Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

Valutazione del rischio cyber aziendale, gli strumenti del Center for Internet Security (CIS)

Una corretta valutazione del rischio cyber consente alle organizzazioni di definire le priorità sulle azioni da compiere e sulle risorse da mettere in campo. In questo senso, i Critical Security Controls possono essere utili a definire un percorso di difesa efficace. Ecco di cosa si tratta e come applicarli alla realtà aziendale

12 Set 2019
V

Simone Valenti

Security Consultant


Nonostante la varietà di strumenti, best practice e framework utili per la valutazione del rischio cyber aziendale, quando si tratta di proteggere la loro infrastruttura dalle intrusioni molte organizzazioni non sono in grado di definire le priorità sulle azioni da compiere e sulle risorse da mettere in campo.

In questo contesto, i Critical Security Controls (CSC) for Effective Cyber Defense rilasciati dal Center for Internet Security (CIS), sono utili per fornire un ottimo punto di partenza.

Valutazione del rischio cyber: un percorso di difesa

In particolare, essi presentano 20 controlli essenziali (ciascuno composto da sotto-controlli) finalizzati a definire un percorso di difesa efficace che un’organizzazione dovrebbe intraprendere per ridurre il rischio cyber, rafforzare la propria postura e ridurre i costi operativi.

Ciascun controllo di sicurezza deriva dai modelli di attacco più comuni evidenziati nei principali report sulle minacce e rappresenta dunque una contromisura per evitare, rilevare, neutralizzare o minimizzare i rischi di sicurezza per le risorse di un’azienda.

Il principale vantaggio dei CSC è che essi concentrano e danno priorità ad un numero minimo di azioni che risultano molto efficaci in termini di costi e benefici, tanto da rappresentare il riferimento (nella versione 6.0 pubblicata nel mese di ottobre 2015) per le misure minime di sicurezza ICT per le PA predisposte da AgID e da essere inserite tra le “Informative Reference” del Framework Nazionale per la Cybersecurity e la Data Protection.

Ad Aprile 2019, il CIS ha rilasciato l’ultima versione dei CSC, la 7.1, introducendo il concetto degli “Implementation Groups” (IGs) utili alle organizzazioni per determinare (attraverso un’autovalutazione) quali dei sotto-controlli essenziali CIS devono essere implementati per soddisfare i propri requisiti, in relazione alle risorse disponibili.

IG1, IG2 e IG3 identificano ciascuno un sottoinsieme dei controlli CIS che la comunità ha ampiamente valutato come ragionevole da implementare per un’organizzazione con un profilo di rischio e risorse simili. Ogni IG si basa sul precedente: IG2 include IG1 e IG3 include tutti i sotto-controlli CIS.

Identificare il profilo di rischio

Un’organizzazione di piccole e medie dimensioni con competenze IT e di cyber security limitate da dedicare alla protezione di risorse e personale IT, è considerata appartenente a IG1. La preoccupazione principale di queste organizzazioni è di mantenere l’attività operativa in quanto hanno una tolleranza limitata per i tempi di fermo. La sensibilità dei dati che stanno cercando di proteggere è bassa e riguarda principalmente le informazioni finanziarie e dei dipendenti. Tuttavia, potrebbero esserci alcune organizzazioni di piccole e medie dimensioni che sono responsabili della protezione dei dati sensibili e, pertanto, rientreranno in un gruppo più elevato.

Un’organizzazione IG2 impiega persone responsabili della gestione e della protezione dell’infrastruttura IT. Queste organizzazioni supportano più reparti con diversi profili di rischio in base alla funzione e alla missione del lavoro. Piccole unità organizzative possono avere oneri di conformità normativa. Le organizzazioni IG2 spesso memorizzano ed elaborano informazioni sensibili relative a clienti o società e sono in grado di sopportare brevi interruzioni del servizio.

Un’organizzazione IG3 impiega esperti di sicurezza specializzati in diversi aspetti della sicurezza informatica (ad esempio: gestione dei rischi, penetration test, sicurezza delle applicazioni). I sistemi e i dati IG3 contengono informazioni o funzioni sensibili soggette a controllo normativo e conformità. Un’organizzazione IG3 deve affrontare la disponibilità dei servizi e la riservatezza e l’integrità dei dati sensibili. Attacchi di successo possono causare danni significativi al benessere pubblico.

Valutazione del rischio cyber: i controlli di sicurezza

I 20 controlli del CIS sono ordinati per priorità in un modo tale da potersi concentrare dapprima sulle aree in cui è più importante sviluppare resistenza contro gli attacchi informatici: le prime 6 azioni sono denominate “Basic”, le azioni 7-16 sono chiamate “Foundational” e le 17-20 sono denominate “Organizational”.

I controlli di base sono caratterizzati dalla loro attenzione a garantire che le informazioni siano fornite solo agli utenti autorizzati, ma anche a un monitoraggio sistematico degli eventuali incidenti relativi al sistema. Le misure fondamentali sono azioni tecniche formulate per fornire risultati efficaci.

Queste azioni, insieme ai controlli organizzativi, sono adatte a chiunque voglia assicurarsi di aver fatto “tutto” il possibile per proteggere le proprie risorse informative.

Controlli Basic

  1. Inventory and Control of Hardware Assets: è una delle azioni di protezione primarie contro gli attacchi informatici e rappresenta ancora una sfida per le organizzazioni. Questo controllo suggerisce di creare un inventario di tutti i dispositivi presenti e consentiti sulla rete per identificare chi genera traffico. Idealmente, le organizzazioni non dovrebbero solo mantenere un inventario accurato e aggiornato dei dispositivi, ma anche essere in grado di identificare dispositivi non autorizzati attraverso l’utilizzo di sistemi attivi e/o passivi di monitoraggio della rete.
  2. Inventory and Control of Software Assets: sottolinea la necessità di sviluppare e mantenere un inventario completo e aggiornato del software installato in un’organizzazione. Qualsiasi organizzazione dovrebbe sapere quale software è stato installato sui propri sistemi, chi lo ha installato in primo luogo e quali sono le sue funzionalità. Mantenendo un inventario accurato di software autorizzato (whitelisting) e software non autorizzato (blacklisting), le Organizzazioni possono acquisire le conoscenze necessarie sul proprio ambiente interno per rispondere meglio e più rapidamente a potenziali incidenti di sicurezza.
  3. Continuous Vulnerability Management: raccomanda le organizzazioni ad eseguire periodicamente scansioni di vulnerabilità nei loro ambienti. La valutazione della vulnerabilità evidenzia le vulnerabilità che minacciano la sicurezza delle risorse chiave di un’organizzazione fornendo raccomandazioni per la riparazione (remediation). Oltre a dimostrare la dovuta diligenza e un approccio proattivo alla gestione del rischio, le organizzazioni sfruttano le valutazioni delle vulnerabilità per soddisfare i loro requisiti di conformità e intraprendere azioni per un programma completo di gestione delle stesse.
  4. Controlled Use of Administrative Privileges: raccomanda di limitare i privilegi amministrativi a livelli ragionevoli. Ciò significa che solo ai dipendenti che hanno competenze adeguate e necessità operativa per svolgere efficacemente i loro compiti, sono concessi e limitati i privilegi di amministratore. In questo modo le organizzazioni possono ridurre la probabilità di essere colpiti da alcuni degli attacchi informatici più comuni che si basano sull’inganno ai danni di un utente con privilegi di amministratore.
  5. Secure Configurations for Hardware and Software on Mobile Device, Laptops, Workstations and Servers: raccomanda le organizzazioni di configurare correttamente hardware e software mediante configurazioni sicure standard in modo da rafforzare la propria postura di sicurezza ed evitare che le loro applicazioni e sistemi operativi vengano sfruttati a causa di configurazioni vulnerabili. Esempi di configurazioni non sicure includono password e account predefiniti, protocolli non aggiornati o vulnerabili, porte aperte e software non necessario.
  6. Maintenance, Monitoring, and Analysis of Audit Logs: riguarda la raccolta, la gestione e l’analisi dei log di eventi che possono fornire informazioni rilevanti sul proprio ambiente in caso di incidente di sicurezza. Un’organizzazione che non monitora né analizza i log probabilmente avrà difficoltà a rilevare, comprendere o recuperare prove ed elementi da un attacco informatico. Mentre molte organizzazioni mantengono i propri log per soddisfare i requisiti di conformità aziendale, solo pochi hanno il tempo necessario o le competenze interne per esaminarli a fondo. A causa di processi di analisi dei log scadenti o inesistenti, gli hacker a volte controllano le macchine delle vittime per mesi o anni senza che nessuno nell’organizzazione se ne accorga.

    Controlli Foundational

  7. Email and Web Browser Protections: raccomanda di proteggere i browser Web e i sistemi di posta elettronica per ridurre al minimo la superficie di attacco e le opportunità per gli hacker di manipolare il comportamento umano (social engineering). Consentendo solo client e-mail e browser Web completamente supportati, aggiornati e approvati, le organizzazioni possono impedire ai dipendenti di diventare vittime di codice dannoso, perdita di dati e altri tipi di attacchi.
  8. Malware Defenses: riguarda la difesa degli ambienti sempre più complessi di oggi contro il malware che può entrare attraverso una varietà di punti come allegati e-mail, pagine Web, supporti rimovibili, dispositivi per l’utente finale, servizi cloud eccetera. Le soluzioni antimalware sono in grado di monitorare e rilevare software dannoso come il ransomware e abilitare difese efficaci con funzionalità di antivirus, antispyware, firewall o di rilevamento delle intrusioni.
  9. Limitation and Control of Network Ports, Protocols and Services: raccomanda la corretta configurazione e controllo delle porte di rete, come server di posta, server Web o server DNS al fine di ridurre il numero di vulnerabilità che gli aggressori possono sfruttare. Limitando l’installazione di servizi di rete predefiniti per i dipendenti, le organizzazioni possono impedire agli aggressori di tentare intrusioni con nomi utente o password predefiniti.
  10. Data Recovery Capability: raccomanda di disporre di funzionalità di recupero dei dati per facilitare il ripristino dei dati che potrebbero essere stati compromessi, alterati o cancellati. Eseguendo backup regolari delle informazioni critiche e verificando l’integrità ed il corretto ripristino dei sistemi, le organizzazioni possono recuperare più rapidamente dagli incidenti di sicurezza e soddisfare i requisiti di conformità aziendale.
  11. Secure Configurations for Network Devices, such as Firewalls, Routers and Switches: raccomanda l’implementazione di configurazioni sicure per tutti i dispositivi di rete e dei processi di gestione della configurazione e delle modifiche, al fine di ridurre al minimo il numero di vulnerabilità che gli attaccanti potrebbero sfruttare. Soprattutto porte e servizi aperti, nomi utente e password predefiniti o software irrilevante possono avere un impatto negativo sulla postura di sicurezza di un’organizzazione.
  12. Boundary Defense: per impedire agli aggressori di accedere all’ambiente interno, si raccomanda alle organizzazioni di implementare meccanismi di difesa dei confini come il monitoraggio del traffico di rete, l’utilizzo di firewall, proxy, DMZ e strumenti di rilevamento e prevenzione delle intrusioni (NIDS/NIPS).
  13. Data Protection: enfatizza la necessità di adeguate tecniche di protezione dei dati e raccomanda una varietà di metodi per garantire che i dati aziendali siano protetti in ogni momento, in linea con le rigide normative odierne di conformità. Adottando una combinazione di crittografia dei dati, prevenzione della perdita dei dati (DLP) e strategie di protezione dell’integrità, le organizzazioni possono limitare il rischio di compromissione dei dati e di estrazione.
  14. Controlled Access Based on the Need to Know: raccomanda l’accesso controllato in relazione a quali informazioni ciascun dipendente è tenuti a conoscere per svolgere il proprio lavoro. Implementando la segmentazione della rete, le comunicazioni crittografate e altri tipi di controllo degli accessi, le organizzazioni possono impedire agli aggressori di accedere facilmente alle risorse sensibili, eseguire attività dannose e interrompere il servizio.
  15. Wireless Access Control: si rivolge al controllo degli accessi wireless come mezzo efficace per prevenire e proteggere le Organizzazioni da intrusioni, furti di dati e infiltrazioni di malware. Implementando configurazioni e profili di sicurezza autorizzati per dispositivi wireless, l’accesso vietato per dispositivi non autorizzati e la scansione di vulnerabilità di rete mirata per rilevare punti di accesso wireless autorizzati e non autorizzati, le organizzazioni possono migliorare notevolmente la loro sicurezza wireless.
  16. Account Monitoring and Control: raccomanda il monitoraggio e il controllo degli account come strategia efficace per ridurre il numero di opportunità per gli hacker di sfruttare account di sistema o applicazioni inattivi. Monitorando costantemente gli account, è possibile rimuovere quelli inattivi.

    Controlli Organizational

  17. Implement a Security Awareness and Training Program: sostiene la necessità di regolari valutazioni delle competenze di sicurezza e di formazione sulla consapevolezza della sicurezza per istruire i dipendenti sull’impatto potenzialmente negativo che le loro azioni sulla rete aziendale potrebbero avere. A prescindere dal fatto che la causa principale sia intenzionale o dovuta ad un errore involontario, le organizzazioni devono garantire che tutti i loro dipendenti siano formati e applichino le conoscenze e le competenze necessarie per difendere il proprio datore di lavoro da attacchi di phishing, intrusioni e data breach.
  18. Application Software Security: sviluppato per prevenire, rilevare e correggere i punti deboli della sicurezza delle applicazioni, sia per quelle sviluppate internamente all’organizzazione o esternamente sotto contratto, sia per quelle acquisite. Il software applicativo deve affrontare la sicurezza durante l’intero ciclo di vita al fine di prevenire le vulnerabilità delle applicazioni. Per i software acquisiti (commerciali, open-source ecc.), dovrebbero essere compiuti sforzi per comprendere le pratiche del software. Ove possibile, ai fornitori dovrebbe essere richiesto di dimostrare che sono stati utilizzati strumenti o servizi di test del software commerciale standard e che non sono presenti vulnerabilità note nella versione.
  19. Incident Response and Management: risponde alla crescente necessità di meccanismi di risposta e gestione correttamente eseguiti in caso di incidenti di sicurezza. Con gli attacchi informatici in aumento, le organizzazioni devono disporre di processi e procedure definiti per rilevare gli incidenti, rispondere con precisione e mitigare gli incidenti per prevenire danni considerevoli ai loro dati e alla loro reputazione.
  20. Penetration Tests and Red Team Exercises: riguarda i test di penetrazione, che è diventato una parte essenziale delle moderne pratiche di sicurezza. Simulando un attacco, i pentester possono evidenziare debolezze nei sistemi operativi, dispositivi di rete o software applicativo. Il risultato di un test di penetrazione eseguito a fondo è una visione più approfondita dei rischi aziendali delle varie vulnerabilità. Effettuando regolarmente test di penetrazione interni ed esterni, le organizzazioni possono valutare la loro preparazione per potenziali attacchi, soddisfare i requisiti di conformità e correggere le vulnerabilità prima che gli aggressori possano sfruttarle.

In aggiunta ai controlli, il CIS ha sviluppato una specifica guida, CIS Controls Internet of Things Companion Guide, con lo scopo di definire le migliori pratiche e linee guida per l’implementazione dei Controlli CIS in relazione all’utilizzo di dispositivi dell’Internet of Things (IoT).

Valutazione del rischio cyber: automatizzare i controlli

Al fine di rendere automatizzato e veloce il processo di verifica di alcuni dei sotto-controlli CIS e di aiutare le organizzazioni nella valutazione della propria postura cyber, il CIS mette a disposizione una serie di strumenti, come i CIS Benchmarks, il CIS-CAT e il CIS RAM.

I CIS Benchmarks rappresentano le migliori pratiche per la configurazione sicura di un sistema target. Esperti IT e professionisti di cyber security hanno sviluppato linee guida di configurazione per più di 140 tecnologie tra cui sistemi operativi, dispositivi di rete, applicazioni, cloud provider, applicazioni mobili ed altro.

Scaricabili gratuitamente in diversi formati (PDF, XCCDF, Word ecc.), i CIS Benchmark rappresentano un punto di partenza per le tutte le organizzazioni in cui l’hardening dei sistemi IT rispetto agli standard noti è diventato un requisito (ad esempio lo standard PCI-DSS per la protezione dei dati nel settore delle carte di pagamento prevede lo sviluppo di standard di configurazione per tutti i componenti di sistema).

La maggior parte dei benchmark CIS include due profili di configurazione. Il profilo di livello 1 è considerato una raccomandazione di base che può essere implementata in modo abbastanza rapido. Il suo intento è quello di ridurre la superficie di attacco dell’organizzazione mantenendo le macchine utilizzabili e non ostacolando la funzionalità aziendale.

Il profilo di livello 2 prevede una difesa dei sistemi IT maggiormente profonda ed è destinato agli ambienti in cui la sicurezza è fondamentale. Le raccomandazioni associate al profilo di Livello 2 possono avere un effetto negativo sull’organizzazione se non vengono implementate in modo appropriato o senza la dovuta attenzione.

Il CIS-CAT (Configuration Assessment Tool) rappresenta una potente applicazione utile per confrontare rapidamente la configurazione di sistemi target con le raccomandazioni dei Benchmark CIS, riportando le conformità su una scala da 1 a 100.

Ad oggi esistono tre versioni di CIS-CAT:

  • CIS-CAT Lite, versione gratuita e limitata dello strumento
  • CIS-CAT Pro Assessor v3, a pagamento, che effettua valutazioni di sistemi target su rete locale
  • CIS-CAT Pro Assessor v4, a pagamento, che esegue valutazioni da remoto per alcuni sistemi target

CIS-CAT Lite e CIS-CAT Pro Assessor v3 includono sia un’interfaccia a riga di comando (CLI) che un’interfaccia grafica (GUI). CIS_CAT Pro Assessor v4 è attualmente disponibile solo mediante CLI su connessione SSH.

Un’importante utilità del CIS-CAT (solo per le versioni a pagamento) sta nel fatto che lo strumento esegue in maniera automatica, ove disponibile, la mappatura tra i CIS Controls e i CIS Benchmarks.

Il CIS RAM (Center for Internet Security Risk Assessment Method) rappresenta, infine, un metodo di valutazione del rischio per la sicurezza delle informazioni che aiuta le organizzazioni a implementare e valutare la loro postura cyber rispetto ai di CIS Controls.

Il CIS RAM, in conclusione, fornisce le istruzioni, gli esempi, i modelli e gli esercizi per condurre una efficace valutazione del rischio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5