Sommario
Fin dal 2018 tutti gli Stati Membri dellāUnione Europea hanno dovuto istituire un āComputer Security Incident Response Teamā (CSIRT) in accordo a quanto previsto dalla cosƬ detta āDirettiva NISā. Gli CSIRT, da allora, sono incaricati di gestire incidenti ed eventi cyber che minacciano le infrastrutture critiche nazionali e di monitorare lo stato della minaccia cyber in modo da disporre sempre di un quadro di situazione per anticipare e prevedere i prossimi passi degli attaccanti. Nel nostro paese il āCSIRT Italiaā ĆØ istituito allāinterno dellāAgenzia per la Cybersicurezza Nazionale (ACN). Questo articolo presenta la metodologia, sviluppata e utilizzata dallāACN per rappresentare lo stato della minaccia cyber in Italia, definendo e descrivendo quali sono indicatori e metriche utilizzati e come i dati grezzi vengono collezionati, processati e analizzati per fornire una rappresentazione accurata del ācyber threat landscape” della Nazione.
Abstract
Since 2018 European member states according to the first NIS Directive created their National Computer Security Incident Response Team (CSIRT). CSIRTs manage cyber incidents and cyber threats targeting national digital assets and among their duties they also have to monitor the cyber threat landscape, in order to always have a situational picture and to foresee and anticipate the next cyber attackers move. The paper presents the methodology developed by the Italian CSIRT to represent the current threat landscape, defining, and describing what indicators and metrics are in place and how raw data are collected, processed, and analyzed in order to accurately depict the cyber threat landscape of the nation.Ā
Ā KeywordsĀ
Ā Cyber Threat Landscape; cyber data analysis; cyber taxonomy; CSIRT Italia; Agenzia per la cybersicurezza Nazionale (ACN); cyber index; cybersecurity data analysis; cyber indicatorsĀ
Introduzione
Fin dal 2018 ognuno degli Stati membri europei, in attuazione della Direttiva NIS [1], ha dovuto istituire un Cyber Security Incident Response Team (CSIRT), ovvero un centro di risposta agli incidenti cibernetici, con capacitĆ che, nonostante il nome, vanno ben oltre la risposta (response). Le attivitĆ CSIRT spaziano infatti dal monitoraggio proattivo allāanalisi delle nuove vulnerabilitĆ , alla cyber threat intelligence, finanche alla gestione del rischio cyber a livello nazionale e alla data analysis.
Il centro, istituito dapprima allāinterno del Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei ministri, opera allāinterno dellāAgenzia per la Cybersicurezza Nazionale (ACN) [2], lāautoritĆ che a partire dal giugno 2021 raccoglie tutte le competenze e capacitĆ di resilienza cibernetica del Paese. LāACN proprio tramite lo CSIRT Italia [3] ĆØ il riferimento nazionale per la mappatura delle fenomenologie cyber che interessano il Paese e necessita di monitorare e rappresentare costantemente lo stato della minaccia che grava sullāItalia ed i relativi impatti possibili sulle pubbliche amministrazioni e sugli operatori privati, critici per lāoperativitĆ della Nazione. Tale rappresentazione, che deve avere contenuti sia qualitativi (individuazione dei fenomeni) sia quantitativi (dati numerici), costituisce la base per guidare i processi decisionali volti alla definizione e allāapplicazione delle misure di resilienza cibernetica, oltre che ovviamente ad informare i soggetti della constituency1 e i vertici del Paese.
Ma quali sono i dati ed i fenomeni che, insieme, forniscono un quadro esaustivo dello stato di esposizione cibernetica del Paese? Come e dove si possono raccogliere tali dati?
In questo articolo si presentano le metriche e gli indicatori utilizzati allāinterno dei reparti operativi dellāACN, elaborati anche tenendo in considerazione best practice internazionali e approcci di altre agenzie estere, e si forniscono alcuni dettagli sul modello di analisi dei dati adottato, il quale consente, a partire da dati numerici derivanti dalle attivitĆ reattive e proattive, di rappresentare lo stato della minaccia.
Stato della minaccia che viene studiato e analizzato in maniera continuativa, anche al fine di guidare le azioni di supporto alle vittime di incidenti, di avviare campagne di sensibilizzazione verso soggetti o settori particolarmente esposti nonchĆ© di tarare il modello stesso, creando una sorta di controreazione: si intensificano le attivitĆ di monitoraggio verso quei settori e soggetti rilevati come piĆ¹ a rischio.
Il prosieguo del documento introduce le definizioni nella sezione 2, fornisce alcune considerazioni sugli altri approcci per rappresentare lo stato della minaccia adottati da altre agenzie, CSIRT e fornitori nella sezione 3, nella sezione 4 si presentano alcune delle fonti dati utilizzate, separandole tra proattive e reattive. Il modello di analisi dei dati ĆØ illustrato nella sezione 5. La sezione 6 elenca e descrive le metriche e gli indicatori derivanti dalle attivitĆ operative, ovvero quelli che ĆØ possibile effettivamente quantificare mostrando statistiche e trend. La sezione 7 conclude il documento offrendo spunti per eventuali sviluppi futuri.
Definizioni
In questa sezione sono elencate una serie di definizioni cui si farĆ riferimento nel seguito del documento.
Tali definizioni non sono da intendersi di carattere generale, in considerazione che per tali concetti esistono sƬ fonti autorevoli, come il glossario del NIST [4] per citarne uno, ma non esistono fonti universalmente riconosciute. Oltre a quelle riportate di seguito, anche sul sito del CSIRT Italia ĆØ possibile trovare un glossario di definizioni [5]
Definiamo:
ā¢ comunicazione ricevuta: e-mail, anche generiche, relative ad informazioni contenenti profili di natura cyber ricevute dal CSIRT Italia, sottoposte a valutazione preliminare per determinare lāapertura o meno di un case;
ā¢ case: un avvenimento dāinteresse per lo CSIRT Italia, opportunamente approfondito al fine di identificare il possibile impatto e valutare la necessitĆ di azioni di resilienza. I case possono diventare eventi cyber;
ā¢ evento cyber: un case, ulteriormente analizzato e approfondito, per il quale, in base alle circostanze, CSIRT Italia dirama alert e/o supporta, eventualmente anche in loco, i soggetti colpiti. Qualora fosse confermato lāimpatto dal soggetto coinvolto, lāevento cyber viene considerato incidente;
ā¢ incidente: un evento cyber con impatto confermato dalla vittima;
ā¢ segnalazione: le notifiche previste per legge, effettuate tramite specifico modulo web sul sito del CSIRT Italia, per i soggetti appartenenti al Perimetro di Sicurezza Nazionale Cibernetica [6], per gli Operatori di Servizi Essenziali e Fornitori di Servizi Digitali (ovvero gli operatori a cui si rivolge la citata Direttiva NIS), e per gli operatori di comunicazione (i cui obblighi di notifica sono definiti dal c.d. decreto Telco [7]). Rientrano nelle segnalazioni anche quelle di natura volontaria previste per legge dal Dlgs 65/2018 di recepimento della Direttiva NIS;
ā¢ richieste di informazioni: richieste effettuate dal CSIRT Italia al soggetto potenzialmente impattato da un evento cyber per acquisire ulteriori elementi, come ad esempio la conferma di una possibile compromissione;
ā¢ comunicazione inviata: alert, anche massivi, inviati a Pubbliche Amministrazioni e imprese potenzialmente interessate da eventi cyber;
ā¢ asset con potenziali criticitĆ : sistemi o servizi esposti su Internet da soggetti italiani, rilevati dalle attivitĆ di monitoraggio e per i quali vengono inviate specifiche comunicazioni;
ā¢ fattori di rischio: una configurazione errata o non in linea con le best practice ovvero la possibile vulnerabilitĆ di un asset;
ā¢ current rule: regola di correlazione che implementa una logica, finalizzata allāindividuazione automatizzabile di possibili eventi cyber dāinteresse a partire da un vasto insieme di dati;
ā¢ security event: un singolo evento (da non confondere con lāevento cyber definito precedentemente) rilevato dai sistemi di monitoraggio in un intervallo temporale ben definito, relativo ad unāattivitĆ anomala verso uno specifico asset ovvero effettuata dallāasset stesso o attraverso di esso.
Stato dellāarte: approcci degli altri Agenzie nazionali di cybersicurezza e di report di altre amministrazioni e fornitori
I report specialistici dei fornitori di soluzioni di cybersicurezza e le relazioni di altre amministrazioni e CSIRT2 nazionali utilizzano fonti di dati diverse e approcci diversi nel valorizzare le informazioni, ma soprattutto terminologie diverse.
Facciamo un esempio su tutti molto spesso viene utilizzata la terminologia di āattacco cyberā, tuttavia per attacco cyber si puĆ² intendere sia un incidente con un impatto concreto sulla vittima, sia uno o piĆ¹ tentativi di intrusione magari non andati a buon fine, o anche attivitĆ di scansione, di preparazione allāattacco vero e proprio e cosƬ via. Recentemente la nuova Direttiva europea (EU) 2022/2555, c.d. Direttiva NIS2 [8] ha introdotto il concetto di āquasi incidenteā (near-miss in lingua originale), ovvero un evento che avrebbe potuto compromettere la disponibilitĆ , l’autenticitĆ , l’integritĆ o la riservatezza di dati [ā¦], ma che ĆØ stato efficacemente evitato o non si ĆØ verificato. Il near-miss ĆØ quindi un attacco cyber? E ancora, una campagna di phishing con un milione di vittime sono un milione di attacchi cyber?
Tutto ciĆ² implica che spesso i numeri delle varie pubblicazioni non sono direttamente confrontabili e di conseguenza non possono essere utilizzati per caratterizzare lo stato della minaccia in maniera rigorosa.
In questa sezione si forniscono alcuni dettagli sugli approcci seguiti dagli altri CSIRT e da alcuni altri report noti.
Enisa Threat Landscape: da 10 anni la European Union Agency for Cybersecurity (ENISA) [9] rilascia il suo report annuale sullo stato della minaccia in Europa (lāultimo ĆØ quello del 2023 pubblicato a ottobre [10]). Il report individua le minacce piĆ¹ frequentemente rilevate nellāanno di riferimento, le categorie di threat actor e i principali trend rispetto ai report precedenti.
Rispetto allāapproccio adottato dallāACN, sono pienamente compatibili i settori merceologici di appartenenza delle vittime e i tipi di minaccia, dal momento che vengono utilizzate le stesse tassonomie sia per i tipi di minaccia [11] che per i settori [12]. Quello che differisce non ĆØ tanto la metodologia utilizzata ā rigorosamente dettagliata da Enisa in un documento specifico [13] ā quanto le fonti dei dati. Enisa utilizza fonti aperte (social media, data feeds, cybersecurity news ed altre) e le sue proprie capacitĆ di Cyber Threat Intelligence. Lāapproccio ĆØ quindi sicuramente valido per fornire un quadro di situazione dello stato della minaccia ad ampio spettro, tuttavia non puĆ² rappresentare dettagliatamente quanto effettivamente avviene allāinterno di una singola nazione, poichĆ© non tiene conto del considerevole numero di eventi non divenuti di dominio pubblico, ma comunque avvenuti e gestiti da CSIRT nazionali, privati o da fornitori.
Il CERT-EU [14], CERT della Commissione Europea servente le cosƬ dette āEU institutions, bodies and agencies (EUIBAs)ā, ha pubblicato di recente la decima edizione del suo Threat Landscape Report [15], e pubblica periodicamente dei report [16], specificando che si basa principalmente su report pubblici e che, principalmente, gli incidenti sono ritenuti rilevanti in accordo alla rilevanza mediatica che hanno avuto.
Il CERT nazionale lettone [17] utilizza un approccio originale: valuta lo stato della minaccia della sua nazione, nei suoi report pubblici [18], basandosi sul monitoraggio del proprio spazio di indirizzamento IP che alcuni servizi, come ad esempio Shadowserver [19], forniscono agli CSIRT nazionali. Anche il CERT lettone utilizza la stessa tassonomia degli incidenti adottata dal CSIRT Italia, cosƬ come anche in ACN vengono utilizzati sistemi di monitoraggio dello spazio di indirizzamento nazionale, ma principalmente ai fini di early warning.
Il CERT Lituano [20] nei report annuali [21] utilizza il termine incidente per riferirsi anche a phishing, distribution of unwanted information, hacking attempts. Inoltre, sembra che nel report non sia utilizzata una tassonomia nota. Questa differenza nella terminologia fa sƬ che i numeri non siano confrontabili direttamente con quelli dellāACN. Interessante ĆØ il fatto che tale CERT analizzi il contenuto dei data breach subiti dalla sua constituency per categorizzarne la tipologia di vittima, i tipi di dati esfiltrati e lāeventuale presenza di dati personali.
Il CERT spagnolo [22] nellāultimo report disponibile [23] utilizza il termine incidenti ācriticiā per rappresentare lāandamento dello stato della minaccia, senza specificare soglie di criticitĆ , mentre nel focus sugli incidenti causati da ransomware mostra una media mensile in linea con quanto rilevato dal CSIRT Italia.
Sicuramente dāinteresse sono anche gli approcci seguiti dal National Cyber Security Center del Regno Unito [24] e dal CERT Bund tedesco [25] (che opera nel Federal Office for Information Security ā BSI [26]): se il primo si focalizza principalmente su unāanalisi di tipo qualitativo, fornendo solo pochi ānumeriāā riporta ad esempio ācentinaiaā di incidenti di cui 63 āsignificativi al punto da richiedere una risposta a livello nazionaleā contro i 126 incidenti rilevati in Italia nello stesso periodo ā il secondo fornisce uno spaccato principalmente quantitativo, con i numeri circa le vittime di data leak; stime sullāammontare complessivo dei riscatti pagati raccolte da fonti aperte, ma anche i numeri di nuove vulnerabilitĆ , di nuove varianti malware, di incidenti, di messaggi di spam, phishing e cosƬ via. Inoltre, considerando che entrambe le agenzie sono nate oltre 10 anni fa, BSI e NCSC nei loro report introducono confronti pluriennali.
A livello nazionale, il resoconto annuale dellāattivitĆ del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) [27] fornisce analisi qualitative e quantitative, basandosi sui dati provenienti dallāattivitĆ di polizia e gli approfondimenti investigativi, dai collegamenti telematici dedicati con le infrastrutture critiche e dalle collaborazioni internazionali con FBI e Europol. Nel resoconto viene utilizzato il termine āattaccoā e nel 2022 ne sono stati rilevati 12.947 contro i 5.435 registrati del 2021 segnando un +138% in solo anno.
Per quanto attiene invece ai report periodici dei fornitori (esempi sono quelli di Accenture [28], CISCO [29], Crowdstrike [30], Mandiant [31], Microsoft [32] ,Verizon [33], Swascan [34]), in generale questi si basano su dati provenienti direttamente ādal campoā. Si parla quindi di telemetria dei prodotti installati allāinterno dei propri clienti secondo la propria penetrazione di mercato, di lessons learned derivanti dalle azioni di incident management, degli esiti di attivitĆ OSINT e CLOSINT, dellāutilizzo di honeypot, di antivirus e cosƬ via. In linea teorica, un fornitore con unāottima penetrazione di mercato, sia su organizzazioni pubbliche che private, potrebbe fornire dati molto rappresentativi dello stato della minaccia di una nazione. Tuttavia, anche in questo caso, la diversitĆ in termini numerici che puĆ² derivare dalle analisi dei report di fornitori privati dipende da come ognuno di questi ultimi definisce il concetto di āevento cyberā e se questo ha effettivamente avuto un impatto oppure no e, soprattutto, alla citata penetrazione di mercato del fornitore stesso: quanto ĆØ rappresentativo il cono di visibilitĆ che ha sulla minaccia di un singolo fornitore? Questi report offrono comunque una preziosa base di conoscenza sui fenomeni avvenuti e gestiti, spesso senza che le autoritĆ ne vengano a conoscenza.
Patrimonio informativo: il ācono di visibilitĆ ā del CSIRT Italia
In questa sezione si descrivono le principali fonti dei dati del CSIRT Italia.
Le fonti si raggruppano in due categorie, quelle di carattere reattivo e quelle di carattere proattivo.
Le fonti dati di carattere reattivo sono quelle derivanti da tutte le attivitĆ di gestione degli eventi cibernetici che iniziano con le comunicazioni ricevute o con le segnalazioni e proseguono con lāapertura di case, i quali possono diventare o meno eventi cyber e, qualora vi sia impatto confermato dalla vittima, incidenti. Per lo CSIRT Italia le segnalazioni previste per legge, incluse quelle volontarie3, assumono direttamente la connotazione di incidente, in quanto solitamente sono effettuate a seguito del rilevamento di impatti da parte del soggetto segnalante.
Le fonti di carattere proattivo sono invece quelle derivanti da attivitĆ di monitoraggio, ovvero quelle che provengono dai cosiddetti feed, flussi di dati tecnici commerciali o gratuiti, a cui lāAgenzia ha accesso, e da attivitĆ manuali o automatiche di ricerca di compromissioni e vulnerabilitĆ anche su fonti aperte. A queste fonti si aggiungono i dati condivisi dalla rete di CSIRT europea, istituita anchāessa dalla citata Direttiva NIS, e dalle altre reti di collaborazione, nate in ambito privato, alle quali CSIRT Italia partecipa (Trusted Introducer [35] e FIRST [36]).
Lāinsieme delle fonti reattive e proattive offre un cono di visibilitĆ sulle minacce a danno del sistema Paese che, dal punto di vista qualitativo, ci dĆ un quadro rappresentativo delle minacce e del livello di esposizione dei soggetti nazionali. Dal punto di vista numerico ĆØ necessario, perĆ², tener presente che esiste un mondo sommerso di incidenti ed eventi dei quali lāAgenzia, cosƬ come ogni articolazione cyber omologa, non ha visibilitĆ immediata. Si fa riferimento quindi a tutti quei casi, siano essi incidenti o eventi, che sono:
ā¢ non scoperti dalla vittima;
ā¢ scoperti dalla vittima ma non denunciati e non segnalati ma gestiti in autonomia;
ā¢ registrati dai servizi di monitoraggio dei soggetti privati che offrono servizi di sicurezza e non segnalati;
ā¢ vulnerabilitĆ zero day (vulnerabilitĆ in sistemi nota agli attaccanti ma ancora sconosciuta ai produttori dei sistemi, per la quale quindi non esiste una contromisura).
Questo concetto ĆØ anche rappresentato graficamente piĆ¹ avanti, in Figura 1.
Per poter colmare sempre piĆ¹ tale gap informativo, sono in corso attivitĆ finalizzate a potenziare le capacitĆ degli strumenti tecnici (si fa riferimento particolarmente ai servizi cyber nazionali in via di sviluppo con il Piano Nazionale di Ripresa e Resilienza, quali HyperSOC4, ISAC Italia5 e Rete dei CERT6, descritti nella Strategia nazionale per la cybersicurezza [35]), e a stringere accordi di collaborazione con soggetti pubblici e privati volti anche allo scambio di dati.
Modello di analisi dei dati
Questa sezione descrive il modello di analisi dei dati adottato. Lāanalisi dei dati necessaria a rappresentare lo stato della minaccia ĆØ svolta in ACN seguendo le classiche fasi della data analysis: collection, cleaning, processing, visualization. Le attivitĆ , specie nelle fasi di data collection e processing, sono sempre separate tra proattive e reattive in quanto il flusso delle informazioni segue necessariamente percorsi diversi. Le fasi collection e processing individuano e classificano per tipologia, grazie ad analisi e approfondimenti, eventi e incidenti cibernetici. Nella fase di data visualization gli eventi e incidenti sono āpresentatiā ovvero quantificati, categorizzati e utilizzati nelle attivitĆ di supporto ai soggetti impattati, elaborando specifici bollettini e alert per la pubblicazione o le comunicazioni dirette, o per la redazione di report specialistici di approfondimento.
La Figura 1 rappresenta la composizione delle varie fasi, evidenziando anche il āsommersoā di eventi e vulnerabilitĆ che non entrano a far parte del cono di visibilitĆ del CSIRT Italia. Le varie fasi sono di seguito approfondite.
Modello di data analysis in uso nel CSIRT Italia. Si distingue tra i dati visibili, nella parte chiara della figura, e quelli āsommersiā nella parte in basso.
Data collection: nella prima fase i dati provenienti dalle varie fonti di cui alla sezione 4 sono individuati e raccolti. Importante considerare che nella collection i dati provenienti dalle fonti non sono strutturati in maniera omogenea. Si hanno, infatti, sia comunicazioni ricevute via mail, testuali e necessariamente processate da analisti, sia i vari feed delle attivitĆ proattive, strutturati, ma ognuno con i propri formati. In questa fase il numero di comunicazioni e dati provenienti dai feed ĆØ dellāordine dei milioni lāanno (principalmente da fonti proattive, le e-mail e notifiche dāincidente sono invece ordine delle migliaia lāanno). Si consideri che la singola comunicazione puĆ² informare un considerevole numero di potenziali eventi cyber.
Data cleaning: vengono rimossi eventuali dati errati e duplicati, nonchĆ© normalizzati i dati al fine di agevolare le fasi successive. Questa ĆØ la prima delle fasi in cui si suddivide la vera e propria analisi. Il numero di comunicazioni e informazioni ĆØ ancora nellāordine dei milioni lāanno.
Data exploration e mining (processing): i dati vengono effettivamente valorizzati, in modalitĆ diverse a seconda che si tratti di attivitĆ reattive o proattive. In particolare, le attivitĆ reattive iniziano con lāimportante fase di triage, opportunamente tarata sulla constituency. Nel triage lāanalista valuta il contenuto della comunicazione ricevuta e decide se quanto comunicato puĆ² effettivamente configurarsi come un evento cyber (ovvero se ha potenziale impatto su almeno un soggetto nazionale) e scalare quindi a livello di incidente (se lāimpatto ĆØ confermato dalla vittima). Valuta altresƬ il potenziale impatto sistemico di eventi o vulnerabilitĆ , studiando accuratamente le porzioni della constituency che potenzialmente possono essere interessate dallāevento e applicando dei modelli di calcolo sviluppati appositamente.
Se supera il triage, ovvero se sussistono potenziali impatti, il dato inizialmente ricevuto diventa un evento cyber e, oltre a dover essere gestito, sarĆ una delle metriche descritte nella sezione 6. Importante considerare che questa fase non ĆØ automatizzabile, il lavoro dellāanalista ĆØ preziosissimo. Nella fase di processing delle attivitĆ reattive si passa dallāordine delle migliaia di comunicazioni esaminate (provenienti dalle fonti) tipicamente a circa mille eventi cyber lāanno.
Diverso ĆØ il caso delle attivitĆ proattive dove, considerato il volume dei dati trattati, ĆØ necessaria una forte automazione. La valorizzazione nelle attivitĆ proattive avviene principalmente in tre fasi, lāapplicazione delle current rule, ovvero dei āfiltriā che consentono automaticamente di discriminare se il dato processato ĆØ associabile o meno a una determinata tipologia di evento cyber dāinteresse. Se la current rule āscattaā, si passa alle due fasi successive: la correlazione del potenziale evento cyber con i soggetti della constituency, che valuta se effettivamente potrebbero esserci impatti su almeno un soggetto nazionale; la correlazione con le minacce dāinteresse. ACN dispone infatti di un catalogo di minacce dāinteresse, monitorate in quanto le loro attivitĆ sono tipicamente osservate sui soggetti della constituency. Le minacce comprendono attori statuali, varie tipologie di malware e gli attori cybercrime.
Lāefficacia delle attivitĆ proattive dipende quindi dalla qualitĆ delle current rule che sono state definite per ogni fonte di dati, ma anche dalla capacitĆ di correlare i fattori di rischio e security event individuati con gli elenchi di dispositivi e prodotti dei soggetti della constituency e con il catalogo delle minacce. Al fine di produrre le current rule, i dati provenienti da queste fonti devono essere analizzati preventivamente per individuare quali informazioni possono essere utilizzate per l’identificazione di fattori di rischio e security event. Le current rule cosƬ prodotte sono applicabili in maniera automatica ai dati provenienti dai diversi feed.
Nel processing delle attivitĆ proattive si passa dallāordine dei milioni di potenziali eventi, allāordine delle decine di migliaia di eventi confermati lāanno.
Alcuni dei numeri delle attivitĆ reattive e proattive del CSIRT Italia nel 2022.
Complessivamente, a valle della fase di processing si hanno solo due tipologie di metriche: gli eventi cyber e gli incidenti.
Data visualization: lāultima fase del modello prevede la rappresentazione grafica dei dati, utilizzati per produrre report di analisi e previsionali, ma anche utilizzati ai fini delle attivitĆ di risposta e comunicazione nei confronti dei soggetti potenzialmente impattati.
In Figura 2 si riportano alcuni dei numeri delle attivitĆ reattive e proattive nel 2022.
Metriche (dati misurabili)
A seguito delle attivitĆ di Data processing vengono individuate le seguenti grandezze, che sono poi oggetto delle attivitĆ di analisi volte sia a sviluppare reportistica e trend sia a supportare e avviare le fasi di gestione degli eventi. In particolare, si ha:
ā¢ numero di comunicazioni ricevute, un indicatore, seppur grezzo, di quante notizie di possibili attivitĆ malevoli raggiungono lo CSIRT Italia; maggiore ĆØ il numero di comunicazioni ricevute, maggiore ĆØ potenzialmente il numero di eventi e incidenti;
ā¢ numero di comunicazioni inviate direttamente proporzionale, tra lāaltro, al numero di vulnerabilitĆ esposte dai soggetti della constituency e al numero delle compromissioni rilevate;
ā¢ numero di case, di eventi cyber (con relativa tipologia) e di incidenti con impatto confermato (con relativa tipologia). Insieme, queste tre metriche forniscono uno spaccato quantitativo delle attivitĆ reattive di gestione degli eventi e incidenti;
ā¢ numero, gravitĆ e stima dāimpatto sistemico delle nuove vulnerabilitĆ 7; metriche queste legate alla superficie dāattacco esposta dai soggetti della constituency: piĆ¹ vulnerabilitĆ vuol dire piĆ¹ possibilitĆ per gli attaccanti di compromettere i sistemi;:
ā¢ numero di dispositivi potenzialmente compromessi o a rischio di compromissioni esposti dai soggetti, rilevati dalle attivitĆ di monitoraggio;
ā¢ numero di pubblicazioni (alert, bollettini, report) sui canali pubblici quali sito del CSIRT Italia, Twitter [38] e Telegram [39];
ā¢ numero di attivitĆ di supporto (da remoto o in loco) effettuate per la gestione degli incidenti piĆ¹ gravi.
Tutte queste grandezze sono misurabili nel tempo (ovvero quantificabili a seconda del periodo di analisi, ad esempio al mese, per trimestre, allāanno) ed aggregabili in base alle varie caratteristiche del soggetto a cui queste sono potenzialmente riferibili, nonchĆ© alle tipologie di minaccia segnalata/gestita/rilevata.
CiĆ² avviene in accordo alle varie tassonomie di settori merceologici, pubbliche amministrazioni (ad esempio la categorizzazione dellāindice IPA [40]), imprese (ad esempio piccole/medie imprese, grandi imprese, e cosƬ via) e di eventi cibernetici (Ransomware, DDoS, malwareā¦). A titolo di esempio in Figura 3 si riporta uno dei grafici sul numero di incidenti cibernetici nel 2022, diviso per tipologia di incidente e vittima.
Distribuzione delle tipologie di incidenti rispetto alle diverse istituzione pubbliche.
Conclusioni
Il presente articolo, partendo da alcune definizioni di base, ha presentato le metriche e gli indicatori che vengono utilizzate per caratterizzare lo stato della minaccia cyber del Paese. Ć stato presentato il modello di analisi dei dati ovvero come, a partire da dati grezzi, lāAgenzia per la Cybersicurezza Nazionale arriva a informazioni utilizzabili per le attivitĆ di risposta, per attivitĆ previsionali e di rappresentazione dei dati.
Il processo qui descritto ĆØ stato elaborato sia seguendo le best practice della data analysis, rinvenibili nella letteratura, sia in base alla esperienza maturata nei primi anni di operativitĆ del CSIRT Italia.
Come tutti gli approcci tecnici, presenta margini di miglioramento, che vengono continuamente esplorati tramite approfondimenti ed analisi.
Importante, in questo senso, lo studio dei prodotti degli altri CSIRT nazionali esteri, delle altre Agenzie e dei fornitori, alcuni dei quali richiamati nello stato dellāarte e confrontati in termini di metodologia e di terminologia. CiĆ² tenendo sempre presente che nellāanalizzare dati quantitativi occorre sempre agire con le dovute cautele, a causa delle differenze, talvolta notevoli, di terminologia e di sensibilitĆ degli analisti nel valutare gli impatti degli incidenti.
Le informazioni su altri approcci costituiscono la base per gli sviluppi futuri della metodologia presentata, sviluppi questi da condurre con lāobiettivo di efficientare e incrementare la capacitĆ di data analysis dellāAgenzia. CapacitĆ mirate alla rappresentazione continua e previsionale dello stato della minaccia cyber, a supporto delle attivitĆ di resilienza e di sicurezza nazionale cibernetica del Paese, di cui lāACN ĆØ incaricata.
BIBLIOGRAFIA
[1] Direttiva (UE) 2016/1148 recepita in Italia dal Decreto Legislativo 18 maggio 2018, n.65 https://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg. Al momento tale Direttiva ĆØ in corso di aggiornamento dalla Direttiva europea (EU) 2022/2555
[2] https://www.acn.gov.it/ (ultimo accesso luglio 2023)
[3] https://www.csirt.gov.it/ (ultimo accesso luglio 2023)
[4] https://csrc.nist.gov/glossary/ (ultimo accesso luglio 2023)
[5] https://www.csirt.gov.it/glossario (ultimo accesso luglio 2023)
[6] https://www.gazzettaufficiale.it/eli/id/2019/09/21/19G00111/sg (ultimo accesso luglio 2023)
[7] https://www.gazzettaufficiale.it/eli/id/2019/01/21/19A00317/sg (ultimo accesso luglio 2023)
[8] https://eur-lex.europa.eu/eli/dir/2022/2555 (ultimo accesso luglio 2023)
[9] https://www.enisa.europa.eu/ (ultimo accesso luglio 2023)
[10] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023 (ultimo accesso novembre 2023)
[11] https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends/enisa-threat-landscape/threat-taxonomy/view (ultimo accesso luglio 2023)
[12] https://github.com/MISP/misp-galaxy/blob/main/clusters/sector.json (ultimo accesso luglio 2023)
[13] https://www.enisa.europa.eu/publications/enisa-threat-landscape-methodology
[14] https://cert.europa.eu/about-us
[15] https://cert.europa.eu/publications/tlr-10-years (ultimo accesso luglio 2023)
[16] https://cert.europa.eu/publications/threat-intelligence/2023
[17] https://cert.lv/lv (ultimo accesso luglio 2023)
[18]https://cert.lv/uploads/eng/cert-gada-atskaite-2022-EN-gv.pdf (ultimoa ccesso luglio 2023)
[19] https://www.shadowserver.org (ultimo accesso luglio 2023)
[20] https://www.nksc.lt/en (ultimo accesso luglio 2023)
[21] https://www.nksc.lt/doc/en/2022_key-trends-and-statistics-of-cyber-security.pdf (ultimo accesso luglio 2023)
[22] https://www.ccn.cni.es/index.php/en/ccn-cert-en (ultimo accesso luglio2023)
[23] https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6786-ccn-cert-ia-24-22-ciberamenazas-y-tendencias-edicion-2022-1/file.html (ultimoaccesso luglio 2023)
[24] https://www.ncsc.gov.uk/files/NCSC-Annual-Review-2022.pdf (ultimoaccesso luglio 2023)
[25] https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Securitysituation/IT-Security-Situation-in-Germany-2022.pdf?__blob=publicationFile&v=8 (ultimo accesso luglio 2023)
[26] https://www.bsi.bund.de/EN (ultimo accesso luglio 2023)
[27] https://www.commissariatodips.it/notizie/articolo/resoconto-attivita-2022-della-polizia-postale-e-delle-comunicazioni-e-dei-centri-operativi-sicurezz/index.html (ultimo accesso luglio 2023)
[28] https://www.accenture.com/content/dam/accenture/final/a-com-migration/pdf/pdf-173/accenture-cyber-threat-intelligence-report-vol-2.pdf (ultimo accesso luglio 2023)
[29] https://blog.talosintelligence.com/talos-year-in-review-2022 (ultimo accessol uglio 2023)
[30] https://www.crowdstrike.com/global-threat-report (ultimo accesso luglio2023)
[31] https://www.mandiant.com/m-trends (ultimo accesso luglio 2023)
[32] https://www.microsoft.com/en-us/security/business/security-intelligence-report (ultimo accesso luglio 2023)
[33] https://www.verizon.com/business/resources/reports/dbir (ultimo accesso luglio 2023)
[34] https://www.swascan.com/wp-content/uploads/2023/05/Report-Q1-2023-Def-1.pdf (ultimo accesso luglio 2023)
[35] https://www.trusted-introducer.org/ (ultimo accesso luglio 2023)
[36] https://www.first.org (ultimo accesso luglio 2023) (ultimo accesso luglio2023)
[37] https://www.acn.gov.it/strategia/strategia-nazionale-cybersicurezza (ultimoa ccesso luglio 2023)
[38] https://twitter.com/csirt_it ultimo accesso luglio 2023)
[39] https://t.me/CSIRT_italiano (ultimo accesso luglio 2023)
[40] https://indicepa.gov.it/ipa-portale (ultimo accesso luglio 2023)
[41] https://www.gazzettaufficiale.it/eli/id/2018/06/09/18G00092/sg (ultimo accesso luglio 2023)
- La constituency ĆØ lāinsieme dei soggetti nei confronti dei quali lo CSIRT Italia offre servizi e supporto in termini di prevenzione, monitoraggio, rilevamento, analisi e risposta al fine di prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici Ā ā©ļø
- Le parole CERT (Computer Emergency Response Team) e CSIRT (Computer Security Incident Response Team) sono considerate sinonimi in questa trattazione. Storicamente, il marchio āCERTā ĆØ registrato in USA dalla Carnagie Mellon University, https://www.sei.cmu.edu/our-work/cybersecurity-center-development/authorized-users (ultimo accesso luglio 2023) Specie in Europa, dopo la Direttiva NIS che utilizza il termine CSIRT, gli Stati membri stanno abbandonando lāutilizzo di āCERTā. Ā ā©ļø
- lāart. 18 del citato Dlgs 65 del 2018 consente a oggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali di notificare, su base volontaria, gli incidenti aventi un impatto rilevante sulla continuitĆ dei servizi da loro prestati Ā ā©ļø
- LāHyperSOC, in corso di sviluppo presso ACN, sarĆ un centro di monitoraggio delle informazioni tecniche di sicurezza, che raccoglierĆ dati di cybersicurezza dalle imprese e pubbliche amministrazioni che ne faranno parte e, utilizzando un approccio data driven/big data security, processerĆ le informazioni a beneficio della attivitĆ cyber proattive e reattive; Ā ā©ļø
- ISAC Italia (Information Sharing and Analysis Center Italia), prossimo allāavvio, sarĆ il centro nazionale di condivisione di informazioni strategiche per la cybersicurezza tra gli ISAC settoriali italiani. I dati collazionati centralmente correlati e integrati con quelli dellāHyperSOC abiliteranno capacitĆ avanzate a beneficio dellāanalisi del rischio cyber nazionale, settoriale e verticale su soggetti critici specifici; Ā ā©ļø
- La rete dei CERT territoriali, in corso di istituzione, mira a migliorare le capacitĆ di incident response nazionale delocalizzando i team di intervento, grazie alla collaborazione di CERT territoriali esistenti e da costituire, allineati a metodologie e standard condivisi con CSIRT Italia e a diretto contatto con il centro stella rappresentato dal CSIRT Italia. Ā ā©ļø
- Le nuove vulnerabilitĆ vengono valutate in modo da stimarne il possibile impatto a livello nazionale. La stima ĆØ effettuata tenendo conto di diversi parametri, tra i quali il punteggio di gravitĆ assegnato (c.d. CVSS, https://nvd.nist.gov/vuln-metrics/cvss), la disponibilitĆ di patch/workaround e PoC, la stima di diffusione dei software/dispositivi interessati nella constituency. Ā ā©ļø
Ingegnere informatico e dottore di ricerca, si occupa di cybersicurezza da oltre 15 anni, avendo iniziato come ricercatore allāinterno del Centro di Ricerca di Cyber Intelligence and Information Security (CIS) della Sapienza e successivamente del Laboratorio Nazionale di Cybersecurity del Consorzio Interuniversitario Nazionale per lāInformatica (CINI). Ć tra gli autori, oltre che di articoli scientifici, dei due Libri Bianchi sul futuro della cybersecurity in Italia pubblicati dal CINI nel 2015 e 2018, e degli āItalian Cybersecurity Reportā redatti dal CIS Sapienza dal 2013 al 2016, tra i quali, il Framework Nazionale per la Cybersecurity del 2015. Nel 2017 entra nella Presidenza del Consiglio dei ministri, dove collabora al recepimento della Direttiva NIS e allo sviluppo dellāarchitettura nazionale cyber, partecipando alla realizzazione del Perimetro di Sicurezza Nazionale Cibernetica e occupandosi in seguito di gestione del rischio cyber nazionale allāinterno del CSIRT Italia. Nel 2022 transita presso lāAgenzia per la Cybersicurezza Nazionale in cui attualmente svolge la funzione di Vicecapo della divisione āGestione Rischio Nazionale, CapacitĆ Cyber e Collaborazioniā del servizio Operazioni e dove si occupa di threat landscape, dellāanalisi del livello di rischio cyber di settori e soggetti critici, dellāelaborazione di modelli di stima dāimpatto sistemico di incidenti e vulnerabilitĆ , e dei processi di accreditamento del CSIRT Italia alle reti di collaborazione internazionali.
