I Critical Security Controls sono una risorsa essenziale per tutti coloro che intendono approcciare la cybersecurity a livello d’impresa e sono alla base della Circolare 2/2017 di AgID. Pochi conoscono questa risorsa, quindi è opportuno approfondire bene l’argomento.
Considerazioni preliminari
Questo articolo è il primo di una serie di scritti che andranno ad esaminare i CSC 8 più nel dettaglio. L’argomento è così complesso che un singolo articolo non riuscirebbe ad affrontare la tematica in modo efficace.
La Circolare 2/2017 di AgID reca le “Misure Minime di Sicurezza ICT per la pubbliche amministrazioni” ed è un obbligo normativo dal 31/12/2017. Al momento della redazione di queste misure minime, si era fatto riferimento a tre risorse:
- Direttiva 1 agosto 2015: Direttiva del Presidente del Consiglio dei Ministri 1 agosto 2015.
- SANS 20: CIS Critical Security Controls for Effective Cyber Defence – versione 6.0 di ottobre 2015
- Cyber Security Report: La Sapienza – 2015 Italian Cyber Security Report del CIS
Sono questi i tre documenti citati dentro la Circolare 2/2017 e non è un caso che il documento due contenga un riferimento ai Critical Security Controls che all’epoca erano di livello 6. A pagina 67-68 della Gazzetta Ufficiale si legge:
La scelta di prendere le mosse dall’insieme di controlli noto come SANS 20, oggi pubblicato dal Center for Internet Security come CCSC «CIS Critical Security Controls for Effective Cyber Defense» nella versione 6.0 di ottobre 2015, trova giustificazione, oltre che nella larga diffusione ed utilizzo pratico, dal fatto che esso nasce con una particolare sensibilità per i costi di vario genere che l’implementazione di una misura di sicurezza richiede, ed i benefici che per contro è in grado di offrire. L’elenco dei venti controlli in cui esso si articola, normalmente riferiti come Critical Security Control (CSC), è ordinato sulla base dell’impatto sulla sicurezza dei sistemi; per cui ciascun controllo precede tutti quelli la cui implemen- tazione innalza il livello di sicurezza in misura inferiore alla sua. È comune convinzione che i primi cinque controlli siano quelli indispensabili per assicurare il minimo livello di protezione nella maggior parte delle situazioni e da questi si è partiti per stabilire le misure minime di sicurezza per la pubblica amministrazione italiana, avendo ben presente le enormi differenze di dimensioni, mandato, tipologie di informazioni gestite, esposizione al rischio, e quant’altro caratterizza le oltre ventimila amministrazioni pubbliche.
Critical Security Control 8
La versione 8 dei Critical Security Controls è stata definita a maggio 2021 e implementa 53 nuovi controlli di sicurezza. Da tempo si discute se aggiornare la Circolare AgID 2/2017 con i CSC 8, previo “adattamento” di AgID alla realtà italiana della P.A. Tuttavia questi controlli di sicurezza sono poco conosciuti e quindi vale la pena imparare a conoscerli meglio.
I principi alla base dei controlli
Ufficialmente i CSC nascono intorno a principi ben definiti e sono davvero interessanti da esaminare:
- L’attacco informa la difesa. I Controlli CIS vengono selezionati, eliminati e prioritizzati in base ai dati e alla conoscenza specifica del comportamento dell’attaccante e su come fermarlo
- Focalizzazione. Aiutare i difensori nell’identificare gli elementi più importanti di cui necessitano per fermare gli attacchi più importanti. Evitare dall’essere tentato di risolvere ogni problema di sicurezza, evitare di aggiungere “cose buone da fare” o “cose che potresti fare”.
- Fattibilità. Tutte le singole raccomandazioni (Salvaguardie) devono essere specifiche ed implementabili in modo pratico.
- Misurabilità. Tutti i Controlli CIS, specialmente per il Gruppo Implementazione 1, devono essere misurabili. Semplificare o eliminare le ambiguità linguistiche per evitare interpretazioni non coerenti. Alcune salvaguardie possono avere una soglia.
- Allineamento. Creare e dimostrare una “convivenza pacifica” con altri regolamenti, amministrazioni, processi gestionali, frameworks e strutture. Cooperare puntando ad altri standard e raccomandazioni di sicurezza se esistenti ad esempio Istituto Nazionale degli Standard Tecnologici (NIST®), Cloud Security Alliance (CSA), Software Assurance Forum for Excellence in Code (SAFECode), ATT&CK, Open Web Application Security Project® (OWASP®)
I controlli di sicurezza sono assoggettati a funzioni specifiche destinate a proteggere l’intero perimetro cibernetico. Tali funzioni sono: rilevare (detect), identificare (identify), proteggere (protect), recuperare (recover), rispondere (respond).
Elenco dei controlli e descrizione
Di seguito l’elenco delle “famiglie” di controlli con un estratto descrittivo della singola famiglia.
- Inventario e controllo delle risorse aziendali: gestire attivamente (inventariare, tracciare e correggere) tutte le risorse aziendali (dispositivi dell’utente finale, mobili e portatili inclusi, dispositivi di rete, dispositivi non informatici/ Internet of Things – IoT e server) connessi all’infrastruttura fisicamente, virtualmente, in remoto e quelli in ambienti cloud, per conoscere con precisione la totalità delle risorse che devono essere monitorate e protette in azienda. Le aziende non possono difendere ciò che non sanno di avere. Il controllo gestito di tutte le risorse aziendali svolge anche un ruolo fondamentale nel monitoraggio della sicurezza, nella risposta agli incidenti, nel backup e ripristino del sistema.
- Inventario e controllo delle risorse software: gestire attivamente (inventariare, tracciare e correggere) tutto il software (sistemi operativi e applicazioni) sulla rete in modo che solo il software autorizzato possa essere installato ed eseguito e che il software non autorizzato e non gestito venga trovato impedendone l’installazione o l’esecuzione. Un inventario software completo è una base fondamentale per prevenire gli attacchi. Gli aggressori scansionano continuamente le aziende bersaglio cercando versioni vulnerabili di software che possono essere sfruttate da remoto.
- Protezione dati: Sviluppare processi e controlli tecnici per identificare, classificare, elaborare in sicurezza, conservare ed eliminare i dati. I dati non sono più contenuti solo all’interno dei confini aziendali; sono in cloud, sui dispositivi portatili degli utenti finali utilizzati per il lavoro da casa, spesso in condivisione con partner o servizi online che potrebbero trovarsi in qualsiasi parte del mondo.
- Configurazione sicura delle risorse aziendali e del software: stabilire e mantenere la configurazione sicura delle risorse aziendali (dispositivi dell’utente finale, inclusi portatili e mobili, dispositivi di rete, dispositivi non informatici / IoT, server) e software (sistemi operativi e applicazioni). Così come fornite da produttori e rivenditori, le configurazioni predefinite per risorse e software aziendali sono normalmente orientate alla facilità di implementazione e di utilizzo piuttosto che alla sicurezza.
- Gestione degli account: utilizzare procedure e strumenti per assegnare e gestire l’autorizzazione delle credenziali a risorse e software aziendali, per gli account utente, inclusi quelli amministrativi e di servizio. È più facile per un malintenzionato esterno o interno ottenere l’accesso non autorizzato alle risorse o ai dati aziendali utilizzando credenziali utente valide piuttosto che “hackerando” l’ambiente.
- Gestione del controllo degli accessi: utilizzare processi e strumenti per creare, assegnare, gestire e revocare credenziali di accesso e privilegi per gli account utenti, amministratori, di servizio per le risorse e i software aziendali.Mentre i Controlli CIS 5 si occupano specificamente della gestione degli account, i Controlli CIS 6 si concentrano sulla gestione dell’accesso di questi ultimi, garantendo che gli utenti abbiano l’autorizzazione solo ai dati o alle risorse aziendali necessari per il loro ruolo e garantendo che sia presente un’autenticazione di tipo forte per funzioni o dati di particolare sensibilità o criticità.
- Gestione continua delle vulnerabilità: sviluppare un piano per valutare e monitorare costantemente le vulnerabilità su tutte le risorse aziendali all’interno dell’infrastruttura, al fine di rimediare e ridurre al minimo la finestra di opportunità per gli aggressori. Monitorare le fonti di informazione del settore pubblico e privato per conoscere le più recenti minacce e vulnerabilità. La difesa informatica è costantemente sfidata da aggressori che cercano vulnerabilità all’interno dell’infrastruttura da sfruttare per ottenerne l’accesso. I difensori devono avere a loro disposizione informazioni tempestive sulle minacce riguardanti: aggiornamenti software, patch, avvisi di sicurezza, bollettini, ecc., e dovrebbero rivedere con regolarità i loro ambienti per individuare le vulnerabilità prima che lo facciano gli attaccanti.
- Gestione dei LOG di controllo: raccogliere, avvisare, esaminare e conservare i log di controllo degli eventi che potrebbero aiutare a rilevare, comprendere o rimediare in seguito ad un attacco. Raccolta ed analisi dei log sono fondamentali per la capacità di un’azienda nel rilevare rapidamente attività dannose. A volte i record di audit sono l’unica prova di un attacco riuscito.
- Protezione della posta elettronica e del browser web: migliorare le protezioni ed il rilevamento delle minacce provenienti dalle e-mail e da vettori web, che danno l’opportunità agli aggressori di manipolare il comportamento umano sfruttandone il diretto coinvolgimento. I browser Web e i client di posta elettronica sono punti di accesso molto comuni per gli aggressori a causa della loro interazione diretta con gli utenti che operano in azienda. Il contenuto può essere creato per invogliare o indurre gli utenti nel divulgare di credenziali, fornire dati sensibili o aprire un canale per consentire agli aggressori di ottenere l’accesso, aumentando così il rischio per l’azienda.
- Difesa dal malware: prevenire o controllare installazione, diffusione ed esecuzione di applicazioni, codici o script dannosi sulle risorse aziendali. Il software dannoso (definito anche come virus o trojan) è un aspetto integrante e pericoloso delle minacce provenienti da Internet. Possono avere molti scopi: acquisizione di credenziali, furto di dati, identificazione di altri obiettivi all’interno della rete, crittografia o distruzione dei dati.
- Recupero dei dati: Stabilire e mantenere sufficienti procedure di ripristino dei dati per riportare le risorse aziendali in funzione ad uno stato attendibile di pre-incidente. Nel triangolo della sicurezza informatica—Riservatezza, Integrità e Disponibilità (CIA)—la disponibilità dei dati è, in alcuni casi, più critica della loro riservatezza. Le aziende hanno bisogno di molti tipi di dati per prendere le loro decisioni e, quando tali dati non sono disponibili o non sono attendibili, potrebbero avere un impatto sull’attività.
- Gestione dell’infrastruttura di rete: Stabilire, implementare e gestire attivamente (tracciando, segnalando, correggendo) i dispositivi di rete, al fine di impedire agli aggressori di sfruttarne servizi e punti di accesso vulnerabili. L’infrastruttura di rete sicura è una difesa essenziale contro gli attacchi. Ciò include un’architettura di sicurezza appropriata, che affronti le vulnerabilità che sono spesso introdotte con le impostazioni predefinite, monitorando le modifiche e rivalutando le configurazioni correnti. L’infrastruttura di rete include dispositivi come gateway fisici e virtualizzati, firewall, punti di accesso wireless, router e switch.
- Monitoraggio e difesa della rete: adottare processi e strumenti per stabilire e mantenere un monitoraggio completo della rete e una difesa contro le minacce alla sicurezza dell’infrastruttura di rete aziendale e agli utenti. Non è possibile affidarsi ad una difesa di rete perfetta. Gli avversari continuano ad evolversi e maturare, mentre condividono o vendono informazioni nelle loro comunità su exploit e bypass dei controlli di sicurezza. Anche se gli strumenti di sicurezza funzionano “come pubblicizzato”, è necessario comprendere il livello di rischio aziendale per configurarli, ottimizzarli e tracciarli al fine di renderli efficaci.
- Sensibilizzazione formazione sulle competenze di sicurezza: stabilire e mantenere un programma di sensibilizzazione alla sicurezza per istruire il personale affinché sia consapevole ed adeguatamente preparato per ridurre i rischi di sicurezza informatica aziendali. Le azioni delle persone svolgono un ruolo fondamentale per il successo o il fallimento del programma di sicurezza aziendale. È più facile per un malintenzionato indurre un utente a cliccare su un collegamento o aprire un allegato di posta elettronica per installare un malware al fine di entrare in un’azienda, piuttosto che trovare un exploit di rete per farlo direttamente.
- Gestione dei service provider: sviluppare una procedura per valutare i Service Provider che detengono dati sensibili o sono responsabili delle piattaforme o dei processi IT aziendali più importanti, per assicurarsi che proteggano tali piattaforme ed i dati in modo appropriato. Nel nostro mondo, moderno e connesso, le aziende si affidano a fornitori e partner per gestire i propri dati o si affidano a infrastrutture di terze parti per le principali funzioni o applicazioni.
- Sicurezza degli applicativi: gestire la sicurezza del ciclo di vita del software sviluppato in proprio, ospitato o acquistato per prevenire, rilevare e rimediare ai punti deboli di sicurezza prima che possano impattare sull’azienda.
- Gestione risposta agli incidenti: stabilire un programma per sviluppare e mantenere una capacità di risposta agli incidenti (ad esempio criteri, piani, procedure, ruoli definiti, formazione e comunicazioni) per prepararsi a rilevare e rispondere rapidamente ad un attacco. Un programma completo di sicurezza informatica include protezione, rilevamento, risposta e capacità di ripristino. Spesso, gli ultimi due vengono trascurati nelle imprese meno evolute, oppure la tecnica di risposta adottata per i sistemi compromessi consiste semplicemente nel ripristino allo stato originale per poter ripartire. L’obiettivo principale della risposta agli incidenti è identificare le minacce all’interno dell’azienda, rispondere prima che si diffondano e rimediare prima che possano causare danni.
- Test di penetrazione: verificare l’efficacia e la resilienza delle risorse aziendali identificando e sfruttando i punti deboli nei controlli (persone, processi e tecnologia) e simulando obiettivi ed azioni di un utente malintenzionato. Un atteggiamento difensivo di successo richiede un programma completo di criteri e amministrazione efficace, difese tecniche solide, combinate con un atteggiamento adeguato da parte delle persone.
Gruppi d’Implementazione
I Gruppi di Implementazione dei Controlli CIS sono categorie di autovalutazione per le imprese e sono stati raggruppati in tre categorie fondamentali.
- IG 1: un’impresa IG1 è di piccole o medie dimensioni con competenze IT e di sicurezza informatica limitate da dedicare alla protezione delle risorse e del personale. L’obiettivo principale di queste aziende è continuare ad essere operative, in quanto presentano una bassa tolleranza dei tempi di inattività. La sensibilità dei dati che proteggono è bassa e riguarda principalmente le informazioni finanziarie e dei dipendenti. Le Salvaguardie previste in IG1 dovrebbero essere implementabili con limitate esperienze di sicurezza informatica e mirate a contrastare gli attacchi generici non mirati. Queste Salvaguardie sono in genere progettate per funzionare in combinazione con hardware e software commerciale (COTS) di piccoli uffici aziendali o domestici.
- IG 2 (implementa anche IG 1): un’impresa IG2 impiega personale responsabile della gestione e della protezione dell’infrastruttura IT. Queste aziende supportano vari reparti con diversi profili di rischio in base alla funzione lavorativi e relativi obiettivi. Alcuni piccoli settori aziendali potrebbero avere anche obblighi di rispetto normativo. Le aziende IG2 spesso archiviano ed elaborano informazioni sensibili sui clienti o sull’azienda e possono sopportare brevi interruzioni del servizio. Una delle principali preoccupazioni è la perdita di credibilità in caso di violazione. Le Salvaguardie previste in IG2 aiutano i team di sicurezza nel fronteggiare una maggiore complessità operativa. L’applicabilità delle Salvaguardie dipenderà dal livello tecnologico dell’azienda e dalle competenze disponibili, necessarie per le corrette installazioni e configurazioni.
- IG 3 (implementa anche IG 1 e 2): una azienda in IG3 impiega esperti di sicurezza specializzati nei vari aspetti della sicurezza informatica (es. gestione del rischio, test di penetrazione, sicurezza delle applicazioni). Le risorse e i dati in IG3 contengono informazioni sensibili o funzioni soggette a al rispetto normativo e di conformità. Un’impresa IG3 deve garantire la disponibilità dei servizi e la riservatezza ed integrità dei dati sensibili. Gli attacchi riusciti possono causare danni significativi ad un vasto pubblico. Le Salvaguardie previste in IG3 devono ridurre drasticamente gli attacchi mirati di un avversario sofisticato e contenere l’impatto degli attacchi zero-day.
Conclusioni
In questo articolo si è semplicemente introdotto l’argomento dei CSC 8 che, chiaramente, andrà sviluppato in seguito con scritti più specifici. Resta comunque interessante notare come vi sia stata una naturale evoluzione verso una cybersecurity più consapevole e più pervasiva.