Il CERT-PA avvia la fase pilota della Piattaforma Nazionale per il contrasto agli attacchi informatici

25/10/2019

CTI MineMeld misp STIX TAXII

Favorire – tra le pubbliche amministrazioni – lo scambio automatizzato di informazioni (infosharing) che interessano eventi di rischio cibernetico, grazie a standard tecnici, linguaggio comune e soluzioni open source, per facilitarle nel trattamento e nella prevenzione degli attacchi informatici e, di conseguenza, nell’applicazione del Decreto Legislativo 18 maggio 2018 n.65 “direttiva NIS”.

Questi gli obiettivi della piattaforma nazionale che, oltre a trasmettere indicatori di compromissione (IoC), consentirà di notificare e rappresentare – in maniera automatica – gli eventi di rischio informatico in diversi scenari di condivisione.


Introduzione

La piattaforma, di cui è stata avviata la fase pilota il 16 ottobre 2019, vede la collaborazione di undici soggetti istituzionali e del mercato, individuati dal CERT-PA, tra cui sette amministrazioni, due in-house e due privati.

L’iniziativa è stata avviata con l’approvazione e la supervisione del Nucleo per la sicurezza cibernetica (NSC) costituito presso il Dipartimento delle informazioni per la sicurezza. Obiettivo di questa fase – che si concluderà a fine anno – è di mettere a punto la piattaforma di cyber threat intelligence (CTI) grazie alla quale è possibile ricevere informazioni rilevanti ai fini della prevenzione e del monitoraggio di attacchi informatici.

La fase pilota, concepita in ottica collaborativa, consentirà – grazie ai feedback ricevuti – sia di migliorare il prototipo sviluppato sia di consolidare e ampliarne la platea di fruitori rilasciando la versione finale per tutte le amministrazioni italiane.

La piattaforma – che utilizza componenti open source – contiene anche un proprio client, sviluppato da CERT-PA, che consente l’utilizzo delle funzionalità del servizio a tutti gli interlocutori.

Implementazione

Tecnicamente per la realizzazione del progetto sono stati adottati gli standard STIX (Structured Threat Information eXpression) e TAXII (Trusted Automated eXchange of Indicator Information).

Si tratta di due componenti open source, supportati da OASIS nell’ambito del progetto OASIS Cyber Threat Intelligence (CTI), ed in particolare:

  • STIX è un linguaggio strutturato, processabile da strumenti automatici, espressamente sviluppato per descrivere e scambiare informazioni su un evento cibernetico, anche complesso, corredandole con informazioni peculiari per la CTI;
  • TAXII è un protocollo applicativo di comunicazione e trasporto di dati che, tramite i concetti di “collezioni” e “canali”, permette di orchestrare, in modalità diverse, la consegna degli stessi nel contesto di riferimento.

Le due implementazioni – adattate alle esigenze nazionali – abilitano l’infosharing, la trasmissione e la notifica degli eventi cibernetici con diversi scenari di condivisione.

Caratteristiche aggiuntive

Tramite la proficua collaborazione con un gruppo di lavoro formato da AgID, INAIL, Pirelli e Telecom Italia, si è realizzato un modello dati STIX (ver. 2.0) per rispondere ad esigenze generiche nell’ambito della CTI, non strettamente vincolate quindi alla gestione delle minacce cyber nel dominio della sola PA. I partner hanno supportato tutte le attività svolte, testandone gli avanzamenti e le migliorie che, volta per volta, sono state adottate nelle fasi di sviluppo.

L’infrastruttura, attivata in forma sperimentale fin dai primi mesi del 2019, è stata gradualmente evoluta anche per garantirne l’integrazione con prodotti di terze parti tra cui:

  • MineMeld, un framework open source di Palo Alto Networks, capace di semplificare l’aggregazione, l’applicazione e la condivisione delle informazioni in ambito CTI .
  • MISP, una soluzione open source molto diffusa per collezionare, storicizzare, distribuire e condividere indicatori di compromissione e minacce in riferimento ad incidenti di natura cibernetica.

Per acquisire le informazioni nel modo più completo e libero da vincoli tecnologici esterni, il CERT-PA ha sviluppato anche un proprio client TAXII flessibile, interoperabile e multipiattaforma che, a differenza delle due soluzioni open source indicate, eroga tutte le funzionalità del servizio e svincola l’utilizzatore finale da requisiti onerosi o conoscenze particolari.

Agevolare la ricezione delle informazioni tramite differenti servizi – come i framework MineMeld e l’istanza MISP del CERT-PA, del client CNTI o della libreria Cabby di EclecticIQ – garantisce interoperabilità con i sistemi e prodotti di terze parti già in uso dalle organizzazioni.

Di seguito uno schema riassuntivo dei servizi intesi come nodi di scambio delle informazioni:

La piattaforma, composta da vari elementi tra cui il client denominato CNTI (Client Nazionale Trasmissione IoC), è partita con la sua fase pilota che verrà portata avanti dal gruppo di strutture selezionate. Dopo questa fase verranno implementate le migliorie finalizzate sia a consolidare il progetto che ad ampliare la platea di fruitori, garantendo una maggiore facilità di utilizzo del servizio che potrà essere inserito nei processi tecnologici volti al governo della sicurezza aziendale.

Informazioni trasmesse

La piattaforma realizzata è in grado di elaborare due distinti flussi basati su due modelli STIX:

  • Il primo, alimentato automaticamente dalla piattaforma Infosec, che opera sulla base di analisi malware automatizzate e che alimenta solo specifiche tipologie di IoC (feed malware);
  • L’altro, gestito dal CERT-PA, che propone contenuti controllati e validati circa eventi cibernetici che tipicamente emergono dalle attività di monitoraggio e dalle analisi quotidianamente svolte sul dominio della PA.

Questi flussi di dati, IoC o avvisi riferibili a minacce di natura cibernetica, possono essere ricevuti in tempo reale dalle organizzazioni “consumer” collegate alla piattaforma e direttamente processabili, in modalità “machine-to-machine”, dalle tecnologie più comuni, automatizzandone la gestione e l’applicazione delle informazioni con particolare riferimento agli IoC, potendo così disporre di contromisure praticamente immediate.

Approccio collaborativo

Un processo volto a favorire lo scambio informativo è stato attuato per incentivare gli stessi fruitori del servizio a contribuire a loro volta – tramite l’immissione “validata” di eventi cibernetici o di campioni di malware osservati nel contesto aziendale – alla circolazione delle informazioni di CTI.

L’obiettivo si realizzerà con il prossimo rilascio dei nuovi sistemi Infosec (indicato in “Awesome project” tra i Malware Corpora come strumento di analisi malware) e del Portale riservato di Info-sharing, sempre realizzati dal CERT-PA, e si completerà con il rilascio del client CNTI nella versione 1.0.

Di seguito un prospetto schematico del processo che sintetizza le interazioni funzionali implementate nell’ecosistema informatico in divenire:


Riferimenti

Riferimenti al Piano triennale 2019-2021 per l’informatica nella pubblica amministrazione: