La cyber resiliency, secondo la definizione data dal National Institute of Standards and Technology (NIST) statunitense, è la capacità di anticipare, resistere, superare e adattarsi (anticipate, withstand, recover from, and adapt), in presenza di condizioni avverse, ad attacchi e compromissione di sistemi legati alle risorse informatiche.
La definizione è applicabile a una varietà di entità diverse: un’organizzazione, un sistema (o un suo sottoinsieme), un servizio condiviso, un’infrastruttura e perfino una nazione.
Indice degli argomenti
Cyber security e cyber resiliency: le differenze
Le caratteristiche distintive della cyber resiliency sono quelle di focalizzare l’attenzione sulla tutela del business o della missione aziendale, sulle minacce cyber in generale, ma con una particolare attenzione agli attacchi del tipo Advanced Persistent Threat (APT) e ai possibili effetti a lungo termine (privilege escalation, data exfiltration eccetera).
Il principale assunto della cyber resiliency è che l’avversario riuscirà a compromettere le difese aziendali, per quanto siano efficaci, e che manterrà la presenza nell’infrastruttura attraverso tecniche di persistenza (persistence).
Esiste, inoltre, una differenza tra cyber security e cyber resiliency. Mentre la prima parte dalla necessità di prevenire un’intrusione all’interno dei sistemi informatici di un’organizzazione, la cyber resiliency si basa sull’assunto che la possibilità di un attacco riuscito sia un’evenienza tutt’altro che improbabile. Le organizzazioni dovranno garantire la normale operatività nonostante queste condizioni avverse.
La cyber resiliency impone che le altre pratiche riguardanti la sicurezza siano presenti. Dovrà entrare in gioco quando queste pratiche avranno fallito e l’attaccante avrà fatto breccia nei sistemi di difesa.
La sicurezza tradizionale tutelerà confidenzialità, integrità e disponibilità delle informazioni, la cyber security permetterà di prevenire, individuare e rispondere tempestivamente in caso l’azienda subisca un attacco informatico. La continuità operativa avrà il compito di garantire che il normale funzionamento dell’organizzazione possa essere ripristinato in tempi brevi o possa subire contraccolpi minimi.
La cyber resiliency dovrà permeare di sé le varie pratiche elencate e avrà quindi un’importanza fondamentale nelle fasi di disegno dell’architettura e della realizzazione delle infrastrutture di sicurezza.
Cyber resiliency: l’importanza delle misure preventive
Le misure preventive dovranno rispettare la necessità di segmentare adeguatamente le risorse informatiche tenendo conto dell’importanza dei dati trattati nelle varie aree.
Segmentare le risorse significa conoscere intimamente i flussi di dati aziendali e averne previsto una classificazione (aspetto purtroppo non sempre considerato in molte realtà). La separazione non riguarderà solo le reti (attraverso VLAN, DMZ, firewall eccetera), ma dovrà rispettare i principi di need-to-know (restrizione dei privilegi d’accesso) e role-based access control (RBAC).
Attraverso la restrizione degli accessi sarà inoltre possibile contenere i movimenti laterali degli attaccanti, limitandone la pericolosità.
Dovrà essere attuata la strategia della Defense-in-Depth (che riguarda persone, tecnologie e capacità operative) per stabilire barriere su più livelli e dovrà essere favorita la comunicazione tra gli attori all’interno delle organizzazioni (includendo anche gli amministratori di sistema e non soltanto il personale preposto alla gestione degli incidenti informatici).
Favorire la comunicazione significa essere consapevoli dei propri ruoli e poter agire tempestivamente perché abituati a farlo attraverso ripetute azioni simulate nel corso dell’anno.
Nella mia esperienza personale (anche in aziende di grandi dimensioni), più volte ho esaminato piani di incident management che non prevedevano test periodici in grado di coinvolgere il personale operativo. Come pensare di poter agire rapidamente in caso di un attacco reale senza essere allenati a farlo in assenza di adrenalina? Riflettiamo se sia davvero più utile predisporre una serie di policy di facciata buone solo per gli auditor, oppure se sia il caso di porre in campo pratiche utilizzabili nei momenti critici e che siano davvero capaci di lasciare gli attaccanti fuori dalla porta.
Altre misure preventive dovranno riguardare le procedure di configurazione dei sistemi (hardening) per ridurre la superficie d’attacco, i processi di patch management e di gestione delle vulnerabilità (ancora una volta la conoscenza dei propri flussi aziendali permetterà di favorire i piani di rientro assegnando una priorità agli asset coinvolti), le strategie di backup e la definizione di un concreto Secure Software Development Life Cycle (SSDLC), quest’ultimo da estendere ai propri fornitori, nel caso non si provveda a sviluppare software all’interno della propria realtà.
Da non dimenticare, infine, la creazione di un piano di Cyber Continuity of Operations (COOP) e un monitoraggio continuo non solo dei processi, ma anche delle informazioni di sicurezza provenienti dai sistemi informatici e dalle sorgenti di threat intelligence.
Integrare il piano di cyber continuity con le informazioni derivanti dalle techniques, tactics and procedures (TTPs) utilizzate nel corso di attacchi noti, permetterà di ammantare di realismo procedure spesso ai limiti dell’astrazione. A tal proposito, ci viene in soccorso il MITRE con il suo framework ATT&CK.
Cyber resiliency e cyber continuity
Una piattaforma di Security Information and Event Management (SIEM) moderna e adeguatamente configurata, permetterà al personale di rilevare buona parte degli attacchi e favorirà la determinazione delle cause centralizzando le informazioni di sicurezza.
Gli strumenti di deception potranno invece risultare efficaci nel contrastare gli attacchi, accelerando l’identificazione degli indicatori di compromissione e delle tecniche utilizzate. Sarà quindi eventualmente possibile rallentare l’attività degli attaccanti attraverso la simulazione di servizi con vere e proprie trappole o decoy, favorendo le azioni di contrasto.
Come riprendersi da un attacco riuscito, ovvero la fase che il MITRE definisce di post-bang? Il tradizionale piano di cyber continuity dovrà essere esteso alla strategie di cyber defense e di risposta agli incidenti informatici, seguendo costantemente le evoluzioni dei vettori d’attacco usati dagli avversari e predisponendo un processo di monitoraggio continuo.
Il piano dovrà inoltre fornire meccanismi per verificare l’integrità di dati, servizi e flussi di informazioni ripristinati al termine dell’attacco. Sarà necessario accertarsi che le procedure di comunicazione usate dal personale durante le fasi di risposta agli attacchi siano sicure (prevedendo ad esempio la strong authentication), per impedire agli avversari di minare l’efficacia dell’intero processo.
Dovranno essere ripristinati i servizi chiave dell’organizzazione nel più breve tempo possibile con adeguate strategie di data recovery, minimizzando l’impatto nei confronti del personale e delle terze parti (inclusi i clienti).
Il processo dovrà prevedere il coordinamento dei ruoli interessati, la ridondanza dell’hardware del software e permettere di verificare l’integrità dei dati al termine delle fasi di ripristino per scongiurare il rischio che siano corrotti.
La fase di analisi prevista dalla gestione dell’incidente informatico dovrà verificare l’efficacia del processo e prevedere strumenti forensi per conservare le prove raccolte (tecniche di custodia), che potranno essere utilizzate dall’autorità giudiziaria. I framework di sicurezza (ad esempio la ISO 27001 e lo standard PCI DSS) ci ricordano l’importanza della post-incident review per apprendere dai propri errori, correggere le procedure di gestione dell’incidente, ma anche per rivedere l’architettura degli strumenti di difesa, se necessario. Imparare dagli incidenti introduce un processo virtuoso di miglioramento continuo che riduce la probabilità di incidenti futuri (soprattutto se integrato con il programma di gestione dei rischi) e rappresenta un fattore chiave nello sviluppo della resilienza agli attacchi.
L’approccio strutturato del MITRE
Un possibile approccio strutturato alla realizzazione della cyber resiliency ci viene fornito nuovamente dal MITRE con il Cyber Resiliency Engineering Framework (CREF), che identifica obiettivi, pratiche, domini d’applicazione, suggerisce un threat model e calcola i possibili costi per le organizzazioni.
Il framework, elaborato nel dicembre 2011, si arricchisce di un documento pratico rivolto a system architect e system engineer, contenente i principi per la progettazione della cyber resiliency (Cyber Resiliency Design Principles, gennaio 2017).
Il CREF organizza la cyber resiliency in una serie di goal, objective e technique (o anche practice). I goal del CREF permettono di definire ad alto livello il dominio della cyber resilience, includono otto objective (understand, prepare, prevent, continue, constrain, reconstitute, transform, re-architect) e sono descritti di seguito:
- anticipare (anticipate) – mantenere uno stato di “preparazione informata” per affrontare le avversità (che, come anticipato all’inizio dell’articolo, potrebbero includere anche fasi di post compromissione, quando l’attaccante ha già messo piede nei sistemi aziendali); include tre objective (che dovranno essere raggiunti):
- predire (ad esempio attraverso l’analisi di feed di threat intelligence);
- prevenire (che include le procedure di hardening dei sistemi);
- preparare (che può includere fasi di training);
- resistere (withstand) – continuare a mantenere attive le funzioni essenziali di business nonostante le avversità; gli obiettivi di questa fase sono almeno due:
- contrastare attivamente (fight through) l’attacco e mantenere attive le funzioni essenziali in presenza dell’avversario;
- contenere o rendere vane le azioni avversarie;
- ripristinare (recover) – ripristinare le funzioni essenziali di business durante e al termine delle avversità; che include altri obiettivi:
- determinare i danni alle risorse informatiche;
- ripristinare le funzionalità delle risorse informatiche;
- determinare l’affidabilità delle risorse informatiche;
- adattarsi (evolve) – adattare le funzioni di business e le capacità di supporto ai cambiamenti previsti negli ambienti tecnici e operativi; perseguire questo obiettivo significa:
- trasformare i processi esistenti (incluso il threat model);
- modificare l’architettura (valutando le vulnerabilità dei sistemi esistenti).
Schema rappresentativo del Cyber Resiliency Engineering Framework.
Gli objective del CREF sono stati pensati al fine di favorire l’ottenimento dei risultati. Sono riportate anche numerose pratiche di sicurezza operativa e gestione delle informazioni, alcune delle quali già citate nell’articolo (monitoraggio, deception, restrizione dei privilegi, segmentazione ecc.). Da notare la tecnica della unpredictability (imprevedibilità), descritta dal MITRE come la prassi di apportare modifiche frequentemente e in modo casuale, non solo in risposta alle azioni dell’avversario, al fine di disorientare l’attaccante. Alcuni esempi di comportamento “non prevedibile” sono l’impiego di porte non standard per i servizi esposti e la modifica degli algoritmi crittografici e dei meccanismi di autenticazione comunemente utilizzati.
Il framework ricorda inoltre che i costi legati all’adozione delle pratiche di cyber resiliency sono almeno di tre tipi: costi iniziali (sviluppo di procedure e acquisto di tecnologia), costi di supporto (i costi necessari per mantenere il nuovo approccio efficiente), un insieme di costi e benefici (le conseguenze dell’adozione dell’approccio possono essere positive e apportare benefici, oppure negative, e introdurre ulteriori costi).
Il framework del MITRE suggerisce un approccio organico alla cyber resiliency che potrebbe non essere universamente applicabile. Permette tuttavia d’integrarsi con altri standard di sicurezza e buone pratiche già potenzialmente adottate in azienda, senza imporre stravolgimenti e introducendo miglioramenti significativi nelle capacità di reagire ai moderni attacchi informatici.
