4.2.1. Direttiva NIS (Directive on Security of Network and Information Systems)¶

La Direttiva 2016/1148 (c.d. “Direttiva NIS”), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea, rappresenta il primo provvedimento di carattere generale adottato in ambito europeo sul tema della sicurezza cibernetica e delinea le azioni in capo agli Stati membri volte a migliorare le capacità di sicurezza dei singoli Paesi dell’Unione Europea. La Direttiva ambisce inoltre ad aumentare il livello di collaborazione nella prevenzione delle minacce cibernetiche e nell’implementazione di misure di risposta agli attacchi cyber. All’interno della Direttiva ampia rilevanza è assegnata al ruolo esercitato dai CERT, già esistenti o che verranno istituiti dagli Stati membri, cui saranno affidate funzioni di responsabilità del monitoraggio degli incidenti a livello nazionale.

Come si è visto, attraverso il D. Lgs. 65/2018, che ha recepito la Direttiva NIS all’interno dell’ordinamento nazionale italiano, è stato istituito il CSIRT Italia.

Con la Direttiva NIS il legislatore europeo ha altresì previsto che gli Stati membri si dotino di un’organizzazione in grado di vincolare gli operatori di servizi ritenuti essenziali e i fornitori di servizi digitali per l’economia all’adozione di stringenti misure di protezione. Come precedentemente illustrato, nel modello istituzionale scelto dal governo italiano, sono state designati 5 Ministeri quali Autorità Competenti NIS (Sviluppo Economico, Infrastrutture e Trasporti, Economia, Salute e Ambiente) ciascuno responsabile di specificare per uno o più settori rientrati nelle proprie aree di competenza gli operatori di servizi essenziali, definire le misure di sicurezza minime, vigilare sulla loro applicazione anche mediante ispezioni, comminare sanzioni.

Tra gli obblighi a carico degli operatori vi sarà quello di notifica“senza ingiustificato ritardo” a fronte di incidenti informatici con impatto rilevante sui servizi forniti. In tale ottica, tali organizzazioni saranno chiamate a sviluppare maggiori competenze e servizi specialistici per contrastare le minacce cibernetiche, che stanno crescendo in numero e sofisticatezza, ma non tutti gli attori che compongono il tessuto economico e sociale possiedono dimensioni, risorse umane, tecniche ed economiche sufficienti per raggiungere tale risultato. La possibilità di accedere ad infrastrutture e risorse specializzate, messe a disposizione dai CERT, costituisce un elemento chiave per l’innalzamento del livello di sicurezza collettivo.

4.2.2. Ulteriori fonti¶

L’impianto normativo e regolamentare precedentemente illustrato si arricchisce di ulteriori prescrizioni ed indicazioni nelle forme di leggi e “soft law”, sia a livello internazionale che nazionale, che devono essere debitamente tenute in considerazione ai fini dell’operato dei CERT. Tali fonti presentano un ambito di applicazione generale sui temi di cyber security ma anche più specifici su ambiti come l’analisi forense, le modalità di contrasto al cyber crime, il cyber warfare e le attività di intelligence.

Una lista, non esaustiva, dei provvedimenti più significativi in materia, è fornita a seguire, riportando una breve descrizione degli stessi ed alcuni riferimenti utili per un loro eventuale approfondimento.

4.3.1. Organizzazioni CERT¶

CERT-EU [31]

CERT EU è il team permanente di risposta alle emergenze informatiche per le istituzioni, le agenzie e gli organismi dell’Unione Europea. Il team è composto da esperti di sicurezza informatica delle principali istituzioni dell’UE (Commissione europea, Segretario Generale del Consiglio, Parlamento Europeo, Comitato delle Regioni, Comitato Economico e Sociale). Il CERT EU collabora strettamente con gli altri CERT degli Stati membri e con società specializzate nella sicurezza informatica. La sua constituency è composta da tutte le Istituzioni ed Agenzie dell’Unione Europea.

CERT-GARR [32]

CERT specializzato nella prevenzione e gestione degli incidenti di sicurezza informatica che coinvolgono gli enti collegati alla rete GARR (Rete Italiana dell’Università e della Ricerca). Offre alla sua comunità una vasta gamma di servizi, alcuni dei quali strettamente legati alla gestione e all’ampliamento della rete, ed altri, più orientati all’utilizzo della rete da parte degli utenti finali.

Con riferimento ai servizi in ambito cyber security il CERT assiste gli utenti nella gestione di incidenti di sicurezza informatica e nella realizzazione di misure di prevenzione. Il servizio diffonde informazioni sulle vulnerabilità più comuni e sugli strumenti di sicurezza da adottare; emana direttive sui requisiti minimi di sicurezza per le macchine con accesso alla rete e ne verifica il rispetto. Inoltre può essere richiesta dai referenti tecnici locali delle organizzazioni connesse a GARR l’esecuzione di test vulnerabilità sulle macchine della rete (SCARR, Scansioni Ripetute a Richiesta).

4.3.2. Associazioni / Centri di competenza¶

ENISA (European Network and Information Security Agency) [33]

L’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione è un centro di competenza per la sicurezza informatica in Europa. L’ENISA contribuisce attivamente alla creazione di un elevato livello di sicurezza delle reti e dell’informazione (NIS) all’interno dell’Unione, allo sviluppo di una cultura della NIS nella società, contribuendo così al corretto funzionamento del mercato interno. L’Agenzia lavora a stretto contatto con gli Stati membri ed il settore privato per fornire consulenza e soluzioni. Ciò include le esercitazioni paneuropee sulla sicurezza informatica, lo sviluppo delle strategie nazionali di sicurezza informatica, la cooperazione e lo sviluppo di capacità dei CSIRT, ma anche studi sull’adozione sicura del cloud, risposta a problemi di protezione dei dati, tecnologie di miglioramento della privacy, ecc. ENISA sostiene inoltre lo sviluppo e l’attuazione delle politiche e del diritto dell’UE in materia di NIS.

CERT-Coordination Centre (CERT-CC) [34]

Il CERT Coordination Center è il centro di coordinamento del team di risposta alle emergenze informatiche (CERT) per il Software Engineering Institute (SEI) della Carnegie Mellon University, un centro di ricerca e sviluppo finanziato dagli Stati Uniti senza fini di lucro. Il CERT / CC ricerca le vulnerabilità che influiscono sulla sicurezza di software e Internet, pubblica ricerche e informazioni sulle sue scoperte e collabora con aziende e enti pubblici per migliorare la sicurezza del software e di Internet nel suo complesso.

Gli esperti CERT sono un gruppo eterogeneo di ricercatori, ingegneri informatici, analisti della sicurezza e specialisti di intelligenza digitale che lavorano insieme per ricercare vulnerabilità di sicurezza nei prodotti software, contribuire a cambiamenti a lungo termine nei sistemi di rete e sviluppare informazioni e formazione all’avanguardia per migliorare pratica di cyber security.

L’acronimo CERT è un marchio registrato della Carnegie Mellon University e pertanto l’utilizzo dello stesso deve essere autorizzato dall’Ente in questione.

FIRST (Forum of Incident Response and Security Teams) [35]

Confederazione di team certificati di sicurezza e risposta agli incidenti che gestisce in modo cooperativo incidenti di sicurezza informatica e promuove programmi di prevenzione. L’obiettivo di questa organizzazione è incoraggiare la cooperazione tra i diversi team tramite un mutuo scambio di informazioni, attività di ricerca congiunte e l’attuazione di strategie comuni di difesa in caso di attacchi su vasta scala.

Ad oggi raccoglie più di 400 membri a livello mondiale appartenenti all’ambito governativo, al mondo delle imprese e al settore accademico.

Trusted Introducer [36]

Trusted Introducer (TI) è un ente fondato in Europa nel 2000 con lo scopo di favorire e rendere efficace la cooperazione tra i vari CERT, aumentando conseguentemente il livello generale di sicurezza. Il TI alimenta una rete di fiducia con servizi specializzati aggiuntivi disponibili a tutti i team di sicurezza e risposta agli incidenti informatici accreditati e certificati sulla base delle best practices sviluppate e verificate nel corso degli anni all’interno della community.

Per raggiungere i propri obiettivi, il TI fornisce a tutti gli utenti l’accesso gratuito al database contenente l’elenco di tutti i team di risposta conosciuti e registrati che sono supportati dalla community del TI, fornendo una panoramica aggiornata del livello di maturità e capacità mostrato. Tali organizzazioni sono indicizzate all’interno del database per tipologia, paese o status.

MITRE [37]

MITRE è un’organizzazione americana no profit che opera nell’interesse pubblico di tutti i governi federali, statali e locali, nonché dell’industria e del mondo accademico. La società è responsabile della gestione di centri di ricerca e sviluppo finanziati a livello federale (FFRDCs), ovvero organizzazioni speciali incaricate della promozione di collaborazioni volte e risolvere problemi su larga scala. Esse fungono da partner strategici a lungo termine per il governo, fornendo una guida obiettiva in un ambiente privo di conflitti di interesse. Lavorano con i loro partner governativi, chiamati anche sponsor, per fornire assistenza in ambito di ingegneria dei sistemi e integrazione, ricerca e sviluppo, studio e analisi. Attraverso i FFRDC e le partnership pubblico-private, MITRE si pone l’obiettivo di affrontare i problemi che mettono in discussione la sicurezza, la stabilità ed il benessere dei cittadini. I settori interessati sono: Difesa e Intelligence, Aviazione, Sistemi civili, Sicurezza Nazionale, Giustizia, Sanità e Cyber security.

NIST (National Institute of Standards and Technology) [38]

Il NIST è un’agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie. Fa parte del Dipartimento del Commercio e il suo compito è la promozione dell’economia americana attraverso la collaborazione con l’industria al fine di sviluppare standard, tecnologie e metodologie che favoriscano la produzione e il commercio. Tra i contributi più significativi vi è lo sviluppo del Cybersecurity Framework, pensato per supportare le agenzie governative e le organizzazioni private a gestire i rischi legati alla sicurezza informatica.

OWASP (Open Web Application Security Project) [39]

Organizzazione no profit a livello mondiale incentrata sul miglioramento della sicurezza del software. L’obiettivo è certificare la sicurezza del software, per permettere agli individui ed alle organizzazioni di prendere decisioni informate. Operando come una comunità di professionisti, OWASP rilascia strumenti software e documentazione basata sulla conoscenza della sicurezza delle applicazioni.

ISACA (Information Systems Audit and Control Association) [40]

ISACA è un’associazione mondiale non a scopo di lucro forte di 140.000 professionisti diffusi in 180 paesi, che contribuisce a migliorare e globalizzare le capacità professionali di guida, adattamento e assicurazione nel campo dell’IT Audit, dell’IT Governance e della cyber security. ISACA, inoltre, sviluppa e attesta le conoscenze e competenze critiche per le imprese attraverso alcune certificazioni affermate in tutto il mondo.

ECSO (European Cyber Security Organization) [41]

L’Organizzazione europea per la sicurezza informatica è un’organizzazione senza scopo di lucro completamente autofinanziata. ECSO rappresenta la controparte contrattuale della Commissione europea per l’attuazione del partenariato pubblico-privato della Cyber Security. I membri dell’ECSO comprendono un’ampia gamma di parti interessate quali grandi aziende, PMI e start-up, centri di ricerca, università, utenti finali, operatori, cluster e associazioni, nonché amministrazioni locali, regionali e nazionali degli Stati membri dell’UE, parte dello Spazio economico europeo (SEE), l’Associazione europea di libero scambio (EFTA) ed i paesi coinvolti nel programma Horizon 2020.

CLUSIT (Associazione Italiana per la Sicurezza Informatica) [42]

Nato nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.

Tra gli obiettivi dell’Associazione, vi sono quelli di: diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini, anche attraverso la definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza; partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello nazionale che europeo; promuovere l’uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.

OCS (Osservatorio della Cybersecurity) [43]

Osservatorio nato e che opera all’interno dell’Istituto di Informatica e Telematica dell’Area della ricerca di Pisa del Consiglio Nazionale delle Ricerche (IIT-CNR). L’OCS fornisce delle informazioni analitiche, ottenute attraverso il coinvolgimento di esperti all’interno del campo della sicurezza informatica, per i diversi stakeholder tra cui enti pubblici ed imprese. Il ventaglio delle attività dell’OCS, fa leva su diversi asset di competenze e di ricerche sviluppate all’interno dello IIT-CNR.

Tra le principali attività dell’OCS, c’è quella di monitorare la crescita delle vulnerabilità, delle minacce e degli attacchi sulla rete, utilizzando diverse sorgenti, che siano pubbliche e private. In particolare, tali sorgenti utilizzeranno un meccanismo di raccolta dati processati in maniera semi-automatica o automatica. Altri servizi dell’OCS, sono l’utilizzo dei social-network e blog relativi alla sicurezza informatica per conoscere e comprendere nuove minacce e la loro ampiezza e velocità di diffusione e quello dell’analisi dei tweet che utilizzano parole chiave relative al dominio della Cyber-Security.

A vantaggio delle PMI è previsto un servizio di “self assessment”, che offre uno strumento semplice e rapido per l’autovalutazione del calcolo del rischio cibernetico. Richiede due tipi di input: quelli relativi alle misure di sicurezza e quelli sulle risorse dell’azienda. A questionario completo, il servizio stima le perdite annuali previste per ogni minaccia e inoltre fornisce un valore sul rischio totale.

4.4.1. Framework e Linee Guida¶

ISO/IEC 27001

Lo standard ISO/IEC 27001 è una norma internazionale che definisce i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (SGSI o ISMS, dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa. L’obiettivo principale è quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset informatici da minacce di diverso tipo, al fine di assicurarne l’integrità, la riservatezza e la disponibilità, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni. La norma è applicabile a tutte le imprese private o pubbliche, in quanto prescinde da uno specifico settore o dall’organizzazione dell’azienda.

I requisiti proposti dallo standard sono di due tipi:

• requisiti di sistema, quali quello di stabilire le politiche e gli obiettivi, condurre il processo di risk assessment e pianificare il trattamento del rischio, gestire la documentazione e le registrazioni, ecc., e presentati dai capitoli 4 e 8 della norma;
• controlli di sicurezza, di tipo tecnico, amministrativo e gestionale (35 obiettivi di controllo e 114 controlli in totale) riportati all’interno dell’Annex A, ed approfonditi separatamente dalla linea guida ISO/IEC 27002, che presenta delle best practices per la loro implementazione. Con riferimento ai controlli, alcune sezioni possono essere di specifico interesse per un CERT, quali a titolo esemplificativo – ma non esaustivo:
  • controlli legati al processo di gestione degli incidenti, volti a favorire l’adozione di un approccio coerente ed efficace alla gestione degli stessi e per la loro comunicazione verso tutte le parti interessate;
  • controlli legati al personale, volti ad assicurare che i dipendenti e tutte le terze parti gli appaltatori comprendano le proprie responsabilità e siano idonei rispetto ai ruoli per i quali sono considerati (si pensi alle abilitazioni di sicurezza richieste per poter trattare informazioni classificate, quali il Nulla Osta di Sicurezza, NOS).

ISO/IEC 27032

La Linea Guida ISO/IEC 27032 «Information technology – Security techniques – Guidelines for cybersecurity» fornisce indicazioni per migliorare il proprio stato di cyber security (o “cyberspace security” [44]). Delinea gli aspetti peculiari di tale attività e propone buone pratiche di sicurezza per operare nel cyberspace. In particolare, all’interno della linea guida sono forniti i seguenti contributi:

• panoramica generale sulla Cybersecurity;
• spiegazione della relazione tra Cybersecurity e gli altri domini di sicurezza, quali la sicurezza delle informazioni, la sicurezza delle applicazioni, la sicurezza della rete e la sicurezza dei servizi esposti su Internet;
• definizione delle parti interessate e una descrizione dei loro ruoli per la Cybersecurity;
• guida per affrontare problemi comuni di Cybersecurity;
• quadro di riferimento per consentire alle parti interessate di collaborare alla risoluzione dei problemi di sicurezza informatica.

ISO 31000

La norma ISO 31000 «Risk management - Principles and guidelines”, è una guida che fornisce principi e linee guida generali per la gestione del rischio. È stata pubblicata per la prima volta il 3 novembre 2009, ma è stata rivista e riaggiornata in una nuova versione a febbraio 2018. Può essere utilizzata da qualsiasi organizzazione e non è specifica per industria o settore. La ISO 31000 può essere applicata nel corso dell’intero ciclo di vita di un’organizzazione, ed essere adottata per molte attività come la definizione di strategie e decisioni, operazioni, processi, funzioni, progetti, prodotti, servizi e beni. Può inoltre essere applicata a qualsiasi tipo di rischio, sia per conseguenze di tipo positivo che negativo.

Il modello gestionale di gestione del rischio proposto dalla norma si basa sulla relazione tra:

• Principi su cui si fonda il modello di risk management per creare valore nell’organizzazione e garantire l’adeguato livello di protezione, tra cui la governance, gli aspetti umani e culturali, la tempestività, il coinvolgimento di tutte le parti interessate, ecc.
• Struttura, ovvero le componenti del framework di risk management, rappresentate dall’integrazione, dalla progettazione, dall’implementazione, dalla valutazione e dal miglioramento continuo, che sono coordinate dal top management, che deve garantire leadership ed impegno.
• Processo di gestione dei rischi, che deve essere una disciplina di uso quotidiano, comprensibile sia alla Direzione sia al personale operativo su tutti i livelli. È articolato nelle fasi di identificazione, analisi, valutazione e trattamento dei rischi [45].

ISO 15408

Lo standard internazionale ISO 15408 [46] recepisce i cosiddetti“Common Criteria”, ovvero l’insieme dei criteri e dei principi generali per la valutare l’affidabilità di un prodotto informatico dal punto di vista delle misure di sicurezza implementate. In particolare, l’adozione dei Common Criteria garantisce che il processo di specificazione, implementazione e valutazione di un prodotto informatico dal punto di vista della sicurezza sia stato condotto in modo rigoroso, standard e ripetibile ad un livello commisurato all’ambiente di destinazione per l’uso.

Lo standard prevede sette livelli di garanzia crescenti, da EAL1 (Evaluation Assurance Level) a EAL7, dipendenti dall’estensione e formalità della documentazione usata in fase di analisi e sviluppo, nonché dalle modalità seguite nello sviluppo. Per avere prodotti rispetto ai quali avere un buon livello di fiducia, questi dovrebbero essere valutati almeno a livello EAL4 (quello a partire dal quale i valutatori iniziano ad analizzare il codice). Livelli superiori sono ovviamente migliori ma, data la complessità, i costi crescono notevolmente e sono giustificati solo se opportune analisi del rischio lo suggeriscono. Sono previsti ulteriori 3 livelli, utilizzati esclusivamente per prodotti che integrano prodotti diversi denominati CAP (Composed Assurance Level) dal livello A al C, validi solo ed esclusivamente per prodotti già certificati e non sottoposti a ulteriori sviluppi per la loro integrazione.

I prodotti e sistemi da certificare sono detti Oggetto di Valutazione oppure Target of Evaluation (TOE). I requisiti di sicurezza per una tipologia di prodotto o sistema sono descritti nel documento denominato Protection Profile (PP) o Profilo di Protezione (PP).

In Italia l’OCSI [47] (Organismo di Certificazione della Sicurezza Informatica) gestisce lo Schema Nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione, istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004). L’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione) del Ministero dello Sviluppo Economico è, per decreto, l’Organismo di Certificazione della Sicurezza Informatica nel settore della tecnologia dell’informazione.

Oltre ad aver predisposto le Linee Guida per la conduzione dei processi di valutazione e certificazione, l’OCSI gestisce l’accreditamento, la sospensione e la revoca dell’accreditamento dei Laboratori per la Valutazione della Sicurezza (LVS) e degli Assistenti di Sicurezza.

ISO/IEC 27035 [48]

Lo standard ISO/IEC 27035:2011 dal titolo “Information security incident management” fornisce delle linee guida per l’implementazione di procedure e controlli al fine di creare un approccio strutturato per la gestione degli incidenti informatici. Tale standard ha come obiettivo la minimizzazione degli impatti negativi che un incidente informatico può avere sul business aziendale, attraverso il contenimento dell’incidente, la rimozione della causa scatenante, l’analisi delle conseguenze e il successivo controllo di non occorrenza. Per poter garantire il raggiungimento degli obiettivi appena descritti il processo di gestione degli incidenti viene suddiviso in cinque fasi, ciascuna contenente determinate attività, incluse in un ciclo che dall’ultima ritorna poi alla prima:

• Pianificazione e preparazione:
  • politiche di gestione degli incidenti di sicurezza;
  • politiche di gestione della sicurezza e dei rischi;
  • sistema di gestione degli incidenti di sicurezza;
  • formazione del CERT/CSIRT/IRT;
  • supporto (tecnico e di altro tipo);
  • formazione sulla consapevolezza nella gestione degli incidenti di sicurezza;
  • test del sistema di gestione degli incidenti di sicurezza.
• Scoperta e notifica: scoperta di un incidente e notifica alle appropriate funzioni aziendali.
• Valutazione e decisione: valutazione dell’evento e decisione di classificarlo come evento di sicurezza o meno.
• Risposta:
  • risposte agli incidenti di sicurezza informatica, ivi incluse operazioni di analisi forense;
  • riprendersi da un incidente di sicurezza informatica;
  • eventuali attività di investigazione, ove necessario
• Lessons learnt:
  • analisi forensi più approfondite (se necessario);
  • identificazione della lezione appresa;
  • identificazione e attuazione dei miglioramenti al sistema di sicurezza;
  • identificazione e attuazione dei miglioramenti alle valutazioni dei rischi di sicurezza;
  • identificazione e attuazione dei miglioramenti al sistema di gestione degli incidenti di sicurezza.

ISO 27005 [49]

Lo standard ISO 27005 dal titolo “Information technology – Security techniques – Information security risk management”, aggiornato nel 2018, fornisce le linee guida per la gestione dei rischi relativi alla sicurezza delle informazioni e supporta i concetti generali specificati nello standard ISO/IEC 27001, con il quale si integra, con l’obiettivo di aiutare le organizzazioni nella tutela della sicurezza delle informazioni mediante un corretto approccio alla gestione del rischio.

Seguendo lo schema, il contenuto della ISO/IEC 27005 è suddiviso in 6 capitoli (quelli dal 7 al 12):

• stabilire il contesto;
• valutare il rischio (a sua volta suddiviso nelle tre sezioni relative all’identificazione, analisi e ponderazione del rischio);
• trattare il rischio;
• accettare il rischio;
• comunicare il rischio e consultare le parti interessate;
• monitorare e riesaminare il rischio.

Promuove un approccio alla valutazione del rischio basato sull’identificazione di asset, minacce e vulnerabilità, peculiare per la l’analisi dei rischi di sicurezza delle informazioni. Propone in appendice utili strumenti a supporto delle attività operative che approfondiscono ulteriormente alcuni aspetti della gestione del rischio (es. lista di minacce; tecniche di analisi dei rischi; ecc.).

ISO 29147 [50]

Lo standard ISO/IEC 29147:2018 dal titolo “Information Technology – Security Techniques – Vulnerability Disclosure” delinea le modalità con cui fornitori di hardware e software e qualsiasi altra organizzazione che fornisce strumenti e/o applicazioni possono integrare il processo di gestione della divulgazione delle vulnerabilità nei loro normali processi aziendali.

In particolare fornisce delle linee guida su:

• su come ricevere informazioni relative a potenziale vulnerabilità nei prodotti o servizi online;
• su come divulgare le informazioni sulla risoluzione delle stesse;
• gli elementi informativi che dovrebbero essere prodotti attraverso l’implementazione del processo di divulgazione delle vulnerabilità e esempi di contenuto che dovrebbero essere inclusi negli elementi informativi.

ISO 27037 [51]

Lo standard ISO 27037:2012 dal titolo “Guidelines for identification, collection, acquisition, and preservation of digital evidence”, fornisce delle linee guida relative alla gestione delle potenziali prove digitali, concentrandosi in particolar modo sulle fasi di identificazione (ispezione), raccolta (sequestro), acquisizione (sequestro virtuale) e preservazione (conservazione e sigillo). Per ogni fase vengono indicate le best practices riconosciute per permettere che la potenziale prova possa essere utilizzata efficacemente in sede processuale, tenendo conto delle possibili (e più comuni) situazioni che l’investigatore può trovarsi a dover affrontare, come ad esempio:

• attività di base e aggiuntive relative a raccolta di sistemi digitali che vengono trovati accesi;
• attività di base e aggiuntive relative ad acquisizione di sistemi digitali che vengono trovati accesi;
• attività di base e aggiuntive relative a raccolta di sistemi digitali che vengono trovati spenti;
• attività di base e aggiuntive relative ad acquisizione di sistemi digitali che vengono trovati spenti;
• attività di raccolta o acquisizione di sistemi collegati in rete.

Vengono inoltre definite tre figure chiave, che si occupano e sono responsabili degli aspetti di gestione della prova digitale menzionati sopra:

• il DEFR o Digital Evidence First Responder è un soggetto autorizzato, formato e qualificato ad agire per primo sulla scena di un incidente per eseguire attività di raccolta ed acquisizione delle prove avendone inoltre la responsabilità di corretta gestione; è l’operatore che si approccia per primo ai sistemi (supporti di memorizzazione e dati) di potenziale interesse.
• il DES o Digital Evidence Specialist è un soggetto che ha le capacità di eseguire le stesse attività eseguite da un DEFR ed in più possiede conoscenze specialistiche ed è in grado di gestire una moltitudine di problematiche tecniche, ad esempio è in grado di portare a termine attività quali acquisizione di rete, di memoria RAM ed ha ampia conoscenza di sistemi operativi e/o Mainframe;
• l’Incident Response Specialist, che normalmente è una figura professionale interna all’azienda che si occupa del primo intervento post incidente informatico. Questa figura coincide spesso, in contesto aziendale, con l’amministratore dei sistemi informativi. La sua principale attività consiste nel mantenere operativi i sistemi informativi, per cui spesso, dopo il verificarsi di un incidente informatico, la sua attività va contro quella di un DEFR o DES poiché il ripristino dell’operatività dei sistemi può portare facilmente alla perdita di potenziali prove.

Sia DEFR che DES hanno il compito di portare a termine il lavoro nel miglior modo possibile, utilizzando al meglio le linee guida fornite dallo standard, che vanno comunque integrate con le normative in vigore all’interno dello Stato in cui essi operano, dato che gli standard di questa serie hanno carattere generale e quindi non sono legati ad uno specifico ordinamento giuridico.Le modalità con cui procedere alle successive attività di analisi e interpretazione delle prove digitali e di comunicazione dei risultati sono definite nello standard ISO 27042:2015 “Information technology – Security techniques – Guidelines for the analysis and interpretation of digital evidence” [52].

4.4.2. Standard tecnici¶

Nonostante i numerosi protocolli definiti negli ultimi anni per la condivisione delle informazioni utilizzate nell’analisi e nella risoluzione di un incidente, pochi sono attualmente divenuti gli standard de facto. Si raccomanda dunque ai CERT la conoscenza di tali protocolli per la corretta interpretazione e gestione delle informazioni ricevute.

In questo paragrafo saranno descritti i principali standard utilizzati per la classificazione e condivisione di informazioni da e verso il CERT.

Protocollo TLP

Le informazioni da condividere devono essere classificate in base al loro livello di sensibilità e, qualunque sia il metodo, dovrebbe poter essere utilizzato da entrambi i settori pubblico e privato senza la necessità di rimandi ai loro schemi di classificazione delle informazioni. Per essere univoci ed avere una base comune nel processo di condivisione delle informazioni spesso si utilizza un codice-colore abbinato alle informazioni di incidente, chiamato Traffic Light Protocol (TLP) [53], che prevede un insieme di requisiti per far sì che ogni informazione condivisa sia distribuita solo ai destinatari corretti.

Il protocollo TLP viene utilizzato in molti processi di condivisione delle informazioni. L’informazione viene classificata secondo quattro livelli (tag) - White, Green, Amber o Red (in ordine di crescente gravità) - che indicano le prescrizioni di confidenzialità e condivisibilità dell’informazione relativa all’incidente che i riceventi dovranno adottare nel gestirla:

• WHITE – Illimitato: deve essere adottato nel caso di comunicazioni che contengono informazioni che possono essere diffuse pubblicamente, in quanto irrilevanti ai fini dei rischi di sicurezza per l’organizzazione. Tali informazioni possono dunque essere liberamente condivise dai destinatari con soggetti terzi, nel rispetto delle norme a tutela dei diritti di proprietà intellettuali e con gli altri termini di legge.
• GREEN - A livello di comunità: le informazioni in questa categoria possono essere ampiamente diffuse all’interno di una particolare comunità o organizzazione, in quanto utili ai fini della sensibilizzazione. Tuttavia, tali informazioni non dovrebbero essere pubblicate o rese di dominio pubblico su Internet, né rilasciate al di fuori della comunità.
• AMBER - Distribuzione limitata: i destinatari possono condividere questo tipo di informazioni con altri all’interno della propria organizzazione per finalità operative. Tali comunicazioni contengono infatti tipicamente informazioni che potrebbero essere sfruttate per causare impatti in termini di privacy e reputazione o deterioramento della normale operatività, se condivise all’esterno dell’organizzazione. Ci si può aspettare che il mittente specifichi i limiti previsti di tale condivisione, nel rispetto del principio del “need-to-know”.
• RED - Personale solo per i destinatari specificati: la condivisione all’esterno del gruppo dei destinatari non è legittimata e l’utilizzo di tali informazioni al di fuori degli stessi può determinare seri impatti in termini legali, reputazionali o di interruzione della normale operatività dell’organizzazione. Questo tipo di informazioni può essere utilizzato dai soli Destinatari, anche nelle comunicazioni tra loro, e non possono essere divulgate neppure all’interno della propria organizzazione, adottando la massima riservatezza. Nel contesto di una riunione faccia a faccia, ad esempio, la distribuzione delle informazioni RED è limitata ai soli presenti alla riunione.

Questo metodo di classificazione delle informazioni è ampiamente utilizzato poiché è molto semplice da comprendere e implementare, e può essere facilmente adottato anche in altri settori o al di fuori del territorio nazionale. Nella maggior parte dei casi, il mittente delle informazioni da condividere determinerà il suo colore di classificazione, ma talvolta i CERT possono decidere di elevarlo se ritengono che il livello definito sia troppo basso.

L’applicazione di tale protocollo si rende auspicabile anche per gestire il problema dell’anonimizzazione della sorgente di informazione, che si presenta, inevitabilmente, quando un’organizzazione partecipante non desidera essere identificata come vittima di un attacco (magari andato a buon fine) o come coinvolta in altro evento di sicurezza. Il CERT si impegna a garantire che questa richiesta di anonimato sia rispettata, assicurando che, anche omettendo l’identità dell’originatore, le informazioni trasmesse non contengano indizi o metadati aggiuntivi che potrebbero in alcun modo rivelare, portare a dedurre, suggerire o identificare l’originatore.

STIX

STIX (Structured Threat Information eXpression) [54] è un linguaggio di programmazione XML standardizzato per la specifica, l’acquisizione, la caratterizzazione e la comunicazione di informazioni relative a minacce cyber in un linguaggio comune che può essere facilmente compreso sia dagli individui che dalle tecnologie di sicurezza. STIX, originariamente sponsorizzato dall’ufficio di Cybersecurity and Communications del Dipartimento di Homeland Security degli Stati Uniti (DHS), è stato trasferito ad OASIS, un consorzio senza scopo di lucro che mira a promuovere lo sviluppo, la convergenza e l’adozione di standard aperti per la rete. Rappresenta dunque uno sforzo collaborativo teso a sviluppare un linguaggio standardizzato e strutturato, che identifichi le informazioni concernenti le minacce cibernetiche. I membri della community STIX contribuiscono allo sviluppo e alla gestione del linguaggio, ma in generale tutti i membri della comunità informatica sono invitati a dare il loro apporto.

Il linguaggio STIX trasmette l’intera gamma di potenziali informazioni sulle minacce informatiche e si pone per essere pienamente espressivo, flessibile, estensibile, automatizzabile e leggibile. L’obiettivo di STIX è quello di specificare, caratterizzare e acquisire informazioni. STIX affronta una gamma completa di casi d’uso delle minacce, tra cui analisi, acquisizione e specifica degli indicatori, gestione delle attività di risposta e condivisione delle informazioni, per migliorare la coerenza, l’efficienza, l’interoperabilità e la consapevolezza generale della situazione. STIX è un modello di dati grafico basato su nodi ed edge. I nodi sono STIX Data Objects (SDO), mentre gli edge sono STIX Relationship Objects (SRO). Gli SDO includono informazioni come Metodi di attacco, Identità, Dati osservati, Threat actor, Vulnerabilità, ecc. Gli SRO sono pensati per connettere gli SDO in modo che, nel tempo, gli utenti saranno in grado di sviluppare una conoscenza approfondita degli attori delle minacce e delle loro tecniche.

Il formato STIX 2.0 definisce 12 STIX domain Objects (SDOs). Il modello STIX è costituito almeno dalle seguenti entità:

• Indicatori e Osservabili: un attacco specifico di solito coinvolge schemi che ne consentono la caratterizzazione. Questi modelli possono essere artefatti e / o comportamenti di interesse all’interno di un contesto di sicurezza informatica e sono specificati in STIX da Observables che agiscono come indicatori per un attacco;
• Incidenti: si tratta di attacchi riusciti che dettagliano le informazioni sull’origine e sul target. I relativi Indicatori e Osservabili della minaccia forniscono informazioni su come tale attacco potrebbe essere rilevato;
• Obiettivi di exploit: vulnerabilità o punti deboli che consentono all’attaccante di attaccare con successo un target.
• Tattiche, Tecniche, procedure (TTP): termine preso in prestito dall’ambito militare per rappresentare il comportamento o il modus operandi dell’avversario quando esegue l’attacco. Un TTP può contenere informazioni su quali siano le vittime dell’attore di minaccia, quali modelli di attacco e malware vengono utilizzati, e quali risorse (infrastrutture, strumenti, persone) vengono sfruttate;
• Attori di minaccia: una caratterizzazione dell’identità, della sospetta motivazione e dei presunti effetti intenzionali degli attaccanti;
• Campagna: rappresenta un insieme di attività e comportamenti che gli attori della minaccia eseguono per ottenere l’effetto desiderato in un periodo di tempo.
• CourseOfActions (COA): sono misure specifiche da adottare in risposta ad un attacco o come misura preventiva prima di un attacco.

TAXII

Nato per soddisfare le esigenze di condivisione delle informazioni tra diversi settori di infrastrutture critiche, TAXII (Trusted Automated eXchange of Intelligence Information) [55] è un’iniziativa della comunità internazionale per standardizzare lo scambio affidabile e automatizzato di informazioni sulle minacce informatiche. Come per STIX, DHS ne ha affidato lo sviluppo e la manutenzione a consorzio OASIS. Si tratta di un protocollo applicativo basato su HTTPS. Definisce un insieme di servizi e scambi di messaggi che, una volta implementati, consentono la condivisione di informazioni sulle minacce informatiche utilizzabili attraverso i confini dell’organizzazione e dei prodotti / servizi per l’individuazione, la prevenzione e la mitigazione delle minacce informatiche.

Considerata la scelta del linguaggio STIX per la definizione delle minacce cyber ed il protocollo TAXII come meccanismo di trasporto per la condivisione delle stesse tra enti/organizzazioni differenti, l’obiettivo è quello di creare una rete efficace ed efficiente (community) in cui il semplice indicatore scambiato (IP, URL, SHA, etc.) diventi, dopo la sua qualificazione, un’informazione.

TAXII definisce due servizi primari per supportare una varietà di modelli di condivisione comuni:

• Collection: un’interfaccia per un repository logico di dati di cyber threat intelligence fornito da un server TAXII, che consente al mittente di ospitare dati che possono essere richiesti dal destinatario. I Client e server TAXII scambiano informazioni in un modello request/response.
• Channel: un canale mantenuto da un server TAXII consente ai mittenti di inviare dati a molti destinatari e a questi ultimi di ricevere dati da molti mittenti. I client TAXII scambiano informazioni con altri client TAXII in un modello asincrono di tipo publish/subscribe.

OpenIOC

L’Open Indicators of Compromise (OpenIoC) è un linguaggio XLM-based volto a raggruppare e comunicare informazioni. Esso permette di descrivere caratteristiche tecniche che identificano una minaccia nota, una metodologia di attacco, o altri indicatori di compromissione. Si concentra su artefatti malevoli, indicatori di compromissione e TTP specifiche.

OpenIOC stabilisce uno standard per la registrazione, la definizione e la condivisione di informazioni sia internamente che esternamente in un formato strutturato. Per finalità di analisi forense, lo strumento consente ad un investigatore di descrivere indicatori di compromissione in un formato standardizzato che può essere esportato e interpretato in maniera consistente. Inoltre OpenIOC specifica un formato di base estensibile per ospitare eventuali diversi tipi di IOC rispetto a quelli nativamente definiti.

Tra le caratteristiche principali vanno citati il supporto a query semplici e avanzate, la ricerca tramite hash di un file o specifici registri di windows, la combinazione di filtri riguardanti artefatti malevoli, autori, hostname e/o altri dati riguardanti un particolare evento malevolo.

Attualmente esistono diversi applicativi utilizzabili anche per la conversione da OpenIOC a STIX.

RFC 2350

La specifica RFC (Request for Comments) 2350 [56] stabilisce alcune linee guida circa l’organizzazione e le modalità di comunicazione di un CERT/CSIRT. Attraverso la formalizzazione di tale specifica, il CERT rende noto alla propria consitituency in primo luogo quali sono le proprie aree di competenza e le proprie capacità, in secondo luogo le politiche e procedure operative adottate. Uno degli obiettivi della RFC2350 è proprio quello di definire un modello standard per la diffusione delle informazioni tra i CERT e il resto della comunità. Infatti, affinché vi sia una corretta interazione tra i CERT e i rispettivi constituent, all’intera comunità devono essere ben chiare le politiche e procedure dei response team, i loro rapporti con altri team o terze parti, quali canali di comunicazione utilizzano e come provvedono a renderli sicuri.

A seguire si riportano le principali informazioni che devono essere pubblicate da un CERT ai sensi del template RFC 2350 (tipicamente sul proprio sito web):

• Informazioni sul documento, quali data dell’ultimo aggiornamento, la lista di distribuzione per le notifiche, i luoghi (gli indirizzi) in cui la versione più recente del documento può essere trovato, ovvero tutte quelle informazioni utili alla constituency per poter accedere allo stesso ed ai suoi aggiornamenti;
• Informazioni di contatto: denominazione ufficiale del CERT, indirizzo, contatti telefonici/fax, indirizzo mail, chiavi pubbliche e tecniche crittografiche, membri del team, ecc.
• Charter, ovvero le informazioni sulla missione che si è prefissa il CERT e sulle autorità da cui dipende. Dovrebbe includere almeno quattro elementi:
  • mission statement: obiettivi e finalità del CERT;
  • constituency: soggetti/entità cui sono rivolti i servizi offerti dal CERT (ciò determina conseguentemente il perimetro di lavoro del CERT stesso);
  • sponsorship / affiliation: indicazione degli organismi che supportano e finanziano le attività del CERT;
  • authority: linea di riporto del CERT;
• Politiche e procedure, tra cui:
  • tipologie di incidente che il CERT è in grado di affrontare ed i livelli di supporto che offre durante la gestione;
  • cooperazione ed interazione con i soggetti con cui il CERT opera abitualmente (non solo per le attività di risposta agli incidenti), tra cui altri CERT, forze dell’ordine, organi di stampa, fornitori, ecc.;
  • comunicazione e autenticazione, ovvero indicazioni sulle modalità con cui il CERT assicura la sicurezza delle comunicazioni tra loro e la constituency (es. tecniche crittografiche utilizzate, condivisione delle le chiavi pubbliche, indicazione delle firme digitali, ecc.);
• Servizi offerti;
• Modalità e canali per le segnalazioni di incidenti e vulnerabilità.

SIM3 [57]

SIM3 (Security Incident Management) è un modello per valutare la maturità della gestione degli incidenti di sicurezza. Il modello di maturità è costruito su tre elementi base:

• Parametri di maturità;
• Quadranti di maturità;
• Livelli di maturità.

I Parametri sono le quantità misurate in termini di maturità (sono previsti più di 40 parametri), ed appartengono individualmente a uno dei quattro quadranti, ovvero O – Organisation, H – Human, T – Tools, P – Processes. Nell’ambito del modello devono essere misurati i livelli di maturità per ciascun parametro, secondo una scala a 5 livelli da 0 a 4. Sono fornite indicazioni per stabilire le condizioni per passare da un livello ad un altro.

Tale modello è alla base dello schema di accreditamento definito da Trusted Introducer ma può essere impiegato anche per processi di autovalutazione.

eCSIRT.net Incident Taxonomy [58]

Si tratta di una tassonomia per la classificazione degli incidenti di sicurezza molto diffusa presso i CERT e le organizzazioni di sicurezza. Ne è incoraggiato l’utilizzo anche per favorire attività di comparazione e statistiche sugli incidenti rilevati. Propone uno schema di classificazione degli incidenti fornendo esempi dettagliati utili a favorirne la tipizzazione.

CCoP - CSIRT Code of Practice [59]

Un codice di condotta è un insieme di regole o linee guida per i membri di un CERT su come comportarsi professionalmente, potenzialmente anche al di fuori del lavoro. Un esempio è quello sviluppato da Trusted Introducer, promosso oggi da ENISA come buona prassi per favorire lo sviluppo dell’etica professionale nella comunità professionale e aumentare complessivamente la maturità dei team.