TIG. In Italia sono appena stati rivisti gli obiettivi del CERT Nazionale, che, in rispondenza ai dettami della Direttiva NIS, dovrà occuparsi di “monitoraggio, gestione e analisi dinamica degli incidenti cibernetici, e per la diffusione di allerta e divulgazione di informazioni”, con riferimento chiaramente alle infrastrutture degli 8 settori strategici con operatori di servizi essenziali (OSE): energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile e infrastrutture digitali. Dal suo punto di vista, quali sono oggi i compiti di un moderno CERT (Computer Emergency Response Team), o CSIRT (Computer Security Incident Response Team) di una grande organizzazione?
Nicola Sotira. Guardando all’evoluzione che hanno avuto negli ultimi anni le minacce cyber, la priorità è oggi lavorare sulla prevenzione: se prima questo era visto come un aspetto di secondo piano, oggi è invece mandatorio prevenire, tramite opportuni strumenti e piattaforme, perché risulta molto più cost effective: lavorando bene sulla prevenzione si può garantire una maggiore sicurezza, un minor numero di incidenti gravi. Serve una prevenzione che sia mappata sugli asset più critici, e molto deve essere fatto per ridurre i rischi legati al fattore umano, investendo in formazione. Oggi gli attacchi molto sofisticati di spear phishing obbligano a investire in formazione, sul cliente interno, individuando tutti gli stakeholder in azienda. Bisogna diffondere il concetto di resilienza e readiness, prevedendo anche test e simulazioni, in modo che chi sia poi eventualmente coinvolto in un incidente cyber, sappia come reagire correttamente. Formazione, simulazione e test vanno effettuati insieme, ogni qualvolta sono emanate nuove procedure e policy, non basta rilasciarle, vanno anche testate.
TIG. Ci sono specificità da considerare per quanto riguarda la formazione?
Nicola Sotira. A livello di staff tecnico, ci stiamo attrezzando anche per portare al personale simulazioni d’attacco tramite esercizi blue team/red team, con cui addestrare il personale tecnico, cosa diversa è per le figure non tecniche, ad esempio l’incremento di attacchi di tipo CEO fraud richiede una formazione sui processi e sui comportamenti che deve essere trasversale.. Altre attività di awareness dovrebbero poi essere rivolte ai clienti, soprattutto di servizi online. Per i nostri servizi finanziari, diffondere una maggiore cultura digitale ache tramite social network, dando ai clienti gli strumenti per formarsi e prevenire problematiche di cybersecurity.
TIG. Quali sono oggi le priorità per un CERT? Quali evoluzioni dovremmo aspettarci da una maggiore attenzione a questi temi anche da parte del settore pubblico?
Nicola Sotira. C’è una grande necessità di una maggiore condivisione di informazioni a livello di sistema: servirebbe, in parallelo alla crescita del numero dei CERT, che si arrivi a un modello formale di comunicazione che permetta di incrementare l’infosharing. Noi collaboriamo già attivamente con Cnaipic e CERTfin, ma l’attuale modello di infosharing andrebbe ampliato, oltre alle indicazioni su IoC (Indicators of Compromise), servirebbe un lavorare insieme su approcci metodologici e tecnologici, condividere strumenti, cosa che tra l’altro già avviene dall’altra parte, nel mondo degli attaccanti e del DeepWeb, dove sono a disposizione di tutti strumenti e metodi per sferrare attacchi. Un maggiore infosharing per la cybersecurity dovrebbe essere volto alla condivisione delle metodologie e misure di difesa più attuali: se certi strumenti risultano più efficaci, sarebbe utile saperlo.
TIG. Quali sono le caratteristiche che contraddistinguono un CERT?
Nicola Sotira. Oggi i CERT, molto presenti sia nel settore finanziario, e in prospettiva sempre più diffusi anche nel settore delle infrastrutture critiche, sono specializzati su aspetti di informazione, awareness, prevenzione, threat intelligence e gestione di eventuali incidenti. A differenza del SOC (Security Operation Center), che è attivo su aspetti legati all’operatività quotidiana, il CERT si occupa invece di monitoraggio e intelligence sugli incidenti, attività oggi fondamentali per risolvere e contrastare il problema, e anche per capire quali attori hanno generato l’attacco, quali finalità possono avere, con un’analisi legata al contesto per comprendere quanto avvenuto in azienda. Da qui nasce l’opportunità dell’infosharing, perché tutte queste informazioni sono molto rilevanti per tutti.
TIG. Questo significa predisporsi per eventuali azioni legali?
Nicola Sotira. Se si è bravi nel fare il drill down, è anche possibile individuare eventuali attaccanti, pur tenendo conto del fatto che l’attribuzione di un reato informatico è comunque sempre molto difficile in rete. Sulla repressione del crimine in rete oggi ci sono ancora molte problematiche aperte. E’ comunque importante considerare gli aspetti forensici, per avere tutti gli elementi che possono permettere ulteriori azioni investigative, in collaborazione con la forze dell’ordine: il nostro CERT fa da interfaccia verso queste fornendo tutti gli strumenti per le indagini.
TIG. Considerando la trasformazione digitale in corso e in particolare l’evoluzione delle infrastrutture verso ambienti ibridi e cloud, qual è l’impatto di questo sul CERT?
Nicola Sotira. Tutta la parte di monitoraggio e prevenzione deve oggi tener conto del fatto che alcuni ambienti e piattaforme non sono solo on premises ma anche in cloud. Inoltre, anche gli strumenti di difesa sono oggi in parte posizionati in cloud. Tutto questo cambia le logiche: è importante quindi svolgere una più approfondita analisi sugli strumenti, per capire se il loro utilizzo rimane compatibile con le policy interne. Bisogna poi predisporsi per essere in grado di gestire nuovi ambienti ibridi.
TIG. E quali sono le opportunità che nascono dalla disponibilità di innovazione come gli strumenti di Artificial Intelligence (AI)?
Nicola Sotira. I motori AI e machine learning, disponibili in cloud, permettono sperimentazioni molto più rapide, e quindi sicuramente si tratta di tecnologie molto promettenti. Li stiamo testando e alcuni di questi motori ci hanno già fornito buoni risultati nell’analisi dei dati, ma serve ancora molto strada, e diversi cambiamenti nella cultura degli analisti. Infatti, con l’AI bisognerà ripensare le precedenti procedure di analisi, e abituarsi a scrivere algoritmi piuttosto che trovare le funzionalità di analisi già pronte. Si tratta di sviluppi molto promettenti, ma farli atterrare nel concreto richiederà un po’ di strada.
TIG. Quali sono le altre innovazioni e i trend più interessanti che osserva?
Nicola Sotira. Sicuramente gli aspetti di Data Collection, grazie all’avanzamento permesso dall’applicazione di tecnologie Big Data e Machine Learning. E’ un binomio che si continuerà a portare avanti: oggi abbiamo primi primi pilot in funzione e i risultati sono molto promettenti. Possiamo definirlo un “SIEM 4.0”, un nuovo approccio ai dati.
Per quanto riguarda la Threat Intelligence, si lavora invece soprattutto sugli aspetti di automazione, perché la mole di dati è tale, che per avere una buona visibilità, è richiesto un cambio di approccio. Serve quindi automatizzare tutti i processi, lavorandoci in modo spinto. Questo di nuovo è un cambiamento profondo: la digitalizzazione finora è stata vista come dematerializzazione, trasferimento in digitale di informazioni e prassi: qui invece entra in gioco una fase molto più macchine-oriented, un’evoluzione della digitalizzazione che si fa molto più spinta. Oggi, se parliamo di attività OSINT su Dark Market, sappiamo che gli analisti devono gestire quantità enormi di eventi in poco tempo: sono numeri che richiedono assolutamente un’automatizzazione di tutti i task, lasciando comunque il controllo all’analista. O si pensi ad altri interventi richiesti dalla cybersecurity, come le piattaforme che danno agli utenti la possibilità di inviare alert in caso presunto di phishing: questo per il CERT significa che un 5% di tutto il traffico mail a livello aziendale viene ribaltato sui propri analisti, e se non si è pronti, non si è in grado di gestirlo. Automatizzare non vuol dire però soltanto dotarsi di piattaforme e strumenti: bisogna ripensare ai processi rendendoli interamente digitali, affidando un intero ciclo di vita alle macchine.
TIG. A cosa bisogna quindi fare attenzione?
Nicola Sotira. Alcune tecnologie ancora non sono ancora del tutto mature: va fatta una corretta analisi dello strumento, per non trovarsi con desiderata che non ci sono. La funzione del CERT ha un’elevata visibilità nell’organizzazione, per cui è importante essere efficaci ed efficaci.
INTERVISTA A:
NICOLA SOTIRA,
Direttore Fondazione GCSEC
Responsabile CERT, Poste Italiane,
A cura di:
Elena Vaciago,
The Innovation Group