Il concetto di cyber security evolve in rapporto alla digitalizzazione e al progredire delle tecnologie, poiché anche le minacce cambiano: oggi la sicurezza è fondamentale sia nel settore privato che pubblico: si rende quindi necessario implementare strategie adeguate tenendo conto dell’interconnessione dei sistemi.
Indice degli argomenti
Nuove tecnologie ed evoluzione del concetto di security
Fino agli anni Novanta, si parlava di physical security e di access control. Le infrastrutture erano tra loro indipendenti e i sistemi IT adoperavano codici standard fruibili solo da una stretta cerchia di operatori.
Inoltre, i sistemi SCADA (Supervisory Control and Data Acquisition) svolgevano le loro attività in ambienti isolati. Essi erano basati su reti di comunicazione locali e chiuse e non potevano quindi subire attacchi informatici. I modelli di minaccia sviluppati erano chiari e puntuali e permettevano la definizione di politiche di sicurezza piuttosto dettagliate a livello aziendale e nazionale.
Al giorno d’oggi, con la digitalizzazione e la crescente complessità dei sistemi di comunicazione, alle minacce derivanti dalle forme “classiche” di criminalità se ne aggiungono altre di natura tecnologica, volte soprattutto alla violazione di informazioni (dati personali e aziendali).
Non solo data breach, ma anche eventi fisici di varia natura come incendi, guasti, o allagamenti, i quali possono comportare il blocco dei sistemi informativi e la mancata fruibilità di determinati servizi.
Interdipendenza tra infrastrutture critiche
Lo sviluppo e l’organizzazione dei paesi industrializzati si basa su un sistema di infrastrutture sempre più complesse e tra loro interdipendenti. Esse salvaguardano i cosiddetti servizi essenziali della società come la sanità, l’economia, l’energia, i trasporti, le telecomunicazioni, la difesa, l’ordine pubblico e, più in generale, tutti i settori della pubblica amministrazione.
Possono essere sia pubbliche che private e possono svolgere determinate funzioni ritenute fondamentali per il mantenimento della sicurezza di un paese. Ne consegue che un errore dannoso o accidentale in una di esse possa facilmente diffondersi ad altre, causando problemi anche agli utenti remoti.
Il concetto di interdipendenza fa riferimento alla relazione bidirezionale tra due infrastrutture, in cui lo stato di una influenza o dipende dallo stato dell’altra.
Nello specifico, una relazione di interdipendenza si verifica quando le operazioni della risorsa A influenzano quelle della risorsa B e le operazioni di quest’ultima influenzano a loro volta il patrimonio di A. Esistono tre tipi di interdipendenza: operativa, logica e geografica.
Il primo si verifica quando l’operazione di una dipende da quella di un’altra. Un esempio è il funzionamento delle reti di telecomunicazione, la cui funzionalità dipende proprio dalla disponibilità di energia elettrica.
Il secondo si verifica con attacchi che non solo compromettono visibilmente il funzionamento di un’infrastruttura, ma ne danneggiano anche altre, senza che vi sia alcuna dipendenza operativa tra loro.
Il terzo, invece, ha luogo quando elementi dannosi per il funzionamento di due o più infrastrutture condividono la stessa posizione geografica. Ne consegue che alcuni eventi non intenzionali possano facilmente compromettere la capacità di molteplici infrastrutture di offrire i propri servizi.
Lo scopo principale di questa fitta rete di collegamenti è quello di facilitare la condivisione di informazioni tra strutture pubbliche e private, rendendole maggiormente responsabili dello sviluppo di efficaci sistemi di protezione.
L’analisi del rischio
In un contesto in cui le minacce alla sicurezza delle informazioni sono il problema principale dell’era digitale, l’identificazione del contesto da proteggere è la fase iniziale dell’intero processo di gestione della sicurezza. Tutti i sistemi che utilizzano le tecnologie dell’informazione e della comunicazione (TIC) sono infatti esposti a malfunzionamenti e vulnerabilità che possono essere sfruttate da cyber criminali.
Basti pensare al crescente fenomeno dei cosiddetti attacchi DDoS (Distributed Denial of Service) effettuati tramite botnet, ovvero attraverso una serie di dispositivi compromessi dal malware connesso alla rete.
Un esempio emblematico è rappresentato da una botnet di origine spagnola, chiamata “Mariposa”, che nel 2009 era riuscita a penetrare quasi 13 milioni di PC, in oltre 190 Paesi, assumendone il controllo, senza che i proprietari ne fossero a conoscenza. Il pericolo principale di questa tecnica deriva dal fatto che un numero infinito di botnet “dormienti” può essere adottato per scopi criminali, terroristici o addirittura cibernetici.
Tali minacce non hanno confini geografici né tantomeno politici e la continua espansione della rete globale rende la loro identificazione sempre più complessa e meno tempestiva. Inoltre, le tecnologie per implementare un attacco ai sistemi sono ampiamente disponibili e a costi decrescenti. Per non parlare del fatto che le informazioni sui metodi di attacco sono sempre più facilmente accessibili.
Occorre una metodologia che consenta un’analisi continua, sistematica e ciclicamente ripetuta con lo scopo di ridurre i rischi, derivanti proprio dai nuovi e più ampi scenari di crisi. L’analisi del rischio è fondamentale per ottenere informazioni dettagliate sulle minacce e sulle rispettive vulnerabilità.
La seguente formula ne presenta le principali variabili:
Risk = f(Threat, Vulnerability, worst Exposure)
Il rischio è funzionale alla probabilità che un fenomeno di una certa intensità si verifichi in un certo periodo di tempo e in un certo perimetro, alla propensione di un elemento (persone, edifici, infrastrutture ecc.) a subire danni, al valore degli elementi a rischio presenti in una determinata area.
Nello specifico, le minacce si materializzano con attacchi che sfruttano vulnerabilità. Solo identificando e attenuando le vulnerabilità, un’organizzazione può impedire agli aggressori di penetrare nelle sue reti e rubare una quantità ingente di informazioni.
Il termine “vulnerabilità” fa riferimento a una debolezza intrinseca di una risorsa (ad esempio, un’applicazione software o un protocollo di rete) che può essere sfruttata, a sua volta, da una minaccia per causare un certo danno.
Quando gli sviluppatori vengono a conoscenza di un bug in un software, effettuano un aggiornamento in cui l’errore viene corretto. I bug diventano più piccoli man mano che vengono migliorati, ma il software è sempre in fase di sviluppo, quindi se ne aggiungono di nuovi.
Questo si verifica in tre modi: scrivendo un nuovo codice, facendo “refactoring” del codice esistente per ottimizzarlo, oppure attraverso sviluppatori che lo fanno deliberatamente, pagati da qualcuno come un’agenzia di intelligence.
Nel caso in cui qualcuno trovi una vulnerabilità in un software può adottare tre alternative: avvisare gli sviluppatori, creare un codice di attacco (exploit) in grado di sfruttarlo e quindi usarlo, rivendere la vulnerabilità o il suo sfruttamento a qualcun altro. In particolare, gli exploit zero-day sono i più costosi perché influenzano vulnerabilità che nessuno ancora conosce, tranne che per gli aggressori che li hanno scoperti o che li hanno acquistati da altri.
Quale strategia per colmare il gap della security
“La cyber security è la seconda emergenza in Europa, dopo il cambiamento climatico e prima dell’immigrazione”. Sono queste le parole del presidente della Commissione Europea Jean-Claude Junker nel discorso sullo “Stato dell’Unione” del 13 Settembre 2017. Nel 2018 il World Economic Forum, nel suo ultimo Global Risk Report, ha classificato i rischi derivanti da cyber attacchi al terzo posto tra i maggiori rischi globali, subito dopo disastri naturali ed eventi climatici estremi.
Secondo il rapporto per la sicurezza informatica Clusit 2018, il quale offre una panoramica di eventi cybercrime e incidenti informatici più significativi avvenuti a livello globale nell’anno precedente, al 31 dicembre 2017 risalgono ben 1.127 attacchi con una media di 94 attacchi gravi al mese.
Dobbiamo pertanto essere pronti a monitorare questo mondo in continua evoluzione attraverso un approccio multidimensionale che tenga conto di tutti gli attori in gioco: cittadini, governo, imprese e Pubblica Amministrazione con lo scopo di operare in modo sinergico per migliorare la risposta e la resilienza del Paese al rischio informatico.
Risulta fondamentale valutare il livello di sicurezza di un sistema. In tal senso, un tecnico qualificato può agire in due modi: vulnerability assessment (VA) e penetration testing (PT). Il primo consiste nell’analisi dei sistemi IT per cercare e valutare qualsiasi potenziale vulnerabilità.
Questa attività può essere sviluppata perseguendo diversi metodi, ovvero: simulare un attaccante che abbia una conoscenza completa dei sistemi (white box), oppure simulare un aggressore che non abbia conoscenza dei sistemi (black box).
La raccolta di informazioni e il conteggio dei servizi è il primo passo in questo processo. In pratica, vengono esaminati tutti gli IP determinati per scoprire quali porte sono aperte e quali servizi devono essere considerati. La rete viene analizzata al fine di determinare i sistemi e i servizi presenti. Ognuno di questi viene quindi sottoposto a tecniche di finger-printing attive (inviando richieste ai sistemi stessi) e passive (ottenendo informazioni da server pubblici come DNS), in modo da poter determinare le varie versioni del software installato.
Segue quindi l’identificazione delle vulnerabilità, in cui per ogni servizio rilevato si procede a verificare l’eventuale presenza di vulnerabilità. Durante tutto il processo di valutazione del rischio, l’attività di VA è di fondamentale importanza in quanto stabilisce le priorità in un piano di intervento volto a rafforzare e aumentare il livello di sicurezza IT.
L’esecuzione di un VA si basa esclusivamente sull’identificazione delle vulnerabilità dei sistemi informativi, quindi non prevede lo sfruttamento degli stessi per accedere al sistema. Il PT, al contrario, rappresenta un vero attacco al sistema che consente al tecnico di agire interpretando un hacker malintenzionato. L’unica differenza sarà quindi la totale assenza di rischio di compromissione per il sistema considerato.
Sostanzialmente il tecnico che esegue l’attacco di ricerca e cerca di sfruttare le vulnerabilità presenti., proverà ad accedere al sistema, sottoponendolo a tutti gli attacchi noti. Lo scopo principale sarà identificare le vulnerabilità che terze parti potrebbero sfruttare per accedere al sistema e ai servizi analizzati senza autorizzazione, causando gravi danni.
Ovviamente il test non si limiterà a identificare errori di configurazione che potrebbero compromettere, se presenti, l’integrità del sistema in questione.
La gestione di eventi ostili inaspettati con lo scopo di minimizzarne gli impatti e mantenere o ripristinare le normali operazioni all’interno di determinati limiti temporali sono elementi fondamentali da monitorare prima, durante e dopo l’attacco in questione.
L’incident response richiede un approccio proattivo, in cui centrale è il ruolo delle tecnologie di sicurezza di nuova generazione (AI, Machine Learning, Big Data). Esse permettono infatti di prefigurare con particolare accuratezza possibili scenari tramite il ricorso ad analisi statistiche e predittive.
L’incident response crea le condizioni migliori per gestire l’attacco in maniera appropriata. Preparazione, rilevamento e analisi, contenimento, sradicamento e ripristino ed attività post-incidente sono le fasi principali.
Nel caso di un attacco DDoS, la preparazione fa riferimento alle configurazioni di rete e dell’infrastruttura, il rilevamento e le analisi riguardano le fasi dell’attacco e le azioni di mitigazione; il contenimento, il rilevamento e il ripristino si occupano del blocco del traffico malevolo, le modifiche di configurazione della rete e il ripristino della configurazione standard e l’attività post-incidente ricorre alla divulgazione dell’informazione e all’eventuale contatto con le forze dell’ordine.
Per migliorare la risposta e la resilienza del Sistema Paese alle minacce, l’approccio del Business Continuity costituisce un’altra valida alternativa.
Lo standard internazionale ISO22301 la definisce come la “capacità di continuare a erogare prodotti o servizi in seguito a un incidente a livelli predefiniti accettabili”. Principale scopo è quello di assicurare la “sopravvivenza” di tutte le funzioni essenziali, identificare gli incidenti potenzialmente capaci di comprometterne la continuità, definire una struttura in grado di gestire tempestivamente in caso di interruzioni dei servizi e ridurre i rischi correlati alla continuità operativa.
Conclusioni
La sicurezza informatica diventa quindi una componente essenziale per la salvaguardia dei settori sia pubblici che privati. Occorre implementare strategie dinamiche con scambi di informazioni, intelligence e cloud computing che stiano al passo dei cambiamenti geopolitici, normativi, sociali e soprattutto tecnologici.
