Alessia Valentini

Alessia Valentini

Nov 29, 2017

Agire in anticipo per prevenire un attacco. Cyber threat intelligence, che cosa cambia

Sono stati divulgati gli atti del CTI-EU, l'evento organizzato a Roma da ENISA . È necessario cambiare paradigma della difesa verso proattività e assetto preventivo utilizzando strumenti di intelligence e deception

Sono state pubblicate e divulgate sul sito ENISA le presentazioni del Summit Cyber in due giornate organizzato da Enisa e ospitato nella sede della Link Campus University a Roma. I temi di riflessione del CTI –EU hanno riguardato l’information sharing, l’active defence, l’automazione della Cyber Threat Intelligence (CTI), lo sviluppo competenze sulla CTI, la formazione, la ricerca e la condivisione di buone pratiche e sono emerse esigenze tese al cambiamento di approccio alla Cyberdefence.

Assetti futuri

Il cybercrime che evolve verso il crime-as-a-service, e le caratteristiche ed utilizzi sempre piu’ diffusi del mondo sommerso costituito dal dark web e dalle dark net richiedono un cambiamento nelle modalità di difesa. In particolare analizzando la tassonomia (classificazione ad albero n.d.r.) degli attacchi di ultima generazione, che sono descritti con le macro-categorie relative ad attori, tipo di minaccia, pattern di attacco, motivazioni e targets, emerge l’esigenza impellente di un cambio di paradigma per cui si evolva:

Dalla reattività alla proattività 

La difesa in ambito Cybersecurity non può più permettersi di attendere che avvenga un attacco ma deve agire in anticipo per prevenirlo e se possibile scongiurarlo. Tecnicamente si parla del passaggio da una reactive cyberdefence verso la proactive cyberdefence.

Dal contenimento alla prevenzione

Durante un attacco informatico, gli specialisti di sicurezza informatica sono chiamati inizialmente alle azioni di mitigazione e contenimento del problema per limitare l’impatto rovinoso. Successivamente possono istituire azioni di remediation che consistono nella risoluzione del problema. Queste azioni possono essere onerose in termini di tempo e di economics, ecco perché si deve passare a misure di prevenzione che possano evitare di diventare oggetto di attacco. Tecnicamente si deve passare dalla sola damage containment verso l’aggiunta della damage prevention

Dalla sicurezza informata, alla sicurezza ragionata

In ambito sicurezza non basta più essere informati genericamente sui rischi e sugli incidenti occorsi ad altri mantenendosi aggiornati, ma è opportuno fare intelligence e addentrarsi con approfondimenti specialistici all’interno del panorama della minaccia sviscerando le tecniche e modalità di attacco per agire anticipando le mosse del potenziale avversario malintenzionato.  Tecnicamente si parla di evolvere dalla information security alla intelligent security.

Cyber threat intelligence: che cosa cambia

Attualmente qualsiasi azione difensiva non può prescindere dalla Cyber threat intelligence, che rappresenta un abilitante chiave e dovrebbe essere parte integrante del cyber risk management process. Per il futuro però è stata ravvisata l’esigenza di cambiare il modo attuale di fare cyberthreat intelligence per arrivare ad un approccio dinamico capace di tenere sotto controllo il fattore tempo, che è cruciale per l’efficacia degli interventi di mitigazione e remediation. L’intento per il futuro potrebbe essere quello di spingere la difesa verso un utilizzo di mezzi informatici attivi (ovvero codice software utilizzato come arma-cyberweapon n.d.r.) ma potrebbe riguardare maggiormente le cyber military operations poiché la normativa in ambito civile non ne permette l’uso.

Focus on Active Defence

Nell’ambito del Gruppo di Lavoro sulla Active defence Antonio Forzieri di Symantec ha sottolineato come su questo tema non ci fosse una definizione comune, e che ogni partecipante aveva in mente una cosa diversa, tanto da aver percepito un iniziale ostacolo ai lavori della sessione. “Quasi tutti pensano all’offensive security” (offendere mediante contrattacco n.d.r.) spiega “ma l’active defence ha tante sfumature ed esiste una forte contrapposizione fra la passive defence (la difesa passiva è mirata a resistere e minimizzare gli effetti e le perdite n.d.r.)  e la active offence (l’offesa attiva che consiste nel contrattacco ad armi pari o superiori n.d.r.). Invece sono tutti d’accordo su tema della deception, tema trend del momento (si tratta di una tecnologia basata sull’inganno verso gli attaccanti, che permette di rilevare, analizzare e difendere dagli attacchi zero-day e avanzati, spesso in tempo reale n.d.r.). Al termine dei lavori del GdL quindi è stato proposto un attack framework (simil ATT&CK Matrix del MITRE) in cui per ogni tipo di attacco esiste la corrispondente attività di deception che è possibile attuare.

Nel futuro si potrebbero avere aziende che offrono deception-as-a-service o active defence-as-a-service. Resta naturalmente il problema delle competenze in azienda, per cui si pensa a soluzioni hybrid per servizi comuni ed esternalizzati e a professionalità interne di alto skill capaci di controllare e sovrintendere le attività in outsourcing.

Evento Enisa

All’evento han partecipato il Cert-EU, la European Cyber Defence Agency, l’European Cybercrime Centre (EC3) dell’Europol e rappresentanti di ENISA. Tutti sono stati concordi sulla necessità di intensificare la collaborazione e migliorare i processi per lo scambio delle informazioni. In tal senso sono già stati avviati specifici progetti in linea con le linee guida EU in materia cyber security illustrate lo scorso settembre da Junker

Durante la “due giorni” sono state rese disponibili dieci aree demo legate ad altrettanti progetti Horizon 2020 centrati sul tema della Cyber Threat Intelligence.

A valle della giornata l’organizzatore Pierluigi Paganini ha riaffermato l’importanza essere presenti e collaborare sul piano internazionale, perché dallo scambio fra tutti gli stakeholder coinvolti sono emersi elementi interessanti per diversi motivi: dall’esposizione dello stato dell’arte delle metodiche di cyber threat intelligence, alla esposizione della postura in ambito cyber delle organizzazioni europee deputate alla difesa delle infrastrutture.

Approfondimenti

Per partecipare alcuni dei temi legati alla CTI ed in particolare per l’information sharing si può aderire e compilare la survey appositamente predisposta, oppure si può intervenire sulla chat specifica previa registrazione.

Tutte le slide del workshop sono reperibili alla specifica sottopagina delle presentation nel sito dedicato all’evento romano.