Cybersecurity e infosharing: zero incidenti

La strategia di info-sharing ha consentito di incrementare i livelli di sicurezza cibernetica, attraverso applicazioni e sistemi di controllo basati su di una difesa collaborativa tra imprese. Il problema iniziò ad evidenziarsi con insistenza e con ripercussioni sempre più significative sulla operatività dei nostri sistemi.

Nel 2017 ci trovammo al centro di campagne di phishing effettuate da pirati informatici, in cui gli attacchi cyber tramite virus, malware e ransomware, venivano veicolati tramite e-mail di false aziende di energia, di telecomunicazioni e di spedizioni, dirette al nostro personale sul dominio della posta elettronica aziendale. Le scoprimmo grazie alle verifiche e analisi da parte del Security Operation Center (SOC), e in seguito ai bollettini di sicurezza forniti dal Computer Emergency Response Team (CERT) istituito nell’ambito di AgID (Agenzia per l’Italia Digitale) che si occupa di prevenzione e gestione degli incidenti di sicurezza informatici. Nacque così l’esigenza di proteggere i device degli utenti interni e conseguentemente, considerata la loro interconnessione con i server centrali, i dati dell’Istituto.

L’idea fu quella di “educare” gli utenti, considerati da sempre e dai vari esperti di cybersecurity l’anello debole della catena della sicurezza informatica. Sono essi i primi a dover riconoscere le e-mail sospette e quindi prendere le dovute precauzioni e le azioni necessarie al fine di evitare il diffondersi dei virus. L’intuizione fu inizialmente quella di utilizzare lo stesso mezzo degli attaccanti, cioè l’invio massivo a tutti gli utenti di mail che spiegassero, nel caso di ricezione di mail considerate sospette, quale comportamento adottare.

fig infosharingVennero allora inoltrate periodicamente a tutti gli utenti le informative sulle verifiche effettuate dal SOC e i bollettini inviati dal CERT, opportunamente commentati per una maggiore comprensione. In seguito, si avviarono iniziative di comunicazione interna, anche con l’aiuto di tutorial, per spiegare a tutto il personale come difendersi dai malware e dal phishing. Fu istituita una casella di posta dedicata, per consentire a chiunque ne avesse bisogno di sottoporre al CERT e-mail sospette e/o con allegati sospetti, e ricevere un feedback da parte degli analisti.

I riscontri che ricevemmo dimostrarono l’efficacia delle iniziative intraprese, e l’utilità del mettere l’utente finale nelle condizioni di comprendere in autonomia quando si trovava di fronte a delle e-mail pericolose ed agire di conseguenza. Tuttavia, sin da subito si percepiva l’esigenza di integrare tali attività di verifica “manuale”, svolte per iniziativa individuale, all’interno di un più articolato sistema di controlli automatizzati.

Quelle modalità di education e collaboration con gli utenti vennero fatte evolvere. All’utente venne offerta l’opportunità di fruire di un ambiente personalizzato dove effettuare in autonomia e con immediatezza la verifica di file o di URL sospette, e avere un responso immediato sulla loro pericolosità. Più precisamente, per l’utente era sufficiente inoltrare la mail con l’eventuale allegato a una casella di posta specifica che, analizzando automaticamente quanto inviato, restituisce come esito uno score da 0 a 10 che indica in maniera crescente la pericolosità dell’oggetto analizzato. Lo score da 5 a 10 viene fornito all’interno di un semaforo a luce rossa che indica all’utente che deve cancellare la mail. SOC e CERT rimangono sempre di supporto per la presa incarico di problematiche di livello superiore o di ausilio per situazioni incerte. Il caricamento automatico delle informazioni derivanti dalle analisi ha consentito di arricchire ancora più significativamente la knowledge base del sistema, con conseguente innalzamento della protezione per l’intero sistema.

Visto il successo della soluzione, fu implementata un’ulteriore evoluzione della fattiva collaborazione con il CERT nello scambio d’informazioni relative alla cybersecurity. Offrimmo al CERT e a tutta la costituency l’uso della nostra piattaforma, al fine di una reale strategia di difesa collaborativa incentrata sull’information sharing tra tutte le Amministrazioni. La proposta fu accolta dal CERT con grande favore, anche perché permette tuttora l’alimentazione di un repository per la conoscenza delle minacce che può essere utilizzato in condivisione da una molteplicità di aziende ed enti per l’immediata attivazione della protezione.

A tal proposito, è importante ricordare come l’info-sharing sia indicato come un elemento chiave nel contrasto delle minacce cyber su scala globale, si veda ad esempio il piano strategico nazionale per la sicurezza cibernetica e la recente direttiva NIS. La piattaforma creata è stata anche configurata per connettersi al MISP (Malware Information Sharing Platform), condividendo gli output delle analisi svolte e contribuendo così ad incrementare la Knowledge Base degli IoC (indicatori di compromissione). La condivisione degli IoC, oltre che del singolo malware, consente di poter capire se sono in atto campagne malevole ed individuarne i possibili obiettivi. L’individuazione tempestiva di questo tipo di minacce notificata a tutti i gruppi di sicurezza interessati, è alla base dell’attuazione di tecniche di difesa preventiva.

Alla fine, grazie anche al giudizio e all’accoglienza favorevole, si è giunti ad una situazione in cui gli utenti prestano attenzione ai contenuti delle mail ricevute, effettuano per proprio conto le verifiche di sicurezza tramite gli strumenti messi a disposizione per poi agire di conseguenza. A livello di intera organizzazione, non solo si è riusciti ad incrementare i livelli di sicurezza cibernetica, ma si è iniziato ad erogare servizi di analisi e difesa dai malware ad altre aziende ed amministrazioni.

L’obiettivo attualmente è stato raggiunto. Quale? Zero incidenti naturalmente.

Con la soddisfazione aggiuntiva che le procedure messe a punto dal nostro team hanno ottenuto una serie di riconoscimenti: considerato uno dei 10 migliori progetti a livello nazionale nell’ambito “Cybersecurity, business continuity, crisis management, sicurezza dei sistemi informativi”; il nostro motore di analisi dei malware è stato censito da Infosec nella lista di strumenti (tools) e risorse “Awesome Malware Analysis”, tra i migliori repository di analisi di malware (Malware Corpora) e tra i siti più affidabili da cui ricevere le liste di distribuzione per gli IoC (Indicatori di compromissione di sicurezza) (Related Awesome Lists). Questo elenco di strumenti e risorse è liberamente e periodicamente redatto dalla comunità dei ricercatori internazionali con lo scopo di segnalare i migliori sistemi di analisi malware a livello globale.

Tags: organizzazione e processi

Site Meter