Foto di got credit rilasciata sotto licenza cc

Cosa sono i CERT: ecco le risposte ai vostri dubbi

di Andrea Rigoni, Intellium Deloitte – Advisor Cantiere Sicurezza digitale

Lo scorso 10 Aprile si è tenuto a Roma il primo incontro sulla Sicurezza Digitale, tavolo dei Cantieri della PA Digitale 2017. Hanno partecipato circa venti amministrazioni, insieme agli esperti di alcune aziende selezionate. Il tema dei CERT è stato l’oggetto dell’incontro, suscitando una lunga serie di domande e confronti tra le amministrazioni.

Il tema più importante che è emerso è la assoluta necessità di poter disporre di linee guida e raccomandazioni sull’implementazione dei CERT. Sebbene i CERT esistano dal 1998, le amministrazioni (come molte aziende) hanno le idee confuse. Durante la discussione si è cercato di rispondere alle domande più importanti. Riportiamo una sintesi delle domande e alcune delle risposte che sono emerse durante il confronto.

Esistono linee guida per la definizione dei CERT in ambito Pubblica Amministrazione?

Le linee guida esistenti sono state pubblicate da Carnegie Mellon University – Software Engineering Institute e da ENISA. Si tratta di linee guida generiche adatte a qualsiasi settore. Non trattano però le specificità della situazione Italiana, in particolare il modello organizzativo interno, le capabilities di base e la relazione con le altre strutture istituzionali. Il Tavolo ha proposto la possibilità di definire una bozza di linee guida da sottoporre ad Agid per la loro validazione e distribuzione. La discussione su questo punto proseguirà online sulla piattaforma di collaboration di FPA. Le amministrazioni che fossero interessate a partecipare alla discussione sono pregati di contattare FPA per avere accesso alla piattaforma.

Qual è il vero scopo di un CERT?

Sebbene i CERT siano nati come team per la gestione degli incidenti di sicurezza informatica, oggi il loro scopo e la loro missione è differente. Come ribadito dall’intervento di Agid, lo scopo principale di un CERT è quello di rendere portare l’amministrazione in uno stato di “Readiness” sulla Cyber Security. La Readiness è quella capacità di adattare i propri sistemi di difesa (non solo tecnologici, ma in particolar modo procedurali) sulla base dell’evoluzione delle minacce, delle vulnerabilità e degli incidenti avvenuti sia internamente che ad altre organizzazioni esterne. Un elemento fondamentale della readiness è senz’altro la capacità di rilevazione e risposta agli incidenti, capacità che diventa un mezzo e non più un mero fine. Ai fini della Readiness, sono chiave capabilities come i Security Analytics (comprensione di ciò che sta avvenendo sulle proprie infrastrutture e sistemi, ciò  implica una conoscenza approfondita, accurata e in real time dei propri asset, incluse le configurazioni e le vulnerabilità, la Cyber Threat Intelligence ovvero la conoscenza delle minacce esterne e le modalità con cui potrebbero aggredire i propri sistemi e servizi e l’Information Sharing, per consentire alle amministrazioni, le istituzioni, le infrastrutture critiche e l’industria di scambiarsi conoscenza e informazioni (relativi a minacce, vulnerabilità, incidenti, standard di sicurezza, ecc.) al fine di anticipare eventuali attacchi innalzando il proprio livello di protezione.

Quanti tipi di CERT esistono?

Esistono vari tipi di CERT. Potremmo dire che esiste un tipo di CERT per ogni organizzazione, visto che esiste un grande grado di libertà nella loro realizzazione/gestione. Principalmente li possiamo dividere in due macro categorie:

1) CERT Nazionali/Governativi/Settore: hanno il compito principale di definire linee guida per la propria costituency, di divulgare “alert” su minacce e incidenti di sicurezza, di supportare la costituency nella prevenzione/gestione/risoluzione degli incidenti, favorire l’information sharing.

2) CERT interni: hanno il compito di elevare il livello di sicurezza dell’organizzazione stessa attraverso l’innalzamento del livello di Readiness e la rilevazione/gestione degli incidenti. I CERT della prima categoria, più orientati all’Information Sharing e all’awareness in Nord America sono chiamati ISAO – Information Sharing and Alerting Organisation (in US esiste un ISAO Standards Organisation, organizzazione deputata all’emanazione di standard e linee guida per la costituzione di ISAO sia pubblici che privati). Gli ISAO erano conosciuti negli anni scorsi sotto il nome di ISAC – Information Sharing and Alerting Center.

Che differenza c’è tra un SOC e un CERT?

Non esiste una risposta esatta a questa domanda. Il CERT non sono più necessariamente delle strutture dedicate, ma delle capabilities. Queste possono essere avviate all’interno di una struttura organizzativa già esistente, come il SOC, oppure in strutture parallele o separate. Esistono quindi casi di CERT completamente integrati all’interno di un SOC e casi opposti di CERT completamente separati dai SOC. Molto dipende anche dal tipo di CERT (vedi punto precedente). Di sicuro, indipendentemente dal modello utilizzato, i SOC e i CERT devono avere una interazione estremamente forte. I CERT hanno senz’altro una connotazione diversa, in quanto fungono da centro nevralgico di collegamento tra tutte le strutture operative interne (tra cui il SOC, ma anche tutte le altre strutture coinvolte nella sicurezza, tra cui IT, Business, legale, comunicazione), il top management e le strutture esterne(istituzioni, CERT nazionale/settore, forze dell’ordine, altre organizzazioni similari, associazioni, service provider, gruppi di lavoro, ecc.).

Tutte le organizzazioni che hanno un CERT lo dichiarano?

No. Alcune organizzazioni dispongono di capabilities di Incident Response e Readiness che però non chiamano CERT. CERT è una definizione e non è detto che una organizzazione decida di adottarla. Ci sono alcuni tavoli internazionali che stanno proponendo l’uso di definizioni più aggiornate come “Cyber Strategic Nerve Center” o “Advanced Cyber Defence Center”.

Anche i fornitori di servizi Cloud dovrebbero dotarsi di un CERT?

Si e no.. Le amministrazioni, come le infrastrutture critiche, hanno la necessità di poter interagire con i propri Cloud provider (o Service Provider più in generale) sia in caso di incidente che in fase di prevenzione. I proprio fornitori, in particolare fornitori Cloud e Service Provider, dovrebbero far parte del sistema di difesa dell’amministrazione e dovrebbero partecipare anche alle attività di Esercitazione periodica. Non è detto che il fornitore di Servizi chiami la propria capacità con la sigla CERT. Inoltre, sebbene la presenza di un CERT sia senz’altro indicatore di una certa maturità nella gestione della sicurezza, un Cloud Provider o Service Provider potrebbe offrire le capacità di risposta direttamente dal proprio SOC. Per l’amministrazione cliente è importante non fermarsi alle definizioni, ma sedersi con i proprio fornitori per comprendere come i propri processi di Cyber Security finalizzati alla Readiness possano interagire in modo efficace con quelli del Provider.

Quali potrebbero essere i vantaggi di un approccio coordinato ai CERT?

Se i CERT nelle Amministrazioni nasceranno in maniera uniforme, sarà possibile innescare processi di collaborazione e difesa collettiva tra amministrazioni, facendo un uso migliore delle poche risorse disponibili. In un piano coordinato tra amministrazioni, alcuni funzioni potrebbero essere centralizzate oppure sviluppate da una amministrazione che le può mettere a disposizione delle altre secondo regole e compensazioni da definire.

Quanto sono importanti le esercitazioni?

Le esercitazioni sono uno strumento ancora poco utilizzato, ma di fondamentale importanza. Proprio come un pilota impara a far atterrare un aereo con un motore in fiamme attraverso numerose sessioni in  un simulatore, così le organizzazioni (sia pubbliche che private) dovrebbero prepararsi costantemente a fronteggiare attacchi di vario tipo. Le esercitazioni dovrebbero essere costruite sulla base delle più recenti tecniche e strumenti adottati dagli attori di minaccia. L’esercitazione ha sia lo scopo di formare il personale, ma anche quello di testare le procedure e verificare il vero livello di efficacia del proprio sistema complessivo di difesa. Il CERT è la cabina di regia che predispone e coordina l’esercitazione, sia quelle interne, che quelle di settore o nazionali. Le esercitazioni organizzate da ENISA sono un punto di partenza importante, non di arrivo. Ogni amministrazione dovrebbe svolgere più esercitazioni all’anno, con scenari sempre aggiornati e allineati con l’attuale scenario di minaccia.

Durante la discussione sono emersi ulteriori spunti che verranno ripresi a breve nelle discussioni online sulla piattaforma di collaborazione di FPA.

Foto di got credit rilasciata sotto licenza cc