Uno strumento di consapevolezza intelligente per una migliore gestione della sicurezza informatica
La mancanza di manodopera, congiuntamente a un enorme numero di attacchi sempre più sofisticati, rende la difesa cibernetica un compito estremamente difficile. I gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT, Computer security incidence response team) fanno fatica a tenere il passo. «Essi hanno bisogno di modi per distinguere gli allarmi di sicurezza critici relativi a situazioni di maggior rischio per la loro azienda dalle interferenze in sottofondo create dagli allarmi a bassa priorità e di basso livello», afferma Brian Lee, coordinatore del progetto PROTECTIVE, finanziato dall’UE. «Questi gruppi devono inoltre sviluppare una migliore comprensione del comportamento dei loro avversari, oltre alla capacità e all’intenzione di effettuare una transizione dal loro attuale approccio alla sicurezza informatica di tipo reattivo a una posizione di sicurezza maggiormente proattiva». Lee continua: «Un’abilità sempre più richiesta nei CSIRT è quella di attingere dall’esterno, oltre che dall’interno, per acquisire ed elaborare l’intelligence per le minacce (TI, threat intelligence) necessaria a sviluppare una tale capacità proattiva di rilevamento». L’adozione di un atteggiamento proattivo in materia di sicurezza incrementa le capacità dei CSIRT per quanto concerne l’individuazione di attività illecite nel loro ambito di competenza prima che i danni possano essere arrecati.
Incrementare il livello di consapevolezza delle minacce dei CSIRT
Il team di PROTECTIVE ha sviluppato una soluzione completa per aumentare la consapevolezza situazionale cibernetica (CSA, cyber situational awareness). Lo ha fatto migliorando la correlazione degli allarmi di sicurezza e la relativa definizione delle priorità, collegando la rilevanza e la criticità delle risorse di un’organizzazione alla sua missione e alle sue attività e istituendo una comunità per la condivisione della TI. «Questi tre elementi sono strettamente legati tra loro allo scopo di fornire una piattaforma di CSA integrata, sviluppata inizialmente per i CSIRT nella comunità di fornitori di servizi Internet nella rete nazionale per la ricerca e l’istruzione e, successivamente, per le PMI», spiega Lee. Per realizzare la CSA, i partner del progetto hanno sviluppato una soluzione di gestione della consapevolezza situazionale in materia di sicurezza completamente open-source. Essa è applicabile a qualsiasi tipo di impresa o settore e fornisce ai CSIRT capacità in tempo reale di acquisire, correlare, analizzare e visualizzare allarmi di sicurezza. Questa soluzione è costituita da interfacce software per la connessione a numerose tipologie di dispositivi, quali honeypot, firewall, sistemi di rilevamento delle intrusioni e connettori personalizzati. Qualsiasi altro tipo di dispositivo o sensore è facilmente integrabile.
Un monitoraggio della sicurezza migliore e una maggiore condivisione della TI
PROTECTIVE consente inoltre ai CSIRT di acquisire e modellare risorse informatiche sotto la loro supervisione. Grazie all’impiego di sottosistemi per la conoscenza del contesto, un’organizzazione può individuare i suoi principali obiettivi aziendali e definire il rapporto che intercorre tra questi obiettivi, le sue informazioni di carattere essenziale e le risorse informatiche. In tal modo, la soluzione concepita dal progetto accorda una priorità a ciascuna risorsa e questa informazione viene combinata con un punteggio quasi in tempo reale assegnato ai livelli di vulnerabilità delle diverse risorse. Queste due funzionalità contribuiscono a classificare gli allarmi di sicurezza critici sulla base del danno potenziale che l’attacco è in grado di infliggere alle risorse minacciate e all’attività commerciale dell’azienda. Agli allarmi ad alto impatto che concernono host importanti sarà assegnata una priorità più elevata rispetto agli altri tipi di allarmi. PROTECTIVE migliora questa capacità di segnalazione delle minacce grazie alla condivisione in tempo reale degli allarmi azionabili di cibersicurezza mediante TI tra i CSIRT in diverse organizzazioni. In tal modo, i CSIRT possono disporre di una consapevolezza delle attività informatiche in corso più ampia, non solo circoscritta alla propria organizzazione. Ciò, a sua volta, aiuterà i CSIRT a conseguire un rilevamento e una prevenzione proattivi delle attività di cibercriminalità che li minacciano. «Grazie alla potente piattaforma open-source di PROTECTIVE, i CSIRT e le organizzazioni sono preparate in modo migliore a gestire gli attacchi in arrivo, le incursioni di malware e altre problematiche legate alla sicurezza e a guidare lo sviluppo delle procedure di prevenzione e di riparazione», conclude Lee.
Parole chiave
PROTECTIVE, CSIRT, risorse, allarme di sicurezza, sicurezza informatica, allarme di sicurezza critico, attacco informatico, intelligence per le minacce, consapevolezza situazionale cibernetica
