L'approfondimento

L’evoluzione dei modelli di analisi dei rischi cyber: verso soluzioni “intelligenti”

Modelli “intelligenti” di analisi dei rischi per fronteggiare i nuovi rischi cyber: ricorrere a queste soluzioni si rende sempre più necessario data l’evoluzione delle minacce del cyber crime pronte a minare le imprese. Capaci di adattarsi ai contesti e ai processi aziendali, questi modelli rendono superato l’approccio tradizionale del risk analysis

26 Apr 2019
C
Mattia Castellano

Cyber Security Consultant, HSPI Consulenti di Direzione


L’evoluzione delle minacce del cyber crime rendono indispensabile l’utilizzo di modelli “intelligenti” di analisi dei rischi. Infatti, la gestione della sicurezza delle informazioni risulta sempre più importante e strategica di fronte alla crescente digitalizzazione delle organizzazioni, rappresentando uno dei fattori critici per il raggiungimento degli obiettivi aziendali.

I modelli intelligenti sono capaci di adattarsi al contesto aziendale e ai processi interni all’organizzazione, oltre ai fattori esogeni in grado di influenzare il profilo di rischio aziendale.

La risposta all’incremento delle cyber minacce

Aziende e organizzazioni sono chiamate ad implementare e rafforzare il loro sistema di gestione dei rischi cyber per rispondere alle nuove e crescenti necessità di sicurezza nel cyber spazio. Lo scopo è quello di controllare e governare in modo sistematico e continuativo i processi che riguardano la sicurezza di tutto il patrimonio informativo dell’organizzazione, sia dal punto di vista organizzativo e tecnico. Le attività di governo della sicurezza cyber prendono il nome di gestione della cyber security.

La consapevolezza del proprio patrimonio informativo è alla base della cyber security: le organizzazioni devono conoscere i propri asset informativi potenzialmente compromissibili da eventi dannosi e i relativi impatti (in termini economici, reputazionali, legali e operativi). Gli asset aziendali rilevanti devono quindi essere classificati in relazione alla loro criticità. Questo avviene, da letteratura, definendo tre requisiti di sicurezza delle informazioni: riservatezza, integrità e disponibilità.

L’approccio tradizionale all’analisi dei rischi

Secondo l’approccio tradizionale e gli standard comunemente implementati nelle organizzazioni, come la famiglia ISO/IEC 27001 e 27017/27018 per il Cloud,  l’analisi dei rischi fa parte del processo Gestione dei Rischi della Sicurezza delle Informazioni:

  • il primo step riguarda l’identificazione e classificazione degli asset aziendali sui quale si sceglie di effettuare l’analisi e relativi rischi;
  • il secondo step prevede l’identificazione delle minacce e vulnerabilità che potrebbero inficiare uno o più requisiti di sicurezza. Ciò avviene basandosi sulla letteratura e sull’esperienza del Risk Manager, oltre che dalle anagrafiche proposte dagli standard;
  • il terzo step prevede la stima della probabilità di accadimento di una minaccia, valutando le contromisure di sicurezza in essere capaci di mitigare il rischio.

I modelli di analisi dei rischi comunemente utilizzati sono basati su questionari, tratti dalle best practice (le famiglie ISO/IEC, i CIS Controls, NIST SP-800, etc.). Le contromisure di sicurezza sono opportunamente declinate e adattate nella realtà e contesto organizzativo in esame.

Un questionario, indirizzato a uno o più intervistati, è composto da più domande: per ciascuno si richiede una valutazione del grado di implementazione del controllo. Le risposte dell’intervistato indicano così il grado di maturità (spesso qualitativo) dell’organizzazione rispetto a quella determinata contromisura di sicurezza.

Non essendo sempre chiaramente definite le responsabilità su determinati asset o attività, può risultare difficile identificare i giusti referenti custodi della conoscenza e del sapere. Inoltre, a causa di vincoli temporali o di risorse, le informazioni raccolte sono spesso parziali e poco dettagliate. Ne conseguono risultati “aggregati” o al più medie pesate, con un alto grado di approssimazione e inefficaci al fine di un’analisi dei rischi mirata.

In secondo luogo i modelli di analisi dei rischi tradizionali si basano principalmente sull’assunto che un scostamento dalla best practice scelte come riferimento, e quindi utilizzare per generale le checklist di valutazione della maturità delle contromisure di sicurezza, equivalga a un aumento del rischio. Quest’ipotesi rappresenta uno dei limiti maggiori riguardo l’efficacia delle analisi dei rischi, essendo ancora basate sul concetto di benchmark o differenza rispetto a uno standard, spesso di industry diverse o cross-industry.

Un ulteriore limite dei modelli di analisi dei rischi tradizionale deriva dall’associazione contromisura-rischio. In un contesto in cui i rischi sono in continua evoluzione non è facile identificare una esaustiva anagrafica delle minacce, né tantomeno correlarne la probabilità di accadimento attraverso un’attenta mappatura con le contromisure.

WHITEPAPER
Sicurezza nel cloud: una guida ad architetture e soluzioni
Cloud
Sicurezza

Inoltre, le nuove minacce cyber, sempre più sofisticate ed “intelligenti”, devono poter essere identificate ed apprezzate secondo una tassonomia più granulare e specifica. Ne consegue che la mappatura fra contromisure di sicurezza e rischi può non rappresentare la realtà con la dovuta accuratezza, introducendo significative approssimazioni.

Last but not least, i modelli tradizionali di analisi dei rischi non tengono conto delle varie relazioni di dipendenza di sicurezza degli asset aziendali in perimetro. L’organizzazione dovrebbe quindi basare l’analisi dei rischi sulle informazioni ricavate dall’Enterprise Architecture, in quanto le relazioni di sicurezza possono essere estratte da un sottoinsieme delle relazioni considerate dai framework e standard di EA, ad esempio TOGAF.

Tale assunto introduce approssimazioni, non tenendo conto dei concetti di defence in depth o Castle Approach, ovvero l’esistenza di misure di sicurezza concettualmente in serie lungo le varie catene tecnologiche dell’organizzazione.

Analogia fra analisi dei rischi e modelli affidabilistici

Un approccio parallelo e potenzialmente risolutivo dei limiti sopracitati potrebbe provenire da tutte quelle discipline preventive dove è la modellazione matematica a fare da padrona, come ad esempio i modelli di previsione metereologica o i modelli affidabilistici utilizzati nella teoria dei guasti e manutentiva. Sono proprio i concetti di quest’ultima disciplina – lo studio dell’affidabilità per la comprensione dei meccanismi di guasto dei componenti – che potrebbero ispirare lo sviluppo di un modello evoluto di analisi dei rischi cyber.

In un modello affidabilistico ciascuna variabile rappresenta un componente caratterizzato da un tasso di guasto e connesso ad altri componenti. L’evento del quale si cerca di studiare il comportamento (la probabilità di accadimento) è quello del guasto dell’intero sistema, a sua volta condizionato dai guasti dei singoli componenti interconnessi fra loro secondo precise regole (in serie, in parallelo, con ridondanza  a caldo o freddo). Conoscendo a priori le curve caratteristiche che governano i guasti dei singoli componenti è possibile combinarle per ricavare l’affidabilità dell’intero sistema.

Nel mondo manutentivo è possibile ricavare le curve caratteristiche di ciascun elemento stressando i componenti, ovvero sottoponendoli a test intensivi durante i quali si replicano le condizioni reali o addirittura si simulano periodi temporali più estesi irrigidendo parametri come la temperatura ambientale. Tipici esempi di queste attività sono i cuscinetti meccanici o i componenti elettronici: da decine di anni si eseguono stress test in diverse condizioni ambientali di contesto (umidità, polvere, materiali ecc.) al fine di determinare i parametri chiave delle curve che ne descrivono il comportamento al guasto.

Nel mondo della cyber security non è invece possibile eseguire massivamente test (Vulnerability Assessment & Penetration Test) sui singoli componenti al fine di stimare la probabilità di accadimento di un evento di danno (minaccia). La motivazione principale è che le condizioni al contorno e i fattori di contesto esterni, oltre che dei componenti stessi, sono legati a fattori tecnologici in continua evoluzione e difficilmente replicabili. Ne consegue l’incapacità di generazione di una grande mole di dati significativi utili alla caratterizzazione e parametrizzazione delle “curve di cyber security” degli elementi di sicurezza aziendali.

Al giorno d’oggi è quindi possibile stimare con sufficiente precisione il Mean Time To Failure (MTTF o tempo medio al guasto) di un cuscinetto installato in un determinato macchinario, viceversa risulta molto complesso e complicato stimare la probabilità che un PC, in una determinata configurazione aziendale e condizione di contesto, sia infettato da un malware. Al fine di colmare questo gap si stanno muovendo i primi passi ed esperimenti come la Microsoft Malware Classification Challenge, una competizione nata per sfruttare le tecniche predittive basate sui big data al fine di individuare la probabilità di infezione di un PC.

Modelli “intelligenti” di analisi dei rischi cyber

Su quali principi si dovrebbero basare le modellazioni “intelligenti” e più fedelmente possibili alla realtà per l’analisi dei rischi cyber? Particolare attenzione andrebbe posta sulla modellazione capace di rappresentare l’organizzazione e gli asset significativi in perimetro, oltre che la definizione di un output utile per le fasi successive all’analisi, ovvero la valutazione e trattamento dei rischi.

Riguardo l’output si possono ipotizzare delle viste principali:

  • viste per minaccia: il principale output rappresenta una vista del profilo di rischio aziendale osservabile da determinati “angoli”, ciascuno un diverso cyber-rischio. I cyber rischi potrebbero essere identificati secondo delle tassonomie specifiche e dettagliate, ad esempio l’ENISA Threat Taxonomy;
  • viste per asset o attività di sicurezza: un secondo output rappresenta la vista dello stato di sicurezza di una porzione particolare dell’organizzazione, ad esempio solo su determinati asset e solo su determinate attività di controllo della sicurezza;
  • viste per requisito di sicurezza (R.I.D.) per asset: un’altra possibile vista è rappresentata dallo stato di sicurezza di ciascun asset e per ciascun requisito. L’organizzazione potrebbe essere interessata a stimare la perdita di riservatezza, integrità o disponibilità di taluni asset.

Per la creazione di un modello capace di generare tutte le viste si dovrebbe far uso di una opportuna rappresentazione matematica, sufficientemente articolata da gestire le viste per minaccia, per asset, controllo e requisito di sicurezza (o combinazioni di queste). Ciascuna variabile del modello dovrebbe rappresentare un elemento aziendale, opportunamente classificato per tipologia, oltre che per criticità – attingendo se disponibile dalle attività di BIA (Business Impact Analysis).

Altre variabili della rappresentazione dovrebbero esplicitare l’esistenza di una relazione di sicurezza fra due elementi aziendali. L’insieme di queste variabili fra asset di tipo diverso permetta la costruzione delle catene tecnologiche, ovvero una serie di elementi logicamente connessi il cui comportamento è rilevante ai fini della sicurezza (ad esempio, una catena tecnologica potrebbe essere attraversata dalle diverse fasi della Cyber Kill Chain). Per rappresentare le relazioni di sicurezza le variabili si può far uso di opportune mappature (matrici) o di strutture matematiche più complesse.

Definite le tipologie di asset e degli elementi in perimetro, si può procedere alla modellazione degli elementi di rischio. Ciascuna tipologia di elemento potrebbe essere vulnerabile solo a taluni tipi di minacce. Ad esempio gli elementi di tipo applicativo potranno essere associati a minacce di tipo Cross-site scripting (XSS), SQL Injection e  altre. A ciascuna minaccia si possono associare delle caratteristiche come ad esempio le capacità di propagazione, ovvero l’abilità di percorrere la catena tecnologica fino ad arrivare al target dell’attacco desiderato (ad esempio, nel caso dell’SQL Injection, fino al database applicativo contenente i dati di business critici).

Le contromisure di sicurezza

La modellazione matematica dovrà poi rappresentare le contromisure di sicurezza messe in essere dall’organizzazione, opportunamente implementate nelle relazioni di sicurezza e sugli elementi definiti del modello, al fine di contrastare la minaccia. Anche le contromisure devono essere oggetto di una calibrata classificazione. Un punto di partenza dovrebbe essere la natura della contromisura (preventiva – capace di mitigare la probabilità di accadimento di una potenziale minaccia oppure protettiva – capace di mitigare gli impatto a minaccia avvenuta).

Ciascuna contromisura di sicurezza potrebbe essere caratterizzata secondo le sue abilità o caratteristiche:

  • capacità di identificare una minaccia; le contromisure preventive capaci di identificare un pericolo (ad esempio, Intrusion Detection Systems (IDS) o Intrusion Prevention Systems (IPS));
  • capacità di annullare una minaccia: ad esempio Firewall Access Control List (ACL), proxy, patch di sicurezza;
  • capacità di distruggere una minaccia; le contromisure quali Antivirus, Enhanced Mitigation Experience Toolkit (EMET), ecc.;
  • capacità di degradare una minaccia; tutte le contromisure capaci di degradare la qualità dell’attacco (ad esempio, Tarpit, Email Queueing; Quality of Service (QoS) throttle);
  • capacità di illudere una minaccia; ad esempio Honeypot, DNS redirect e via dicendo.

Cyber Kill Chain

Un modello “evoluto” di analisi dei rischi, con l’obiettivo di rappresentare fedelmente la realtà, dovrebbe simulare in modo efficacie l’intero ciclo di vita di una minaccia, dalla nascita fino alla realizzazione. Ciò può essere realizzato ad esempio tenendo conto del Cyber Kill Chain, un framework dove si identifica ciò che gli avversari o attaccanti devono completare per raggiungere il loro obiettivo – il target dell’attacco.

Questo modello è già utilizzate in letteratura e in alcuni dei più autorevoli framework di cybersecurity per rappresentare le diverse fasi, tipicamente sette, di un attacco cyber ai danni degli asset informativi aziendali. Le fasi della Cyber Kill Chain, in accordo al modello sviluppato, sono così articolate e dovrebbero suggerire utili spunti allo sviluppo del modello “intelligente” di Analisi dei Rischi.

Fasi della Cyber Kill ChainRiflessioni sul Modello di Analisi dei Rischi
Ricognizione (1): l’attaccante cerca di carpire e raccogliere più informazioni possibili sull’azienda e gli asset esposti.Il modello di Analisi dei Rischi dovrebbe tener conto degli elementi potenzialmente esposti sul perimetro aziendale e dunque visibili dall’esterno.

Adescamento (2) e dirottamento (3): l’attaccante associa al vettore di attacco un payload malevolo e lo recapita tramite un qualche vettore di comunicazione idoneo.Il modello “intelligente” dovrebbe permettere di modellare le varie modalità di ricezione del payload (ad esempio l’invio di e-mail, url, USB malevoli, servizi di messaggistica, etc.) e gli asset passibili di dirottamento.

Exploit (4) e installazione (5): il payload viene eseguito e il codice malevolo è installato nell’asset.Il modello dovrebbe tener conto dei tipi di asset attaccabili da ciascuna tipologia di malware.

Comando e controllo (6): in questa fase viene stabilita una connessione tra l’asset compromesso ed il malintenzionato. Il canale remoto permette all’attaccante di agire sull’asset infetto.La modellazione dovrebbe prevedere i diversi canali di connessione e le relative modalità di connessione remota.
Azione/Exfiltration (7): l’attaccante, una volta ottenuto il controllo sull’asset desiderato, riesce a raggiungere l’obiettivo. La minaccia si realizza.Il modello dovrebbe prevedere i diversi target desiderati in ciascuna minaccia.

Le sfide per il prossimo futuro

WEBINAR
Network e Security Automation: i vantaggi per le aziende
Sicurezza
Software

La necessità di operare in un contesto fortemente digitale e innovativo – si pensi ai paradigmi del cloud, dell’IoT, della Blockchain e dell’Industria 4.0, si tradurrà in una maggiore attenzione alle tematiche della sicurezza informatica. Le sfide riguarderanno principalmente lo sviluppo delle capacità e competenze aziendali di previsione e analisi dei rischi cyber, oltre che il potenziamento delle capacità di risposta degli incidenti. Ciò dovrà essere realizzato in ottica di miglioramento continuo:

  • costruendo delle solide basi di Enterprise Architecture, sulle quali basare attività di cyber security e Business Continuity;
  • migliorando le capacità analitiche dell’azienda attraverso lo sviluppo, implementazione e sistematico utilizzo di un modello evoluto di analisi dei rischi cyber;
  • attraverso il miglioramento continuo e l’implementazione di azioni di miglioramento definite sulla base dell’analisi dei rischi;
  • aumentando il livello generale di awareness dell’organizzazione in temi di cyber security.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4