Il progetto di ricerca europeo Panoptesec propone un sistema decisionale (DSS) che analizza vulnerabilità e incidenti informatici in tempo reale, consentendo una gestione dinamica del rischio residuale e un’ottimizzazione del cyber risk management. Ne abbiamo parlato con Andrea Guarino, Responsabile Security, Privacy & Compliance – Funzione ICT di Acea, società che ha partecipato al progetto in qualità di user agency.
Dopo la recente diffusione del malware “WannaCry”, che in pochi giorni ha colpito oltre 200mila computer in oltre 100 paesi, e dopo la continua scoperta di gravi vulnerabilità, come quella sul sistema AMT di Intel che permetterebbe di prendere il controllo da remoto dei PC dotati di questa caratteristica, molti si stanno chiedendo se è possibile avere una fotografia aggiornata in tempo reale dello stato di rischio cyber della propria azienda. Il progetto europeo di ricerca “Panoptesec” si pone appunto questo obiettivo: disporre di una soluzione per dotarsi di una visibilità il più possibile ampia sulla situazione (il termine in greco antico significa “tutt’occhi”), oltre che essere in grado di mitigare il rischio ed eventualmente di risolvere una situazione di crisi.
Cofinanziato dalla Commissione europea (nell’ambito del FP7) e con un budget complessivo di 7,5 milioni di euro, Panoptesec, oggi in via di conclusione e diffusione dei risultati, ha portato allo sviluppo di un sistema decisionale (DSS) che analizza vulnerabilità e incidenti informatici in tempo reale, consentendo una gestione dinamica del rischio residuale. La soluzione è in grado di operare in modo proattivo ma anche reattivo in caso di incidente: valuta le debolezze del sistema, individua i potenziali percorsi di attacco, propone un elenco di azioni di risposta in ordine di priorità (sulla base delle criticità del singolo business), dà la possibilità di valutazioni preventive, si basa su motori di analisi automatizzata che mostrano i risultati nel dettaglio in dashboard dedicate.
Il progetto è stato indirizzato soprattutto alla protezione di infrastrutture critiche (reti SCADA che controllano servizi primari per la popolazione, strutture vaste come gli aeroporti e installazioni di tipo militare) e alla gestione più efficiente di situazioni di emergenza e incidenti. Al consorzio hanno aderito vari attori italiani ed europei: l’Università La Sapienza di Roma, l’Università di Lubeck, Epistematica, Alcatel Lucent, Supélec, l’Institut Mines-Télécom di Parigi. La leadership tecnica è stata di Rhea System SA, mentre Acea è stata coinvolta in qualità di user agency, per testare il prototipo e fornire dati legati a situazioni reali sul campo.
“Il progetto nasce dalla considerazione che oggi non è più sufficiente effettuare un vulnerability assessment un paio di volte all’anno – spiega Andrea Guarino, Responsabile Security, Privacy & Compliance – Funzione ICT di Acea – gli asset da proteggere cambiano, e anche dove questi dovessero rimanere gli stessi, sono le nuove vulnerabilità scoperte ogni giorno, le nuove minacce, a modificare il profilo del rischio da affrontare. Da qui la necessità di gestire i rischi in modo dinamico”.
Più codice si ha sulle proprie infrastrutture informatiche, più si va incontro a potenziali nuove vulnerabilità che saranno scoperte via via nel tempo, dando origine a Zero-day che inizialmente sono sfruttati per scopi precisi (ad es. minacce di tipo persistente come Stuxnet), poi, una volta noti, sono rivenduti nei mercati neri del web o semplicemente riutilizzati per altri fini (ad es. cybercrime). “In teoria – aggiunge Andrea Guarino – una volta che una vulnerabilità è nota, qualcuno (il produttore del sistema vulnerabile, il distributore, chi ne gestisce la sicurezza, ecc.) dovrebbe intervenire. In alcuni casi però risolvere il problema potrebbe costare molto o essere tecnicamente così complesso, da far valutare alle aziende la possibilità di sostituire integralmente i device attaccabili con una versione aggiornata degli stessi e priva di quella vulnerabilità. Le aziende dovrebbero quindi chiedere e scegliere fin dall’inizio soluzioni che non siano facilmente attaccabili prevedendone comunque meccanismi di aggiornamento, ma anche ipotizzare la scoperta nel tempo di nuove vulnerabilità, e quindi gestire il rischio nel momento in cui esso si dovesse concretizzare. Il progetto Panoptesec risponde appunto a questa esigenza, misurando qual è l’esposizione in un determinato contesto, fornendo suggerimenti su come ridurre il rischio residuo a livelli accettabili, indicando le priorità di intervento, suggerendo infine se e dove è necessario applicare patch e in quale ordine, anche dove questo è controintuitivo”.
Panoptesec monitora costantemente lo stato della cyber security e la capacità di risposta in tempo reale. Valuta in modo proattivo e reattivo le debolezze del sistema, per individuare potenziali attacchi e fornire un elenco di azioni di risposta in ordine di priorità, al fine di gestire automaticamente questo tipo di incidenti. “In caso di crisi segnala anche eventuali “sacrifici” da attuare, come separare dalle reti particolari segmenti per evitare effetti domino su scala più ampia: un procedimento che, se fosse stato correttamente applicato in Ucraina, avrebbe probabilmente evitato un black out così ampio e prolungato” conclude Andrea Guarino.
Intervista a:
Andrea Guarino, Responsabile Security, Privacy & Compliance – Funzione ICT di Acea
A cura di: Elena Vaciago, Associate Research Manager, The Innovation Group