 |
| Foto Ministero della Difesa |
Nei
giorni tra il 24 e il 28 aprile si è tenuta presso il NATO
Cooperative Cyber Defence Centre of Excellence (CCDCOE), in Tallin,
l’esercitazione Locked Shields, la più grande e avanzata
esercitazione di cyber defence al mondo.
L’esercitazione
ha avuto lo scopo di esercitare gli esperti di sicurezza informatica
nel proteggere i sistemi IT nazionali.
Ai
team partecipanti è stato assegnato il compito di proteggere e
mantenere efficienti i sistemi e i servizi di una ipotetica nazione
(questi team di persone provenienti da tutto il mondo sono chiamati
Blue Team). Nel corso dell’esercitazione i team sono stati
sottoposti ad una serie di prove, dalla gestione di incidenti
informatici a più ampie considerazioni di carattere legale,
giuridico o strategico. Tutto è stato predisposto affinché
l’esercitazione fosse il più realistico possibile, a tal scopo è
stato fatto largo uso di tecniche di difesa e di attacco di nuova
concezione e impiegate tutte le tecnologie emergenti disponibili.
Nello
specifico, l’esercitazione Locked Shield 2017 consisteva nel
mantenere l’operatività di reti e servizi di una base militare
aerea di una nazione fittizia soggetta a complessi attacchi al
sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di
Comando e Controllo, alle infrastrutture informatiche critiche e così
via.
Credo
sia chiaro che la dimensione di questa esercitazione e la tipologia
di problemi cui sono sottoposti i Blue Team pone sfide che spaziano
all’interno dell’intero Cyber Space, quale che sia la definizione
adottata.1
Più
di 2500 possibili differenti tipologie di attacco possono essere
eseguiti per testare le capacità dei Blue Team. Per questa
esercitazione a partiti contrapposti infatti esistono anche i Red
Team che hanno il compito opposto ai Blue Team, ovvero attaccare e
distruggere (o rubare i dati, modificarli, renderli inservibili e
distruggere così le capacità di Comando e Controllo avversarie), la
rete e i servizi.
Oltre
agli aspetti tattici dell’operazione, che mirano ad ottenere dei
vantaggi pratici sul campo, una operazione di Cyber Defence (o di
Cyber Attack!) può avere degli aspetti strategici per esempio agendo
sul morale di una intera Nazione o mettendo alla berlina una
industria mondiale del software. L’esercitazione Locked Shield
quest’anno , per la prima volta, ha tenuto conto anche degli
aspetti strategici di operazioni condotte nel Cyber Space.
L’esercitazione
non è aperta a tutti ma la partecipazione avviene su invito. Alla
attuale edizione hanno partecipato Team di 25 nazioni per un totale
di 800 partecipanti. La sede stanziale dell’esercitazione è
Tallin, in Estonia, ma i Blue Team hanno partecipato
all’esercitazione dal proprio Paese, attraverso accessi sicuri alla
rete.
L’esercitazione
si è svolta in due tempi. In un primo tempo, il 18 e 19 aprile, è
stata data a tutti la possibilità di esplorare la rete di
esercitazione. Nel corso di tale fase i Team Blue hanno potuto
costruire le mappe occorrenti per la difesa.
La
seconda fase, quella attiva, ha visto impegnati i contendenti, tra
questi il Blue Team italiano.
Dopo
questa piccola introduzione che mira a dare a tutti un minimo di
conoscenze sull’attività, ora vediamo più in dettaglio cosa è
successo, attraverso la voce di alcuni partecipanti al Blue Team
italiano appartenenti al gruppo di ricerca del Prof. Luigi V. Mancini
del Dipartimento di Informatica della Università la Sapienza di
Roma.
Professor
Mancini,
come
era composto il Team nazionale? Avete giocato tutti come Blue Team, è
corretto?
Si.
Il Team era composto da componenti della Difesa, Università ed
Industrie, abbiamo lavorato tutti come Blue Team ma con compiti
specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica
Informazione, Ticketing etc etc.
Avete
avuto a disposizione i documenti dell’esercitazione? Che tipo di
documentazione vi è stata resa disponibile? Avevate, o avete
ricostruito, gli schemi di rete?
Naturalmente
abbiamo avuto accesso alla piattaforma condivisa utilizzata per
l’esercitazione in cui avevamo una descrizione sommaria dei
sistemi. Abbiamo avuto l’accesso effettivo solo con la
familiarizzazione del 18-19 Aprile, a quel punto avevamo accesso ai
sistemi per toccare con mano alcune configurazioni.
Avevamo
lo schema di rete, non dettagliato al massimo ma con i soli sistemi
che dovevano essere a noi noti. Lo schema completo, con eventuali
Rouge AP o macchine non segnalate, non era noto.
Quali
erano gli obiettivi del Blue Team?
Il
nostro obiettivo, come Blue Team, consisteva nel monitorare la rete
ed effettuare una gestione degli eventuali incidenti, sotto l’aspetto
tecnico, legale e comunicativo.
Chi
giocava la parte del Red Team?
Il
Red Team è composto da membri delle nazioni stesse collocati a
Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un
gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le
relative vulnerabilità, ed in modo sistematico attacca i vari team
in modo da valutare la capacità di risposta e monitoraggio.
Professor
Mancini, secondo la sua esperienza, quanto può essere considerata
realistica una siffatta esercitazione? Nel mondo reale il Cyberspace
viene sottoposto a modifiche continue nei suoi componenti e gli
eventuali attaccanti hanno dalla loro il tempo (APT è considerato il
rischio maggiore), in questa esercitazione invece non vi è il tempo
per studiare le abitudini degli utenti e per esplorare modalità di
attacco. Questo limita fortemente le possibilità di attacco a un
sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere
organizzata e realizzata una esercitazione affinché sia il più
possibile realistica?
L'esercitazione
così composta è sicuramente un modo di addestrarsi a scenari reali,
si inizia con il presupposto che i sistemi siano compromessi, quindi
sicuramente una mentalità che dovrebbe essere utilizzata più
spesso. La gestione di una infrastruttura complessa come quella della
Locked Shield è sicuramente uno stimolo per i tecnici, e deve essere
utilizzata dal sistema per sperimentare soluzioni innovative o
testare nuovi prodotti, siano essi Proprietari o Open Source.
Uno degli aspetti più challenging dell'esercitazione è dato
sicuramente dalle limitazioni in tempo e risorse, ad esempio il Blue
Team non può monitorare tutto al meglio ma deve effettuare delle
scelte ed il conseguente triage degli eventi in modo da capire cosa
trattare con maggiore dettaglio o meno, il tutto garantendo
l'esperienza utente, che deve continuare a lavorare senza alcun tipo
di problema. Ci siamo trovati ad affrontare azioni utente che
portavano rischi a livello di sicurezza, e quindi avevamo la
necessità di mitigare queste azioni senza intaccare l'operatività
dell'utente.
Professore,
la
ringraziamo per queste sue prime risposte, sperando di poter
approfondire ancora con Lei alcuni aspetti di questa esercitazione e,
più in generale, di questo “cyberspace” che giorno dopo giorno
stiamo cominciando a conoscere.
Alessandro
RUGOLO, Ciro Metaggiata.
Note:
1Non
esiste una definizione condivisa di Cyber Space. Potremmo adottare
quella italiana prevista nel recente DPCM del 17 febbraio 2017
pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo
spazio cibernetico come: “l’insieme delle infrastrutture
informatiche interconnesse, comprensivo di hardware, software, dati
ed utenti, nonché delle relazioni logiche, comunque stabilite, tra
di essi”. Altre definizioni ufficiali possono essere reperite al
link: https://ccdcoe.org/cyber-definitions.html.
Fonti:
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-esercitazione-internazionale-tecnica-Cyber-Defence.aspx
Nessun commento:
Posta un commento