INTERVISTA di Elena Vaciago, Associate Research Manager, The Innovation Group a Gerardo Costabile, Esperto di Cybersecurity, Intelligence e Digital forensics, Professore di Sicurezza Aziendale all’Università Telematica San Raffaele di Roma, Presidente IISFA (International Information Systems Forensics Association).

Le attività di Cyber spionaggio preoccupano, come riportato nell’approfondimento di questa newsletter sulla vicenda dei fratelli Occhionero.  Gli enti pubblici e privati italiani devono ripensare la propria capacità di difesa e intelligence: ne abbiamo parlato con Gerardo Costabile.

Qual sono oggi i principali trend della Cyber intelligence e della Digital forensic che si osservano oggi?

L’argomento tecnico che Aziende e Istituzioni dovranno affrontare nel 2017 sarà l’implementazione di un maturity model della Cyber threat intelligence a supporto delle attività di prevenzione e detection; l’Incident response e la Digital forensic servono in una fase successiva, ma possono essere “guidate” da una buona attività di Cyber intelligence. Non a caso di parla in gergo di “Cyber Threat Hunting”. La Cyber threat intelligence è un concetto che innanzi tutto va correttamente inquadrato dal punto di vista terminologico: ci sono varie interpretazioni a seconda dell’interlocutore. A titolo esemplificativo ci sono topic di cyber intelligence per la sicurezza nazionale, per il monitoraggio di informazioni in rete o sui social network, sul deep web e sul dark web, con un approccio per “semantica” multilingua, dove OSINT e HUMINT possono trovare un punto di sintesi. Un altro discorso ancora è l’intelligence per prevenire le frodi, verificare se ci sono campagne di phishing che stanno attaccando i servizi bancari, o se c’è vendita di credenziali e carte di credito nell’underground del black market (oggi si direbbe nel dark web). Avere prima queste informazioni permette di prevenire gli usi illeciti, a tutela di clienti, dipendenti, cittadini.

Una definizione più specifica di Cyber threat intelligence potrebbe essere questa: disporre di un “knowledge” basato su evidenze tecniche (ad esempio dati, meccanismi, modalità, IoC, etc) in ordine a minacce emergenti o attuali alla cybersecurity dei propri asset. Prendiamo il caso del malware presumibilmente utilizzato dai fratelli Occhionero. Al di là delle informazioni giornalistiche è fondamentale, per un Security manager, avere informazioni tecniche adeguate per fare un’analisi operativa nella propria infrastruttura, per comprendere se si è stati sotto attacco o meno.  Una buona Cyber threat intelligence mi può servire per fare questi “controlli del giorno dopo” o, meglio ancora, “del giorno prima”. Avere gli indirizzi IP dei server americani a cui il malware inviava i dati “spiati” mi consente di metterli in blacklist; comprendere tecnicamente il funzionamento di un trojan di cyberspionaggio mi consente di andare oltre ai normali antimalware, lavorando su indicatori di compromissione più “complessi”, oltre che mediante “behavior analytics”. In ogni caso questa materia andrebbe affrontata sia con approccio tattico sia con approccio più strategico.

Quale è la situazione dell’Italia su questi temi?

L’Italia è un po’ indietro: quello che servirebbe è fare in modo che il SOC aziendale sia più intelligence-driven. La parte di monitoraggio e detection deve essere “guidata” da un patrimonio informativo e da una capacità di analisi che si è sviluppata nel tempo, tecnica e meno tecnica, esterna ed interna. In ambito internazionale, in un ipotetico Maturity model, si parla difatti di “cyber threat fusion”.

In generale, in ambito di contrasto al c.d. “rischio cyber”, si osservano a livello internazionale 3 possibili approcci (anche sovrapponibili):

• Guidato da ipotesi: in base alla conoscenza delle vulnerabilità et similia, si fanno delle ipotesi sulla possibilità di essere potenzialmente attaccati/attaccabili.
• Basato su Indicatori di Compromissione (IoC): gli IoC sono informazioni tecniche che un SOC può subito applicare per verificare se è avvenuta una compromissione, se è presente un malware sui sistemi. Comprendono anche delle regole sulle attività da svolgere in caso di compromissione, rendendo quindi tutto il processo di Incident Management molto più efficiente.
• Basato su analisi comportamentali (behavior analytics) e su dati statistici/Machine learning: in caso di anomalie rispetto a comportamenti (Anomaly detection), osservate su reti o sistemi, scattano in automatico degli alert da gestire.

In Italia abbiamo un mercato a macchia di leopardo e – purtroppo – si sottovaluta il ruolo degli analisti rispetto all’acquisto di piattaforme. Inoltre, personalmente sono abbastanza scettico su un approccio tecnico di tipo statistico senza aver fatto un percorso basato su regole e indicatori, con la speranza di “saltare” più velocemente il gap tecnico. Si rischia di avere una mole enorme di falsi positivi e di non avere le corrette competenze per la gestione di questi processi. 

Cosa ci possiamo aspettare per il 2017 sul fronte dell’utilizzo di soluzioni di Cyber threat intelligence?

Oggi il principale limite dell’attuale (e pressoché timido) approccio alla Cyber threat intelligence è il fatto che queste analisi sono ancora sconnesse agli aspetti di risposta in caso di incidente. Si ottengono delle informazioni ma sono scollegate tra loro, c’è una manualità eccessiva e numerosi automatismi ancora da creare. La connessione diretta tra le informazioni, il contesto, le regole di contrasto tecnologico sono ancora tutte da creare; chi ha cominciato a lavorare con questo obiettivo, deve ancora ottimizzare il tutto, chi invece è più indietro dovrà colmare il gap. Oggi il problema di chi gestisce le infrastrutture (pensiamo ad esempio a un centralino telefonico di una filiale bancaria o di una grande azienda, che può essere attaccato come testa di ponte per ulteriori intrusioni) deve essere in grado di capire se la minaccia è applicabile al suo contesto. Come è configurato l’apparato? Esiste una black list? Quali sono le vulnerabilità? La mancanza di competenze interne può essere un grave problema; analogamente è fondamentale una conoscenza interna delle proprie infrastrutture oltre che una capacità di connettere quello che è il contesto interno con le minacce esterne (come già accennato, questo processo potremo chiamarlo “Cyber threat fusion”).