Traduttore automatico - Read this site in another language

Visualizzazione post con etichetta cyberspace. Mostra tutti i post
Visualizzazione post con etichetta cyberspace. Mostra tutti i post

sabato 8 febbraio 2020

Cosa bisogna sapere sul cyberspace per vivere bene...

(prima puntata)

Mi capita sempre più spesso che amici o semplici conoscenti mi rivolgano delle domande sul mondo cyber.
Spesso si tratta di domande volte a chiarire qualche aspetto particolare del quinto dominio,  altre volte si tratta di domande che mettono in evidenza la voglia di capire qualcosa di più di un mondo che è ormai necessario conoscere.
Alla prima categoria appartengono per esempio:
"Alessandro, che cos'è una APT*" oppure - cosa pensi della sicurezza del "tale" sistema di messaggistica? o ancora "quale algoritmo di cifratura è più performante?", tutte domande la cui risposta seppure apparentemente semplice non lo è affatto e che richiede una profonda conoscenza degli argomenti ma soprattutto la capacità di spiegare in modo elementare argomenti che facili non sono.
Alla seconda categoria appartengono invece alcune domande di base come "Ma si può sapere cos'è il cyberspace?", oppure  "Mi puoi indicare un corso di cyber per principianti?" o ancora più semplicemente "Mi spieghi qualcosa sulla cyber?". Queste apparentemente semplici domande sono talmente generali che spesso mi trovo invischiato in spiegazioni troppo lunghe e per niente alla portata di chi ho di fronte.
Allora mi rendo conto che ciò che a me sembra scontato, per la maggior parte delle persone con cui interagisco normalmente non lo è affatto!
Riflettendo sulla cosa ho pensato che forse sarebbe opportuno provare a scrivere degli articoli di base da usare a mo' di lezione, articoli brevi che affrontino argomenti complessi mirati al lettore curioso ma assolutamente inesperto o, magari a quello desideroso di apprendere un minimo di nozioni che gli servono per il suo lavoro quotidiano.
Questo tipo di pubblico è a mio parere molto numeroso ma poco propenso a leggere lunghi articoli tecnici o semplicemente sensazionalistici per cui difficilmente trova piacere o interesse nella lettura di un articolo sul mondo cyber.
Cosi ho deciso di cominciare a scrivere qualche breve articolo didattico a loro uso e consumo, questo è il primo e in questo si parlerà di "incidente cyber" e proverò a rispondere in modo chiaro, sintetico e senza alcun tecnicismo (il che in certi casi significa anche con un certo livello di semplificazione e imprecisione che spero mi verrà perdonato!) alle domande:
Cos'è un incidente cyber ?
Chi può essere interessato da un incidente cyber ?
Queste cose succedono anche in Italia ?
Perché dovrebbe succedere proprio a me ? 
Sono al sicuro se ho installato un buon antivirus ?

Certo, per capire fino in fondo di cosa stiamo parlando dovrei spiegare cos'è il cyberspace, ma non lo farò, lo darò per scontato nel senso che pian piano il lettore sarà portato a comprendere cosa sia il cyber space senza perdersi in definizioni che lasciano il tempo che trovano anche perché non consolidate.
Invece tutti sono interessati a capire cosa sia un incidente cyber, perché tutti possono subirlo, esattamente allo stesso modo in cui tutti gli automobilisti, ciclisti e pedoni sono interessati a sapere cosa sia un incidente stradale senza per questo dover conoscere l'intera rete stradale o la composizione dell'asfalto drenante o ancora il funzionamento della rete semaforica della propria città.
Allora diciamo subito che un incidente cyber è qualcosa che può accadere a tutti coloro che utilizzano uno strumento tecnologicamente avanzato senza prendere alcune minime precauzioni per la propria sicurezza, e quando parlo di strumento tecnologicamente avanzato parlo di smart phone, di smart watch, di tv connessa a internet o qualunque strumento, oggetto, robot, protesi, veicolo o "cosa" capace di ricevere dati dall'esterno, di elaborarli, di inviarne a sua volta e di compiere una qualunque azione. Una buona approssimazione di questo mondo è data da Internet.
Ma cominciamo dall'inizio, un incidente cyber può essere il blocco del cellulare a causa di un virus, il furto dei dati personali da un social network, il furto di identità avvenuto su Facebook, il rallentamento del pc con cui gioco la sera per rilassarmi dopo una giornata di lavoro, l'incidente d'auto causato da un problema alla centralina di controllo del motore, il furto di informazioni confidenziali o di brevetti, l'inefficienza di un sistema di controllo della produzione di una fabbrica di scarpe, il blocco di un software gestione delle fatture aziendale o il malfunzionamento dell'impianto dell'aria condizionata. Come vedete c'è un po' di tutto in quanto la tecnologia è impiegata ormai in tutti i campi.
La risposta alla seconda domanda, se avete capito il concetto, è semplicissima: chiunque può essere interessato ad un incidente cyber. Notate bene, ho detto chiunque, non ho detto "chi impiega strumenti tecnologici". Infatti, se un tempo chi non faceva uso della tecnologia (informatica in particolare) poteva salvarsi, da quando la società e i governi hanno cominciato a rendere i servizi al cittadino attraverso sistemi sempre più complessi e interdipendenti, tutti i cittadini possono subire un danno da un incidente cyber. Un esempio? Un vecchietto che si reca alla posta a ritirare la pensione potrebbe rientrarsene a mani vuote perché i sistemi sono bloccati (da un ransomware per esempio, più avanti vedremo di che si tratta).
Ma si pensa sempre positivo, per cui queste cose non capitano a me e non succedono in Italia. Invece no, queste cose capitano a tutti e possono accadere anche in Italia.
Sono in molti a pensare, sbagliando, di non avere niente che possa interessare un hacker per cui "io sono al sicuro".
Purtroppo questo modo di pensare porta a commettere errori molto gravi, per cui il mio consiglio è: siate sempre sospettosi… non date niente per scontato e non vi fidate mai di chi stà dall'altra parte di un computer, di una linea telefonica o di un servizio non richiesto, come da piccoli non vi fidavate di chi vi offriva una caramella!!!
In molti casi io, come chiunque di voi, non sono altro che una vittima inconsapevole di cose molto più grandi di me. Per esempio il mio computer (o il mio smart phone) potrebbe essere impiegato a mia insaputa da un hacker che sta conducendo un attacco contro una organizzazione che si trova dall'altra parte del mondo. Probabilmente io non mi renderei neppure conto della cosa se non fosse che negli ultimi giorni il mio computer è diventato molto più lento del normale… mi sarò preso un virus? La domanda sorge spontanea. Eppure, il mese scorso ho installato un ottimo antivirus che mi ha suggerito un caro amico che se ne intende, ed è pure gratis!
Non nascondo che anche io installo spesso antivirus gratuiti, o a pagamento, ma so a cosa vado incontro!
Ogni cosa che apparentemente non si paga ci costa comunque qualcosa senza che ce ne rendiamo conto. Spesso questo "qualcosa" non è altro che un pezzo di "informazione sul nostro comportamento".
Ma allora che facciamo, niente antivirus?
A questa domanda rispondo sempre che l'antivirus è utile… ma non è una soluzione se abbiamo qualcosa da difendere e ne siamo consapevoli. L'antivirus per essere efficace, anche in una azienda, deve essere solo una parte della sicurezza.

Per oggi mi fermo qui.
Qualcuno potrebbe pensare che ho detto delle banalità, delle cose ovvie. Rispondo in anticipo: si, ho detto delle cose ovvie, per chi le sa, ma non per tutti!
Spesso però dire delle banalità, come il "non accettare mai caramelle dagli sconosciuti", puo' salvare la vita per cui forse vale la pena dirle le banalità!
In ogni caso, se qualche lettore di questa nuova rubrica non ha paura a fare domande banali per soddisfare la propria curiosità, allora lasciate un commento, vi risponderò nel prossimo articolo, o quanto meno cercherò di rispondervi.
Dimenticavo, non fatevi problemi, non ci sono domande stupide, ma solo risposte stupide.

Alessandro Rugolo 

* Una APT è una forma particolarmente pericolosa di attacco, l'acronimo significa Advanced Persistent Threat. Una APT è di solito collegata ad un gruppo che agisce per conto di una organizzazione potente, spesso uno stato. Ma ne parleremo meglio più avanti...

giovedì 5 ottobre 2017

Cyber security: cos'è un SOC?

Il mondo della cyber security è ogni giorno più complesso e per riuscire a gestire i numerosi incidenti informatici sempre più organizzazioni iniziano a considerare l'ipotesi di far ricorso ai servizi di un Security Operation Center (SOC) o a realizzarne uno all'interno della propria organizzazione.
Ma cos'è un Security Operation Center?
Per fare un po di chiarezza utilizzo un documento che mi è sembrato molto chiaro e che invito a leggere: "Classification of Security Operation Centers", pubblicato nel 2013. Gli autori (Pierre Jacobs, Alapan Arnab, Barry Irwin) lavorano per il Department of Computer Science della Rhodes University a Grahamstown, in Sud Africa.
Ciò che ora ci interessa è mettere in evidenza il concetto di SOC per cui riporto il primo paragrafo del citato documento:
"A Security Operations Centre (SOC) can be defined as a centralized security organization that assists companies with identifying, managing and remediating distributed security attacks [1]. Depending on the capabilities required from a SOC by the en&terprise or client, a SOC can also be responsible for the management of technical controls. The end-goal of a SOC is to improve the security posture of an organization by detecting and responding to threats and attacks before they have an impact on the business."
Da quanto detto si capisce immediatamente che il SOC è una struttura organizzativa centralizzata che si occupa di assistere le società nella identificazione, gestione e nel porre rimedio ad attacchi di sicurezza distribuiti. Un SOC può anche essere chiamato a gestire tutti i controlli tecnici di una società che si avvale dei suoi servigi.
Il SOC può essere interno alla società e lavorare solo a supporto della stessa, o offrire servizi anche ad altre società. In ogni caso lo scopo finale di un SOC è quello di migliorare la "postura di sicurezza" di una organizzazione attraverso l'individuazione e la risposta ai rischi e agli attacchi prima che questi possano impattare sul core business dell'organizzazione.
Sarebbe meglio dire che il SOC "tende ad evitare l'impatto di attacchi informatici sul business dell'organizzazione o comunque a limitarne i danni", in quanto affermazione più realistica.
Nel documento è possibile trovare un'analisi approfondita delle funzioni e dei componenti di un SOC, ma al momento ci interessa solo il concetto suesposto.
Diciamo subito che il SOC non è una invenzione dei nostri giorni e non deriva neanche dal mondo ICT. Se ne parla da tanto negli ambienti che gestiscono la sicurezza fisica ed il mondo ICT non ha fatto altro che adottarlo.
Attualmente si parla di SOC di quinta generazione, riferendosi a strutture dotate di capacità di analisi predittive oltre che di monitoraggio e risposta.
E' opportuno mettere subito in evidenza l'aspetto, a mio parere, più importante: un Security Operation Center è una unità organizzativa complessa, generalmente centralizzata, che si occupa di identificare, gestire e porre rimedio ai problemi di sicurezza informatica ed è costituito da processi, strumenti e persone.


Mentre processi e strumenti sono tutto sommato facili da trovare e sostituire all'occorrenza, la stessa cosa non vale per le persone che devono essere preparate adeguatamente e conoscere a fondo l'organizzazione per cui lavorano.


Generalmente un SOC utilizza uno o più strumenti informatici di tipo SIEM, ovvero Security Information and Event Management, per l'aggregazione e correlazione dei dati e informazioni provenienti da differenti sistemi.
E fino ad ora abbiamo parlato di teoria...
In Italia vi sono diversi SOC gestiti da alcune delle più grandi società del mondo ICT, tra questi vi è quello della Società Engineering, quello della Italtel e quello della Leonardo.
Per capire meglio l'utilità dei SOC nella società moderna mi sono rivolto all'Ingegner Pesaresi della Engineering, ad un team Italtel e ad un team Leonardo ponendo loro alcune domande.
Ingegner Pesaresi buon giorno e innanzitutto un grazie per la disponibilità. Il cyber space è entrato prepotentemente nelle nostre vite attraverso le notizie ormai quotidiane, immagino che qualcosa di simile stia accadendo nelle organizzazioni. Quanto è importante il settore Cyber per Engineering? Per quale motivo la vostra società ha sentito la necessità di creare un SOC?


Engineering: Buon giorno, io sono il responsabile commerciale della BU Difesa e Spazio in Engineering. Nella visione Engineering la problematica della sicurezza informatica, o cybersecurity, deve essere affrontata attraverso un approccio multidisciplinare, basato sull'unificazione e integrazione di competenze di tipo legale, economico, e tecnologico, poiché è divenuto oggi evidente che l’individuazione di soluzioni efficaci e di risposte alle sfide poste in essere richiedono, oltre alle ovvie competenze in ambito ICT, anche la profonda comprensione di aspetti normativi, di dominio e la valutazione di impatti socio-economici.
In questi ambiti Engineering pone la massima attenzione alla CyberSecurity, in quanto ritenuta di primaria importanza per la protezione delle informazioni memorizzate e trattate con sistemi informatici e trasmesse attraverso le reti, con lo scopo di assicurare riservatezza, integrità e disponibilità delle informazioni.
L’offerta del Gruppo nell’ambito della Cyber Security è specializzata nella sicurezza delle applicazioni, la sicurezza perimetrale di infrastrutture informatiche, la sicurezza nello scambio di informazioni tra reti a diverso livello di classificazione e la sicurezza di infrastrutture critiche.
Il gruppo Engineering opera attraverso un network integrato di 4 Data Center dislocati a Pont-Saint-Martin, Torino, Milano e Vicenza, con un sistema di servizi e un’infrastruttura che garantiscono i migliori standard tecnologici, qualitativi e di sicurezza agli oltre 330 clienti sia in ambito nazionale che internazionale. In tale contesto, allo scopo di assicurare la necessaria cornice di sicurezza informatica ai dati ed ai sistemi dei nostri clienti, il Data Center principale di Pont Saint Martin è dotato di un Security Operation Center all'avanguardia.

Anche in Italtel potete contare su un SOC nazionale. Ciò fa pensare che il settore cyber sia molto importante, è così?


Italtel: La trasformazione digitale aumenta la superficie di esposizione agli attacchi informatici che sono sempre più evoluti. E’ quindi importante fornire soluzioni e servizi di qualità per garantire la protezione dei dati, la resilienza delle infrastrutture critiche e contrastare le minacce avanzate. La Cyber Security è pilastro fondamentale della nostra offerta rivolta alla Pubblica Amministrazione, alle aziende ed ai Service Providers, nostra storica area di forza. Nata come azienda di telecomunicazioni, Italtel da diversi anni ha diversificato la propria offerta e oggi è una multinazionale italiana nel settore dell’Information & Communication Technology e indirizza con le sue soluzioni diversi settori verticali quali: Pubblica Amministrazione, Sanità, Difesa, Finance, Energy, Industry 4.0, Smart Cities, senza tralasciare le Telecomunicazioni. I servizi di SOC di Italtel nascono già nel 2001 con l’acquisizione di SecurMatics, sviluppando l’esigenza di garantire una gestione efficace e continuativa dei livelli di sicurezza dei clienti in affiancamento ai servizi professionali di rete ed alla gestione delle infrastrutture mediante i nostri Network Operation Center (NOC) e Technical Assistance Center (TAC). Oggi il panorama delle minacce è in continua mutazione ed è quindi importante potenziare le soluzioni ed i servizi, inclusi quelli managed, in un una linea di offerta univoca rivolta alle pubbliche amministrazioni, alle aziende e ai service provider.

Ho visitato, tempo addietro, il SOC della Leonardo e ne sono rimasto colpito…


Leonardo: Leonardo garantisce le prestazioni, la continuità, l’information superiority dei sistemi dei propri clienti, oltre a proteggerne le infrastrutture e le applicazioni mediante interventi mirati. Sviluppa inoltre soluzioni digitali sicure, identificando, riducendo e gestendo le minacce, le vulnerabilità e i rischi. In questo ambito Leonardo è in grado di fornire soluzioni innovative per contrastare le minacce cyber, sempre più pervasive e strutturate, che rendono la protezione del patrimonio tecnologico, informativo e intellettuale di ogni organizzazione, civile o militare, una necessità improrogabile. Tra le realizzazioni più significative nel settore della cyber security Leonardo ha fornito un sistema “chiavi in mano” alla NATO per lo sviluppo, la realizzazione e il supporto della NATO Computer Incident Response Capability (NCIRC), che eroga servizi a oltre 70.000 utenti in 29 Paesi. La capacità di offrire protezione è accresciuta anche dalle soluzioni sofisticate di intelligence, applicabili sia a dati open source sia a fonti eterogenee, a supporto delle esigenze delle forze di polizia e agenzie investigative.


Il vostro SOC è ad uso interno o ad uso esterno? Quali sono i servizi che il vostro SOC rende? Quali sono i servizi più richiesti?


Italtel: Il nostro SOC è principalmente rivolto al mercato con servizi customizzati a seconda della tipologia dei clienti. Fondamentalmente esistono due macro gruppi di clienti tipo. Aziende di grandi dimensioni, che si sono date una adeguata security governance, hanno già internalizzato i team operativi ma richiedono all’esterno servizi o competenze specifiche che non riescono ad indirizzare, come ad esempio i servizi di Threat Intelligence o di Incident Response (IR). Aziende di medie dimensioni che ci chiedono oltre ai servizi SOC in full-outsourcing anche di avere un ruolo di partner/consulente in grado di effettuare assessments e gap-analisys continuative per aumentare il livello di protezione. Tra l’altro, mantenere un SOC operativo chiede investimenti continui sulla formazione e sulle tecnologie a supporto dell’operazione.


Qual’è invece la situazione per la Engineering? Quali sono i servizi più richiesti?


Engineering: Il nostro SOC fornisce servizi sia ad uso interno, ma soprattutto in favore dei nostri clienti, che sono distribuiti in tutte le aree di mercato e cioè Finanza, Telecomunicazioni, Utilities, Industria e servizi ed anche la Pubblica Amministrazione ai quali eroghiamo servizi a vari livelli, dalla consulenza di alto livello orientati alla definizione della governance, ai servizi di assessment, quali pentration test, vulnerabilty assesment ed ethical hacking, fino a scendere ai servizi di un SOC quali ad esempio Security Response Team, Gestione dell'infrastruttura di sicurezza e soluzioni di DDoS. Inoltre, realizziamo anche progetti specifici per i nostri clienti per implementare soluzioni di sicurezza come ad esempio Identity Access management, Strong Authentication, Mobile Device Security. Infine, ci stiamo realizzando alcuni progetti pilota di soluzione di Cyber Threat intelligence, finalizzati a prevedere in anticipo potenziali attacchi informatici.


Leonardo: Leonardo ha realizzato due SOC, uno in Italia e l’altro in UK. Il principale è quello di Chieti, un centro di eccellenza in ambito Cyber Security e Threat Intelligence, ovvero dedicato alla protezione dalle minacce cibernetiche nei principali settori di riferimento (i.e. Infrastrutture Critiche, Grandi Aziende, Pubbliche Amministrazioni, Difesa, Agenzie di Intelligence, Istituzioni nazionali ed internazionali). Presso il sito di Chieti sono allocati i principali asset di riferimento:
- SOC Business (Security Operation Center), attraverso cui viene garantita la capacità di detection e monitoraggio 24x7 per tutti i client nazionali ed internazionali di Leonardo;
- CSIRT (Computer Security Incident Response Team), attraverso cui viene assicurata la risposta tempestiva ad un attacco informatico;
- Cyber Threat Intelligence (ovvero servizi di Open Source Intelligence basati su un middleware proprietario implementato su una piattaforma di supercalcolo ad alta efficienza energetica – High Performance Computer).
Il centro operativo di sicurezza di Chieti rappresenta oggi uno dei più importanti Managed Service Security Provider (MSSP) a livello europeo, in termini di completezza del portafoglio dei servizi erogati e in relazione al numero di clienti e piattaforme monitorate. Alcuni numeri più significativi: oltre 50,000 log ricevuti, aggregati e collezionati ogni secondo; più di 30,000 eventi di sicurezza collezionati e correlati al secondo. Il SOC gestisce una media di 50 incidenti di sicurezza al giorno, applicando le principali best practice internazionali di riferimento (ad es. NIST-800-xx, ENISA) al fine di contenere gli incidenti e rispondere tempestivamente alle odierne minacce di sicurezza cibernetica. A Chieti lavorano oltre 100 esperti di sicurezza, di cui Certified Ethical Hacker specializzati in attività di Vulnerability Assessment e Penetration Test. Ogni anno sono analizzati e inviati ai Clienti oltre 500 annunci di early warning. Il sito inoltre possiede diverse certificazioni dei Servizi di Sicurezza Gestita.


Per mantenere un SOC operativo, immagino, dobbiate investire in ricerca e sviluppo. E' cosi? Quanto investite in percentuale e in quali settori del cyberspace?


Engineering: Engineering crede nella ricerca e nella necessità di trasformare il potenziale delle tecnologie informatiche in opportunità di crescita per i propri clienti attraverso l'innovazione, in un allineamento continuo con l’evoluzione di tecnologie, processi e modelli di business.
Engineering ha aperto il primo laboratorio di ricerca nel 1987 e oggi, in collaborazione con aziende, università e centri di ricerca a livello nazionale e internazionale, conta su:
  • 250 ricercatori
  • 70 progetti di ricerca in corso
  • 6 laboratori di sviluppo
  • circa 30 milioni di euro di investimenti annui in Ricerca e Innovazione.
La Cybersecurity è uno dei temi sui quali si sta investendo di più in termini di ricerca in particolare in ambito europeo, dove Engineering è presente con un laboratorio denominato IS3Lab (Intelligence Systems and Social Software) che partecipando con un ruolo di leadership ai principali progetti di ricerca finanziati in ambito Horizon2020.


Avete collaborazioni con organizzazioni di sicurezza? Che tipo di rapporti esistono tra il vostro SOC e i CERT nazionali?


Engineering: Engineering è anche uno dei soci fondatori di ECSO (European CyberSecurity Organization) che raggruppa le principali aziende europee che si occupano di sicurezza informatica, e che sta collaborando con le istituzioni europee per la definizione di una strategia comune in ambito Cybersecurity.


Leonardo: In questo settore la collaborazione è un fattore critico di successo. Collaboriamo con numerose imprese e technology provider internazionali con cui scambiamo informazioni sulle nuove minacce e vulnerabilità. Grazie alle capacità riconosciute dal mercato, siamo il partner strategico di molte tra le più importanti organizzazioni pubbliche e private in Europa e non solo. Questo ci consente di supportare tali organizzazioni nel design e nella implementazione dei loro sistemi di sicurezza informatica. Con esse possiamo scambiare informazioni come previsto dalle relazioni contrattuali. Infine, partecipiamo a gruppi di lavoro e tavoli di confronto istituzionali in Europa (ad esempio ECSO) così come in Italia e nel Regno Unito.
Un progetto di partnership importante, inoltre, è sviluppato insieme alla NATO.
Leonardo e l’Agenzia per le comunicazioni e le informazioni dell’Alleanza Atlantica (NCI - Communications and Information Agency) hanno siglato un accordo di collaborazione sulla sicurezza informatica allo scopo di condividere informazioni confidenziali per migliorare la conoscenza del contesto di riferimento e aumentare la protezione delle rispettive reti e sistemi.
Questa iniziativa di collaborazione mira alla condivisione delle informazioni sulle minacce informatiche e sulle pratiche di sicurezza da adottare e riconosce l’importanza di lavorare con partner industriali affidabili affinché l’Alleanza possa raggiungere pienamente i propri obiettivi in materia di protezione dalla cyber criminalità. Leonardo coopererà con l’agenzia NCI per comprendere meglio i modelli di minaccia e le tendenze di attacco più recenti. Ciò renderà più efficace l’applicazione di misure preventive e migliorerà le capacità dell’azienda nella salvaguardia delle informazioni, riducendo così la portata di eventuali tentativi futuri di intrusione.


In Italia qual'è il mercato dei servizi di sicurezza informatica? Visto l'aumentato interesse verso la cybersecurity, è aumentato il mercato nell'ultimo periodo?


Engineering: In Italia il mercato dei servizi della sicurezza informatica ha stentato a decollare in quanto i nostri clienti erano poco sensibili a questa tipologia di minaccia. Forse un ruolo importante lo ha giocato il gap tecnologico del nostro paese, che risulta uno dei meno connessi e quindi, intrinsecamente meno esposto a rischi informatici. Tuttavia, negli ultimi mesi, forse a causa dei recenti episodi di attacchi informatici che hanno compromesso anche la reputazione di molte aziende, la questione, che prima era vista come un problema tecnico gestito dai CIO/CSO, è salita all'attenzione dei vertici che hanno incominciato a prendere coscienza delle conseguenze in termini reputazionali che può subire un'azienda vittima di attacchi informatici. Di conseguenza il mercato italiano sembra volgere uno sguardo più attento alla questione della protezione dei dati e dei sistemi aziendali e sempre più clienti incominciano ad affrontare il problema, chiedendoci, in prima battuta attività di analisi del rischio e, successivamente, richiedendoci attività di messa in sicurezza delle loro infrastrutture ICT.


Leonardo: Nel periodo 2013 – 2018 il mercato mondiale della cyber security cresce con un tasso annuo di crescita composto (CAGR) del 10,4% fino ad un valore atteso di 80B€ nel 2018; il mercato italiano cresce con un CAGR del 8,6% per un valore pari a ca. 2B€ nel 2018. Il rapporto Assinform 2017 indica per lo scorso anno una crescita del mercato della sicurezza informatica di oltre 11%.
Nel contesto italiano, il settore Government / Defense rappresenta il 20% del mercato, mentre il cluster Business circa l’80% (di cui il settore CNI – Critical National Infrascructure – impatta per oltre la metà).


Che tipo di personale può trovare impiego in un SOC? Che tipo di studi e che specializzazioni occorrono?


Engineering: Nel nostro SOC trovano impiego ingegneri informatici specializzati in sicurezza delle reti e del software. Purtroppo queste professionalità sono difficile da trovare sul mercato perchè esistono in Italia pochi programmi di studio finalizzati a preparare ingegneri esperti in sicurezza informatica. Per far fronte a questo gap, abbiamo avviato presso la nostra Scuola ICT "Enrico Della Valle" una serie di corsi di specializzazione in cybersecurity rivolti principalmente a formare personale interno, ma aperti anche all'esterno a quelle organizzazioni che intendessero specializzare propri dipendenti.


Leonardo: Noi impieghiamo esperti di sicurezza informatica e giovani tecnici e ingegneri con conoscenza teorica degli standard e dei protocolli di sicurezza informatica, delle maggiori problematiche di sicurezza. Prediligiamo personale con elevata propensione alla risoluzione di problematiche inerenti network e security, conoscenza degli standard e delle best practice di riferimento per il governo della Sicurezza ICT, la prevenzione e la gestione degli incidenti di sicurezza informatica e conoscenza delle tematiche di sicurezza finalizzate alla protezione di reti e sistemi di controllo e automazione.


Per quale motivo i vostri clienti si sono rivolti a voi? A seguito di incidenti cyber o per prevenire problemi?


Italtel: Italtel ha tradizionalmente operato nella progettazione e realizzazione di infrastrutture di rete per service provider globali e nella nostra esperienza l’elemento della sicurezza è da sempre un fattore chiave sotto molteplici aspetti. In virtù di questa expertise molti clienti si sono rivolti a noi sulla Cyber Security perchè hanno già avuto modo di saggiare la nostra qualità del servizio nella gestione di reti complesse.


Engineering: Come si accennava sopra, la nostra azienda eroga da decenni servizi ICT tramite i propri Data Centre a clienti pubblici e privati ed in tale contesto per noi è sempre stato un "must" assicurare i massimi livelli di sicurezza logica e fisica. Molti di questi clienti gestiscono loro infrastrutture per le quali hanno sentito la necessità di migliorare i propri livelli di sicurezza. E' stato quindi quasi naturale che i nostri clienti, alla luce delle nostre riconosciute capacità, ci chiedessero consulenza in ambito cybersecurity. Tuttavia, recentemente, la nostra azienda ha avviato un'attività di promozione delle proprie competenze nel settore cybersecurity anche nei confronti di tutto il mercato.


Secondo voi qual'è la figura più importante, se esiste, all'interno di un SOC?
Se doveste rivolgervi ai giovani, invitandoli a studiare una o più materie, cosa potreste suggerirgli?


Engineering: Direi che non esiste una figura più importante delle altre. La cybersecurity è una materia multidisciplinare che richiede competenze variegate, che vanno dalla governance, alle questioni più prettamente tecniche e che coinvolgono tutta l'infrastruttura ICT, dai livelli più bassi della rete a quelli più elevati delle applicazioni.
Quindi, l'unico suggerimento che mi sentirei di dare ad un giovane ingegnere informatico è di specializzarsi in qualunque materia inerente la cybersecurity perchè sicuramente troverà un'azienda disponibile ad assumerlo.


Italtel: Se proprio dovessimo individuare una figura di rilievo, allora direi che il SOC MANAGER è il ruolo fondamentale per l’erogazione del servizio, in grado sia di governare e stimolare i security analyst nelle fasi più delicate della gestione di un incidente informatico sia nel gestire adeguatamente le comunicazioni con l’esterno.


Quali strumenti utilizzate nel vostro SOC? Quale SIEM utilizzate?


Engineering: Il nostro SOC utilizza prodotti cosiddetti "branded". Tuttavia, c'è sempre maggiore attenzione verso l'open source non solo per questioni economiche, ma anche per esigenze di "sicurezza nazionale". Infatti, la tendenza è di cercare di avere il controllo del codice sorgente anche per questa tipologia di prodotti.


Dal punto di vista normativo, la nuova norma "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali", DPCM emanato il 17 febbraio 2017 e pubblicato in Gazzetta Ufficiale, serie generale n. 87 del 13 aprile 2017, sembra promettere grossi cambiamenti, cosa ne pensate?


Italtel: Il DPCM Gentiloni migliora ed ottimizza la catena decisionale nazionale nell’affrontare il domino Cyber, terreno principale dei conflitti futuri. Inoltre il modello cooperativo e collaborativo tra le istituzioni e le infrastrutture critiche ritengo sia fondamentale per affrontare le minacce che ci attendono.


Leonardo: Con il DPCM 17/2/2017 e il successivo Piano Nazionale, il Dipartimento Informazioni per la Sicurezza (DIS) acquisisce il ruolo di guida delle attività di cyber security a livello nazionale.
Il ruolo sarà esercitato mediante due strutture dedicate rispettivamente la prima alle attività “operative” e la seconda a quelle di natura strategica ed evolutiva. In ambito operativo, viene a costituirsi un servizio di Intelligence e Sicurezza Cibernetica (NSC) con l’obiettivo di gestire h24 l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica, acquisendo le comunicazioni su violazioni o tentativi di violazione dagli organismi di informazione per la sicurezza, dalle Forze di Polizia, dalle strutture del Ministero della Difesa (che permangono separate) e dai CERT (Computer Emergency Response /Readiness Team).
E’ inoltre prevista la realizzazione di laboratori per la valutazione e certificazione nazionale per componentistica ICT di mercato destinata a infrastrutture critiche e strategiche, sviluppo di crittografia nazionale, Ricerca e Sviluppo su tecnologie sovrane.
Leonardo è in grado di mettere a disposizione competenze e servizi a supporto dell’operatività del DIS. In particolare, ciò riguarda gli ambiti di Threat Intelligence e Open Source Intelligence, modelli, soluzioni e capacità a supporto dei CERT, sistemi e servizi per l’addestramento (Cyber range / Cyber Academy), competenze di consolidamento infrastrutturale ed applicativo, competenze di “hardening” di sistemi.
Un elemento interessante è, inoltre, il centro di Ricerca e Sviluppo in tecnologie sovrane di cyber security, che sarà verosimilmente costituito nell’ottica di una collaborazione tra settore pubblico e privato, creando un ecosistema che veda la collaborazione di istituzioni, industria ed accademia.


Engineering: Senza dubbio si sentiva l'esigenza di dare una "governance" al modo della cybersecurity in ambito nazionale e la Direttiva va sicuramente in questo senso affidando al DIS un ruolo centrale di guida. Tuttavia, bisognerà fare ogni sforzo affinchè l'approccio non sia quello di trattare la materia come una questione "riservata" a pochi addetti ai lavori, ma di affrontare la questione con la massima apertura mentale possibile, coinvolgendo tutte parti in gioco sia pubbliche, ma soprattutto private.


Penso che la panoramica fatta con l'aiuto di Italtel, Engineering e Leonardo sia sufficiente a illustrare lìimportanza dei SOC e dei servizi di cybersecurity erogati per cui non resta che ringraziare tutti per la disponibilità e mi auguro che possano servire a fare un po di chiarezza nel mondo Cyber sul concetto di SOC.
I SOC, sia chiaro, sono solo un aspetto della cyber security. Network Operation Center (NOC) e Infrastructure Operation Center (IOC) con le loro varianti completano le strutture impiegate nella gestione del cyberspace e spero di poter avere l'occasione di parlarne prossimamente.


Alessandro Rugolo & Ciro Metaggiata.


Per approfondire:
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-operation-center-concepts-&-implementation;


Immagini fornite dalla Leonardo.

domenica 20 agosto 2017

Il presidente Trump eleva lo United States Cyber Command al rango di Unified Combatant Command


USCYBERCOM Seal


Che il cyberspace e le operazioni compiute attraverso questa quinta dimensione fossero cresciute di importanza era chiaro un po a tutti, però in pochi potevano immaginare una simile escalation!
Pochi anni fa gli USA creavano, sulla base di un precedente progetto dell'Air Force, lo United States Cyber Command (USCYBERCOM). Il Generale Keit Alexander ne assunse il comando nel maggio 2010 e il 31 ottobre 2010 lo USCYBERCOM raggiunse la Full Operational Capability (FOC).
Ora, dopo solo dieci anni, la promozione a "Unified Combatant Command", al pari degli attuali nove esistenti (sei con competenze areali e tre con competenze funzionali), fa capire quanto sia importante la quinta dimensione per uno Stato come l'America che ambisce a mantenere la supremazia mondiale. Lo USCYBERCOM fino ad ora era inquadrato all'interno dello US Strategic Command.

Commander's Area Map
Mappa dell'attuale suddivisione del globo tra gli Unified Combatant Command areali

Il 18 agosto il presidente Trump annuncia di aver ordinato l'innalzamento del Cyber Command a livello di Unified Combatant Command con il focus sulle cyberspace operations.

"I have directed that United States Cyber Command be elevated to the status of a Unified Combatant Command focused on cyberspace operations.

This new Unified Combatant Command will strengthen our cyberspace operations and create more opportunities to improve our Nation’s defense.  The elevation of United States Cyber Command demonstrates our increased resolve against cyberspace threats and will help reassure our allies and partners and deter our adversaries.  

United States Cyber Command’s elevation will also help streamline command and control of time-sensitive cyberspace operations by consolidating them under a single commander with authorities commensurate with the importance of such operations.  Elevation will also ensure that critical cyberspace operations are adequately funded.

In connection with this elevation, the Secretary of Defense is examining the possibility of separating United States Cyber Command from the National Security Agency.  He will announce recommendations on this matter at a later date.

Through United States Cyber Command, we will tackle our cyberspace challenges in coordination with like-minded allies and partners as we strive to respond rapidly to evolving cyberspace security threats and opportunities globally."

Questo il messaggio e ritengo sia importante notare anche l'accenno alla possibilità che lo United States Cyber Command possa essere separato dall'NSA.

Forse i recenti incidenti informatici durante le presidenziali o le fughe di notizie sulle attività Cyber condotte dalla NSA hanno avuto la loro importanza nell'indirizzare il governo in questa direzione?
Non possiamo esserne certi.
 
Certo è che il nuovo Unified Combatant Command per le cyber Operations riceverà adeguati finanziamenti per assolvere il suo nuovo compito, finanziamenti che avranno come riflesso quello di spingere in alto l'industria della cyber security americana e, più in generale, lo sviluppo di nuove tecnologie con il risultato secondario che l'Europa, già debole nel settore, si ritroverà ancora di più ai margini del mondo tecnologico.

Solo una domanda: mentre gli Stati Uniti si attrezzano per combattere nel cyberspace la guerra dell'era moderna, da noi in Italia, cosa si sta facendo?

Per approfondire:
- https://www.whitehouse.gov/the-press-office/2017/08/18/statement-donald-j-trump-elevation-cyber-command
- http://www.stratcom.mil/Media/Factsheets/Factsheet-View/Article/960492/us-cyber-command-uscybercom/
- https://www.defense.gov/About/Military-Departments/Unified-Combatant-Commands/

Alessandro Rugolo

martedì 2 maggio 2017

Locked Shield 2017: la più importante esercitazione Cyber del mondo

Foto Ministero della Difesa

Nei giorni tra il 24 e il 28 aprile si è tenuta presso il NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), in Tallin, l’esercitazione Locked Shields, la più grande e avanzata esercitazione di cyber defence al mondo.
L’esercitazione ha avuto lo scopo di esercitare gli esperti di sicurezza informatica nel proteggere i sistemi IT nazionali.
Ai team partecipanti è stato assegnato il compito di proteggere e mantenere efficienti i sistemi e i servizi di una ipotetica nazione (questi team di persone provenienti da tutto il mondo sono chiamati Blue Team). Nel corso dell’esercitazione i team sono stati sottoposti ad una serie di prove, dalla gestione di incidenti informatici a più ampie considerazioni di carattere legale, giuridico o strategico. Tutto è stato predisposto affinché l’esercitazione fosse il più realistico possibile, a tal scopo è stato fatto largo uso di tecniche di difesa e di attacco di nuova concezione e impiegate tutte le tecnologie emergenti disponibili.
Nello specifico, l’esercitazione Locked Shield 2017 consisteva nel mantenere l’operatività di reti e servizi di una base militare aerea di una nazione fittizia soggetta a complessi attacchi al sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di Comando e Controllo, alle infrastrutture informatiche critiche e così via.
Credo sia chiaro che la dimensione di questa esercitazione e la tipologia di problemi cui sono sottoposti i Blue Team pone sfide che spaziano all’interno dell’intero Cyber Space, quale che sia la definizione adottata.1
Più di 2500 possibili differenti tipologie di attacco possono essere eseguiti per testare le capacità dei Blue Team. Per questa esercitazione a partiti contrapposti infatti esistono anche i Red Team che hanno il compito opposto ai Blue Team, ovvero attaccare e distruggere (o rubare i dati, modificarli, renderli inservibili e distruggere così le capacità di Comando e Controllo avversarie), la rete e i servizi.
Oltre agli aspetti tattici dell’operazione, che mirano ad ottenere dei vantaggi pratici sul campo, una operazione di Cyber Defence (o di Cyber Attack!) può avere degli aspetti strategici per esempio agendo sul morale di una intera Nazione o mettendo alla berlina una industria mondiale del software. L’esercitazione Locked Shield quest’anno , per la prima volta, ha tenuto conto anche degli aspetti strategici di operazioni condotte nel Cyber Space.
L’esercitazione non è aperta a tutti ma la partecipazione avviene su invito. Alla attuale edizione hanno partecipato Team di 25 nazioni per un totale di 800 partecipanti. La sede stanziale dell’esercitazione è Tallin, in Estonia, ma i Blue Team hanno partecipato all’esercitazione dal proprio Paese, attraverso accessi sicuri alla rete.
L’esercitazione si è svolta in due tempi. In un primo tempo, il 18 e 19 aprile, è stata data a tutti la possibilità di esplorare la rete di esercitazione. Nel corso di tale fase i Team Blue hanno potuto costruire le mappe occorrenti per la difesa.
La seconda fase, quella attiva, ha visto impegnati i contendenti, tra questi il Blue Team italiano.
Dopo questa piccola introduzione che mira a dare a tutti un minimo di conoscenze sull’attività, ora vediamo più in dettaglio cosa è successo, attraverso la voce di alcuni partecipanti al Blue Team italiano appartenenti al gruppo di ricerca del Prof. Luigi V. Mancini del Dipartimento di Informatica della Università la Sapienza di Roma.
Professor Mancini,
come era composto il Team nazionale? Avete giocato tutti come Blue Team, è corretto?
Si. Il Team era composto da componenti della Difesa, Università ed Industrie, abbiamo lavorato tutti come Blue Team ma con compiti specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica Informazione, Ticketing etc etc.
Avete avuto a disposizione i documenti dell’esercitazione? Che tipo di documentazione vi è stata resa disponibile? Avevate, o avete ricostruito, gli schemi di rete?
Naturalmente abbiamo avuto accesso alla piattaforma condivisa utilizzata per l’esercitazione in cui avevamo una descrizione sommaria dei sistemi. Abbiamo avuto l’accesso effettivo solo con la familiarizzazione del 18-19 Aprile, a quel punto avevamo accesso ai sistemi per toccare con mano alcune configurazioni.
Avevamo lo schema di rete, non dettagliato al massimo ma con i soli sistemi che dovevano essere a noi noti. Lo schema completo, con eventuali Rouge AP o macchine non segnalate, non era noto.
Quali erano gli obiettivi del Blue Team?
Il nostro obiettivo, come Blue Team, consisteva nel monitorare la rete ed effettuare una gestione degli eventuali incidenti, sotto l’aspetto tecnico, legale e comunicativo.
Chi giocava la parte del Red Team?
Il Red Team è composto da membri delle nazioni stesse collocati a Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le relative vulnerabilità, ed in modo sistematico attacca i vari team in modo da valutare la capacità di risposta e monitoraggio.
Professor Mancini, secondo la sua esperienza, quanto può essere considerata realistica una siffatta esercitazione? Nel mondo reale il Cyberspace viene sottoposto a modifiche continue nei suoi componenti e gli eventuali attaccanti hanno dalla loro il tempo (APT è considerato il rischio maggiore), in questa esercitazione invece non vi è il tempo per studiare le abitudini degli utenti e per esplorare modalità di attacco. Questo limita fortemente le possibilità di attacco a un sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere organizzata e realizzata una esercitazione affinché sia il più possibile realistica?
L'esercitazione così composta è sicuramente un modo di addestrarsi a scenari reali, si inizia con il presupposto che i sistemi siano compromessi, quindi sicuramente una mentalità che dovrebbe essere utilizzata più spesso. La gestione di una infrastruttura complessa come quella della Locked Shield è sicuramente uno stimolo per i tecnici, e deve essere utilizzata dal sistema per sperimentare soluzioni innovative o  testare nuovi prodotti, siano essi Proprietari o Open Source. Uno degli aspetti più challenging dell'esercitazione è dato sicuramente dalle limitazioni in tempo e risorse, ad esempio il Blue Team non può monitorare tutto al meglio ma deve effettuare delle scelte ed il conseguente triage degli eventi in modo da capire cosa trattare con maggiore dettaglio o meno, il tutto garantendo l'esperienza utente, che deve continuare a lavorare senza alcun tipo di problema. Ci siamo trovati ad affrontare azioni utente che portavano rischi a livello di sicurezza, e quindi avevamo la necessità di mitigare queste azioni senza intaccare l'operatività dell'utente.
Professore,
la ringraziamo per queste sue prime risposte, sperando di poter approfondire ancora con Lei alcuni aspetti di questa esercitazione e, più in generale, di questo “cyberspace” che giorno dopo giorno stiamo cominciando a conoscere.

Alessandro RUGOLO, Ciro Metaggiata.

Note:
1Non esiste una definizione condivisa di Cyber Space. Potremmo adottare quella italiana prevista nel recente DPCM del 17 febbraio 2017 pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo spazio cibernetico come: “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Altre definizioni ufficiali possono essere reperite al link: https://ccdcoe.org/cyber-definitions.html.
Fonti:


http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-esercitazione-internazionale-tecnica-Cyber-Defence.aspx