Se dovessi dare consigli a un ragazzo che volesse fare questo lavoro, potrei dire che sono particolarmente utili i percorsi di certificazione legati alla cybersecurity. Quella che io personalmente ho trovato molto stimolante è la OSCP in cui viene chiesto allo studente di “bucare” una rete aziendale in un tempo predefinito. Oltre alle competenze e alla passione per questo tema, serve avere una buona predisposizione a pensare fuori dagli schemi, tipico degli hacker. Oltre a questo, altre abilità utili sono l’autonomia nel lavoro, che porta le persone a cercare soluzioni da sole, associata comunque alla capacità di interazione, necessaria visto che in questo lavoro fare squadra è fondamentale. Da soli non si va da nessuna parte.”
Qual è la cosa migliore di questo lavoro?
“La cosa più bella di questo lavoro è la sfida continua che non ti fa annoiare mai, anche perché la complessità delle architetture e la capacità degli avversari è in crescita costante e continua.”
Qual è la cosa peggiore, invece?
“In generale vi è una scarsa percezione dell’importanza di questo lavoro e a volte si fatica a farne comprendere il valore al cliente, che spesso lo percepisce come invasione di campo.”
Come si aggiorna un SOC Manager? Quali sono i blog o i siti da consultare per restare aggiornati sui temi della cybersecurity?
“Io personalmente consulto molto volentieri il sito del Cert, Hacker news, la sezione del sito Microsoft dedicata alla security, oltre a diversi gruppi di discussione su Reddit come Asknetsec.”
Un libro che lasciato il segno nella tua vita e che ha in qualche modo orientato la tua scelta lavorativa?
“Sicuramente un libro letto da ragazzo che esaltava il significato originale del termine hacker, ovvero un individuo che ama la sfida intellettuale per superare in modo creativo i limiti fisici dei sistemi software di un tempo per ottenere risultati nuovi ed efficaci”.
