martedì 2 maggio 2017

Locked Shield 2017: la più importante esercitazione Cyber del mondo

Foto Ministero della Difesa

Nei giorni tra il 24 e il 28 aprile si è tenuta presso il NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), in Tallin, l’esercitazione Locked Shields, la più grande e avanzata esercitazione di cyber defence al mondo.
L’esercitazione ha avuto lo scopo di esercitare gli esperti di sicurezza informatica nel proteggere i sistemi IT nazionali.
Ai team partecipanti è stato assegnato il compito di proteggere e mantenere efficienti i sistemi e i servizi di una ipotetica nazione (questi team di persone provenienti da tutto il mondo sono chiamati Blue Team). Nel corso dell’esercitazione i team sono stati sottoposti ad una serie di prove, dalla gestione di incidenti informatici a più ampie considerazioni di carattere legale, giuridico o strategico. Tutto è stato predisposto affinché l’esercitazione fosse il più realistico possibile, a tal scopo è stato fatto largo uso di tecniche di difesa e di attacco di nuova concezione e impiegate tutte le tecnologie emergenti disponibili.
Nello specifico, l’esercitazione Locked Shield 2017 consisteva nel mantenere l’operatività di reti e servizi di una base militare aerea di una nazione fittizia soggetta a complessi attacchi al sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di Comando e Controllo, alle infrastrutture informatiche critiche e così via.
Credo sia chiaro che la dimensione di questa esercitazione e la tipologia di problemi cui sono sottoposti i Blue Team pone sfide che spaziano all’interno dell’intero Cyber Space, quale che sia la definizione adottata.1
Più di 2500 possibili differenti tipologie di attacco possono essere eseguiti per testare le capacità dei Blue Team. Per questa esercitazione a partiti contrapposti infatti esistono anche i Red Team che hanno il compito opposto ai Blue Team, ovvero attaccare e distruggere (o rubare i dati, modificarli, renderli inservibili e distruggere così le capacità di Comando e Controllo avversarie), la rete e i servizi.
Oltre agli aspetti tattici dell’operazione, che mirano ad ottenere dei vantaggi pratici sul campo, una operazione di Cyber Defence (o di Cyber Attack!) può avere degli aspetti strategici per esempio agendo sul morale di una intera Nazione o mettendo alla berlina una industria mondiale del software. L’esercitazione Locked Shield quest’anno , per la prima volta, ha tenuto conto anche degli aspetti strategici di operazioni condotte nel Cyber Space.
L’esercitazione non è aperta a tutti ma la partecipazione avviene su invito. Alla attuale edizione hanno partecipato Team di 25 nazioni per un totale di 800 partecipanti. La sede stanziale dell’esercitazione è Tallin, in Estonia, ma i Blue Team hanno partecipato all’esercitazione dal proprio Paese, attraverso accessi sicuri alla rete.
L’esercitazione si è svolta in due tempi. In un primo tempo, il 18 e 19 aprile, è stata data a tutti la possibilità di esplorare la rete di esercitazione. Nel corso di tale fase i Team Blue hanno potuto costruire le mappe occorrenti per la difesa.
La seconda fase, quella attiva, ha visto impegnati i contendenti, tra questi il Blue Team italiano.
Dopo questa piccola introduzione che mira a dare a tutti un minimo di conoscenze sull’attività, ora vediamo più in dettaglio cosa è successo, attraverso la voce di alcuni partecipanti al Blue Team italiano appartenenti al gruppo di ricerca del Prof. Luigi V. Mancini del Dipartimento di Informatica della Università la Sapienza di Roma.
Professor Mancini,
come era composto il Team nazionale? Avete giocato tutti come Blue Team, è corretto?
Si. Il Team era composto da componenti della Difesa, Università ed Industrie, abbiamo lavorato tutti come Blue Team ma con compiti specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica Informazione, Ticketing etc etc.
Avete avuto a disposizione i documenti dell’esercitazione? Che tipo di documentazione vi è stata resa disponibile? Avevate, o avete ricostruito, gli schemi di rete?
Naturalmente abbiamo avuto accesso alla piattaforma condivisa utilizzata per l’esercitazione in cui avevamo una descrizione sommaria dei sistemi. Abbiamo avuto l’accesso effettivo solo con la familiarizzazione del 18-19 Aprile, a quel punto avevamo accesso ai sistemi per toccare con mano alcune configurazioni.
Avevamo lo schema di rete, non dettagliato al massimo ma con i soli sistemi che dovevano essere a noi noti. Lo schema completo, con eventuali Rouge AP o macchine non segnalate, non era noto.
Quali erano gli obiettivi del Blue Team?
Il nostro obiettivo, come Blue Team, consisteva nel monitorare la rete ed effettuare una gestione degli eventuali incidenti, sotto l’aspetto tecnico, legale e comunicativo.
Chi giocava la parte del Red Team?
Il Red Team è composto da membri delle nazioni stesse collocati a Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le relative vulnerabilità, ed in modo sistematico attacca i vari team in modo da valutare la capacità di risposta e monitoraggio.
Professor Mancini, secondo la sua esperienza, quanto può essere considerata realistica una siffatta esercitazione? Nel mondo reale il Cyberspace viene sottoposto a modifiche continue nei suoi componenti e gli eventuali attaccanti hanno dalla loro il tempo (APT è considerato il rischio maggiore), in questa esercitazione invece non vi è il tempo per studiare le abitudini degli utenti e per esplorare modalità di attacco. Questo limita fortemente le possibilità di attacco a un sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere organizzata e realizzata una esercitazione affinché sia il più possibile realistica?
L'esercitazione così composta è sicuramente un modo di addestrarsi a scenari reali, si inizia con il presupposto che i sistemi siano compromessi, quindi sicuramente una mentalità che dovrebbe essere utilizzata più spesso. La gestione di una infrastruttura complessa come quella della Locked Shield è sicuramente uno stimolo per i tecnici, e deve essere utilizzata dal sistema per sperimentare soluzioni innovative o  testare nuovi prodotti, siano essi Proprietari o Open Source. Uno degli aspetti più challenging dell'esercitazione è dato sicuramente dalle limitazioni in tempo e risorse, ad esempio il Blue Team non può monitorare tutto al meglio ma deve effettuare delle scelte ed il conseguente triage degli eventi in modo da capire cosa trattare con maggiore dettaglio o meno, il tutto garantendo l'esperienza utente, che deve continuare a lavorare senza alcun tipo di problema. Ci siamo trovati ad affrontare azioni utente che portavano rischi a livello di sicurezza, e quindi avevamo la necessità di mitigare queste azioni senza intaccare l'operatività dell'utente.
Professore,
la ringraziamo per queste sue prime risposte, sperando di poter approfondire ancora con Lei alcuni aspetti di questa esercitazione e, più in generale, di questo “cyberspace” che giorno dopo giorno stiamo cominciando a conoscere.

Alessandro RUGOLO, Ciro Metaggiata.

Note:
1Non esiste una definizione condivisa di Cyber Space. Potremmo adottare quella italiana prevista nel recente DPCM del 17 febbraio 2017 pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo spazio cibernetico come: “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Altre definizioni ufficiali possono essere reperite al link: https://ccdcoe.org/cyber-definitions.html.
Fonti:


http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-esercitazione-internazionale-tecnica-Cyber-Defence.aspx

Nessun commento:

Posta un commento