Le aziende che operano nel settore delle telecomunicazioni sono spesso prese di mira da criminali informatici, poiché si occupano della gestione di infrastrutture fondamentali. Le loro infrastrutture rappresentano l’elemento portante delle comunicazioni a livello nazionale: il corretto funzionamento di servizi quali telefonia mobile, internet, sistemi di emergenza e connettività aziendale risulta essenziale per garantire la continuità operativa. Un guasto, un’interruzione o un attacco mirato possono avere ripercussioni a livello nazionale, influenzando servizi essenziali, la sicurezza pubblica e l’attività economica.
Al fine di garantire una protezione efficace contro le minacce informatiche, Sunrise ha costituito un team formato da specialistə di comprovata competenza ed elevata qualificazione. Il Centro Operativo di Sicurezza (SOC) ha il compito di difendere l'infrastruttura digitale aziendale, tutelare i dati dei clienti e proteggere i sistemi interni da eventuali minacce informatiche. Il SOC svolge compiti che includono il monitoraggio continuo, la gestione degli incidenti, la raccolta di dati sulle minacce e l’attuazione di strategie preventive. Queste operazioni aiutano Sunrise a rilevare gli attacchi in modo rapido, intervenire prontamente e limitare i danni causati.
Gestire le minacce è l'obiettivo principale del Centro Operativo di Sicurezza (SOC) di Sunrise.
Ogni mese, compagnie di telecomunicazione come Sunrise elaborano milioni di richieste sulle loro piattaforme web commerciali. Questi dati costituiscono una fonte essenziale per il monitoraggio della sicurezza informatica, agevolando l'identificazione tempestiva di schemi sospetti, anomalie operative e potenziali ondate di attacchi.
Il Centro Operativo di Sicurezza di Sunrise utilizza strumenti avanzati per cercare, analizzare e mettere in relazione eventi al fine di gestire grandi quantità di dati tecnici raccolti dalla rete Sunrise. Il sistema open source contiene una libreria molto ampia, continuamente aggiornata, con miliardi di registrazioni individuali sulla sicurezza.
Le informazioni raccolte provengono da vari elementi dell'infrastruttura digitale, tra cui firewall, filtri del traffico web, servizi DNS, sistemi di autenticazione e server VPN. Ogni fonte contribuisce dati utili che illustrano le attività sia nei sistemi pubblici che all’interno dell’azienda.
Consolidando tutti i dati in un'unica piattaforma, il SOC ottiene la visibilità indispensabile per tutelare efficacemente Sunrise e i suoi clienti. Il team gestisce tempestivamente eventuali anomalie, approfondisce l'analisi di potenziali minacce e valuta attentamente i segnali che possono evidenziare tentativi di attacco o utilizzo improprio dei servizi e delle risorse di Sunrise.
Ogni mese vengono bloccati migliaia di bot dannosi
Oltre al traffico legittimo, Sunrise rileva ogni mese numerosi tentativi automatizzati da parte di «bad bot». Tali bot sono impiegati per verificare credenziali sottratte, identificare vulnerabilità o acquisire contenuti dai siti web. Il SOC monitora e analizza il traffico al fine di distinguere tra accessi effettuati da utenti reali e quelli generati automaticamente.
Secondo Adam Oczos, Responsabile Cyber Difesa di Sunrise, il sistema è in grado di rilevare centinaia di tentativi di accesso automatico nell'arco di 12 ore, anche durante le giornate meno movimentate. Nei momenti di maggiore attività, vengono attivate misure di protezione che bloccano automaticamente le richieste non autorizzate e notificano tempestivamente il team competente.
Durante i periodi di attacco più intenso nel 2025, Sunrise ha gestito ripetute ondate di tentativi automatizzati di accesso e attacco, che si sono susseguite per diverse settimane. Oczos sottolinea che, in alcuni fine settimana, sono stati rilevati milioni di tali tentativi.
Il SOC di Sunrise blocca mensilmente migliaia di bot dannosi, proteggendo utenti e clienti.
Questi episodi avvengono di notte o quando la vigilanza è ridotta, come il venerdì pomeriggio o durante le festività. Anche pochi accessi riusciti possono attivare azioni automatiche da parte di attori malevoli, come transazioni fraudolente o raccolta di dati personali.
Per questo motivo, il SOC collabora strettamente con il team interno di prevenzione delle frodi e con il servizio clienti, intervenendo subito per analizzare ogni schema di accesso sospetto. La sorveglianza e le misure di sicurezza avanzate sono operative 24 ore su 24, sette giorni su sette, tutto l’anno.
Le recenti tensioni geopolitiche hanno portato all'ascesa di attaccanti sempre più avanzati, soprattutto attraverso botnet dannose. Il team si concentra particolarmente su queste immense reti di dispositivi compromessi, controllate in modo segreto dagli autori delle minacce informatiche, che puntano a destabilizzare le organizzazioni, mascherare la reale provenienza degli attacchi oppure generare flussi di traffico capaci di causare malfunzionamenti in alcune parti di Internet.
Secondo Adam Oczos, le botnet sono attualmente impiegate per una vasta gamma di attività, che spaziano dal sabotaggio delle infrastrutture alla verifica delle credenziali degli utenti, fino all’acquisizione di privilegi amministrativi. Per questo motivo, il SOC rivolge un'attenzione particolare al monitoraggio delle operazioni condotte da gruppi di attacco provenienti da aree geopoliticamente sensibili come Russia e Iran, con un focus specifico sulle minacce rivolte alle infrastrutture delle telecomunicazioni.
Tra le botnet più rilevanti si annoverano Aisuru-Kimwolf e ResHydra, che secondo gli esperti hanno la capacità di effettuare attacchi di grande portata, incidere sulle dinamiche geopolitiche e compromettere infrastrutture nazionali. Il «Wall Street Journal», citando Craig Labovitz, Chief Technology Officer della divisione Deepfield di Nokia, sottolinea come l’attenzione non sia più solo rivolta ai siti web, ma anche alla sicurezza dei Paesi nel loro complesso.
Sunrise riesce a contrastare gli attacchi grazie all'utilizzo di un’intelligenza condivisa
Sunrise rileva e blocca attività malevole mediante l’integrazione di tecniche di fingerprinting, firewall applicativi web e flussi di intelligence sulle minacce a livello globale. Il traffico viene sottoposto a filtri multilivello in cloud e controlli di sicurezza interni che identificano e neutralizzano automaticamente i modelli dannosi.
L’intelligence sulle minacce è fondamentale: Sunrise collabora infatti con gruppi di sicurezza delle telecomunicazioni europee, organizzazioni Swiss CERT e altre realtà del settore. Queste partnership consentono lo scambio di indicatori di compromissione, liste di blocco IP e informazioni su nuove minacce emergenti. Il SOC integra questi dati direttamente nei propri sistemi, permettendo la rilevazione in tempo reale e il blocco automatico delle infrastrutture malevole già note.
Il sistema di cyber sicurezza e l'approccio collaborativo di Sunrise sono essenziali per tutelare i dati aziendali e dei clienti, specialmente in un contesto globale instabile.