Il valore di un CERT nell’erogazione dei servizi MDR

CERT: Cosa sono i servizi di Managed Detection & Response

L’articolo descrive come un CERT possa fornire un valore aggiunto ai servizi di cyber defense erogati secondo il modello Managed Detection & Response

INTRODUZIONE

Negli ultimi anni sta crescendo fortemente la consapevolezza delle aziende verso i temi della cybersecurity, soprattutto a seguito del continuo susseguirsi di minacce che provengono dal cyberspace (malware, phishing, ransomware, ecc.).

La maggiore complessità di gestione delle infrastrutture di sicurezza richiede alle aziende di dotarsi di competenze interne specialistiche che non sono facilmente reperibili sul mercato e hanno comunque dei costi elevati, che non tutte le aziende sono in grado di permettersi (skill shortage).

La combinazione di queste tendenze sta spingendo le aziende di piccole e medie dimensioni (PMI) ad esternalizzazione (outsourcing) la gestione della sicurezza, in particolare del processo di gestione degli incidenti, verso aziende specializzate in grado di prendersi carico delle diverse problematiche legate ai servizi di Managed Detection & Response (MDR).

Il servizio MDR consente di monitorare, rilevare e rispondere alle minacce informatiche in modo efficace e tempestivo, basandosi su una combinazione di tecnologie avanzate, analisi dei dati, threat intelligence coadiuvate da competenze di cyber security del personale addetto, che normalmente opera da remoto presso un Security Operations Center.

In un certo senso, l’MDR è simile al modello dei Managed Security Service Provider (MSSP), in quanto esternalizza il monitoraggio della sicurezza, il rilevamento e la risposta agli incidenti, ma aggiunge ulteriori capacità di difesa proattiva, tra cui la ricerca delle minacce presenti all’interno dell’infrastruttura ICT che eludono le soluzioni di sicurezza esistenti (threat hunting).

Un tale servizio permette alle aziende di:

Aumentare il livello di protezione dei propri sistemi e dati, riducendo il rischio di subire attacchi informatici dannosi;
Avere maggiore visibilità e copertura delle minacce, anche quelle sofisticate e persistenti;
Migliorare la capacità di rilevare le attività sospette o anomale all’interno della propria rete, identificando e convalidando gli incidenti;
Disporre di una risposta rapida ed efficace agli incidenti informatici, con attività di contenimento, remediation e ripristino dell’operatività;

Beneficiare dell’esperienza e della competenza degli specialisti del fornitore del servizio, che offrono supporto e consulenza continua 24/7;
Ottimizzare i costi e le risorse dedicate alla sicurezza informatica, affidandosi a un servizio in outsourcing gestito e scalabile.

Il servizio MDR, pertanto, è particolarmente indicato per le PMI, ma in generale per tutte quelle aziende che non dispongono di grosso budget in ambito security, né di personale e strumenti adeguati, per affrontare le sfide della cyber security. Tali aziende possono così beneficiare di un servizio che offre vantaggi in termini di resilienza, competitività e conformità normativa.

Come vedremo nel prosieguo, le capacità di reazione agli incidenti tipica di un servizio MDR è fortemente potenziata grazie all’ausilio di un CERT (Computer Emergency Response Team), un team specializzato nel prevenire e contrastare le minacce informatiche, poiché si aggiunge quella componente di difesa proattiva fondamentale in uno scenario di rischio in continua evoluzione come quello cibernetico.

Servizi MDR

I servizi MDR sono erogati da fornitori specializzati che, basandosi su adeguate tecnologie, processi e procedure ben definiti e di un team di professionisti ben skillati in ambito cyber security (analisti, incident responder, ethical hacker, investigatori forensi), sono in grado di garantire da remoto la sicurezza informatica di una organizzazione analizzando e rispondendo in modo tempestivo alle minacce informatiche.

Un MDR raccoglie ed analizza informazioni relative alla sicurezza IT di un’azienda, agisce tempestivamente quando si verifica un attacco, attraverso un collaudato processo di gestione degli incidenti di sicurezza per contrastare le minacce cyber. È in grado di rilevare le intrusioni all’interno del perimetro aziendale grazie al monitoraggio continuo delle anomalie rilevate dagli strumenti di sicurezza, avvia le azioni di contenimento e contrasto degli incidenti, di mitigazione degli impatti e di ripristino del funzionamento dei sistemi attaccati, al fine di garantire la continuità del business attraverso un efficace processo di Incident Response.

Pertanto, lo scopo di un MDR è quello di proteggere i sistemi ICT e, soprattutto, i dati trattati da una organizzazione, costruendo una efficace strategia difensiva, che parte dal monitoraggio della sicurezza dell’intera infrastruttura ICT, sino ad arrivare al coinvolgimento dei reparti aziendali impattati, al fine di risolvere il più rapidamente possibile l’incidente.

Un MDR, inoltre, deve anche essere in grado di prevenire le minacce, studiando i comportamenti dei criminali informatici (threat actor), capendo quali siano i vettori utilizzati per compiere gli attacchi e con quali tecniche e tattiche saranno attuati per sfruttare delle vulnerabilità. Una volta identificati, vengono notificati all’azienda i rischi che essa corre e si mettono in campo le misure preventive, al fine di ridurre la probabilità che questa diventi vittima di cyber attacchi in grado di causarle dei danni.

Queste attività di prevenzione ricadono nell’alveo della Cyber Threat Intelligence e sono tra quelle tipicamente erogate da un CERT, una componente sempre più rilevante di un moderno servizio MDR, il cui scopo principale è altresì di assistere gli utenti dell’organizzazione in caso di problemi legati alla sicurezza informatica, nonché di prevenire eventuali incidenti futuri e promuovere cultura e consapevolezza in ambito sicurezza informatica.

Con questo non vogliamo dire che un servizio MDR debba necessariamente avvalersi di servizi CERT, ma indubbiamente la loro coesistenza rafforza notevolmente le capacità di difesa proattive e reattive offerte da un fornitore di siffatti servizi. Analogamente, la presenza di servizi NOC (Network Operation Center) all’interno dell’offerta MDR, rende ancora più efficiente le attività di contenimento sulla infrastruttura dei clienti, quando questi richiedono di intervenire sui firewall per isolare segmenti di rete sospettate di intrusione o di rilevare in anticipo anomalie sul traffico di rete.

Tra i compiti del CERT di cui un servizio MDR può beneficiare, troviamo:

Assistenza specialistica: i CERT forniscono supporto agli utenti che subiscono o segnalano un incidente informatico, aiutandoli a risolvere il problema e a ripristinare la normalità delle operazioni.
Ricerca e sviluppo: i CERT analizzano le vulnerabilità e le minacce che affliggono i sistemi ICT e sviluppano soluzioni e strumenti per mitigarle o eliminarle, spesso pubblicandoli gratuitamente sul proprio Github.
Formazione e Awareness: i CERT organizzano corsi, seminari e workshop per formare gli utenti sulla sicurezza informatica e sulle buone pratiche da adottare per proteggere i propri dati e dispositivi o per non cadere vittima di attacchi di ingegneria sociale (ad es. phishing).
Knowledge Sharing: i CERT diffondono informazioni e avvisi sulle minacce e vulnerabilità di ICT security, tramite siti web, bollettini, newsletter, social media e altri canali di comunicazione, per sensibilizzare gli utenti sui rischi e le contromisure esistenti.

Precisiamo che questi sono servizi che un CERT eroga a prescindere se fa parte o meno di un servizio MDR, ma qualora vengano innestati in un siffatto servizio lo rendono ancora più completo ed efficace, a tutto vantaggio dell’organizzazione del cliente, poiché potrà avvalersi di un unico valido interlocutore per tutte le tematiche di cyber security (one stop shop).

Cos’è un CERT

Il termine CERT è diventato un nome generico per un team che fornisce una serie di servizi: gestione degli incidenti di sicurezza informatica (servizio core), monitoraggio della sicurezza, gestione delle vulnerabilità, consapevolezza situazionale e condivisione delle conoscenze in ambito cybersecurity.

Nel corso degli anni, il ruolo di un CERT si è evoluto dalla semplice fornitura di servizi di monitoraggio e gestione degli incidenti al coordinamento e alla comunicazione con diverse parti interessate, anche in Paesi diversi e specifici settori di mercato.

Esistono diversi tipi di CERT, a seconda della loro constituency, ovvero la categoria di utenti a cui si rivolgono. Ci sono i CERT nazionali, che si occupano della sicurezza informatica di un intero Paese. in Italia questa funzione è ricoperta da ACN, l’Agenzia per la Cybersecurity Nazionale, che ha assorbito i preesistenti CERT Nazionale e CERT-PA.

Esistono poi i CERT regionali, che si focalizzano su una determinata area geografica (in Italia, seppur previsti, sono ancora poco diffusi), i CERT settoriali, che si dedicano a specifiche comunità su base funzionale (ad es. in Italia il CERT-FIN in ambito finanziario, ecc.), e i CERT interni, che si occupano della sicurezza informatica di una singola organizzazione (ad es. il CERT di Poste Italiane, Banca d’Italia, ENEL, ecc.).

I CERT collaborano tra loro a livello nazionale e internazionale per scambiarsi informazioni e best practices. Esistono anche organizzazioni che coordinano e supportano l’attività dei CERT, come ENISA (agenzia europea per la cybersecurity), il FIRST (Forum of Incident Response and Security Teams) e il CERT/CC (CERT Coordination Center), il primo CERT istituito nel 1988 presso la Carnegie Mellon University negli Stati Uniti, che ha mantenuto per diversi anni il copyright della sigla, tanto da indurre i vari enti ad adottare sigle analoghe (CSIRT, CIRT, SIRT, ecc.). Solo recentemente è stato rilasciato dal CERT/CC il diritto a chiunque di utilizzare la sigla CERT.

I servizi MDR e CERT offerti da Innovery

Innovery, leader nel settore della sicurezza informatica, offre un servizio MDR supportato dal proprio CERT, fatto a misura per i propri clienti, al fine di rispondere alle esigenze delle diverse tipologie di aziende ed enti, in grado di ridurre significativamente i costi, aumentando considerevolmente i livelli di sicurezza, grazie alla propria expertise di cyber security maturata nel corso degli anni su diverse realtà e all’utilizzo di svariate tecnologie di sicurezza sempre al passo con i tempi.

Il CERT di Innovery, CERT-INN (www.innovery.net/cert), è nato recentemente integrando le competenze esistenti presso il proprio SOC con il team interno di Offensive Security, e avviando una serie di iniziative progettuali per l’erogazione dei servizi tipici dei CERT, tra cui Early Warning, Cyber Awareness, Digital Risk Assessment, Threat Intelligence, ecc. conformemente al CSIRT Service Framework del FIRST

Il CERT-INN ha come principale obiettivo quello di supportare la sicurezza dei clienti di Innovery (costituency esterna), ma anche quella della propria infrastruttura ICT (constituency interna). È in corso il processo di accreditamento presso gli enti internazionali di coordinamento dei CERT, quali FIRST e Trusted Introducer.

Nella erogazione dei servizi di MDR, soprattutto nelle fasi di prevenzione e ripristino, Innovery si avvale dei propri Competence Center di ingegneria specializzati nei diversi ambiti della security (SIEM, SOAR, EDR, NetSec, IAM, PAM, DLP, Data Security, ecc.), per supportare il personale di security operation, secondo un approccio SecOps particolarmente efficace per far fronte alle continue esigenze di gestione ed evoluzione delle tecnologie in essere presso i propri clienti.

Inoltre, Innovery offre anche servizi NOC separatamente o in congiunzione con servizi MDR. In quest’ultimo caso è in grado di fornire una copertura completa ed integrata della risposta agli incidenti ICT del cliente, comprendendo sia quelli di cyber security che quelli dovuti al funzionamento anomalo dell’infrastruttura di rete, dei sistemi e delle applicazioni.

Ing. Giancarlo Di Lieto
Head of Defensive Security, Innovery

Cookie	Durata	Descrizione
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Durata	Descrizione
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Durata	Descrizione
rl_anonymous_id	never	RudderStack set this cookie to store statistical data of users' behaviour on the website, which can be used for internal analytics by the website operator.
rl_group_id	never	RudderStack sets this cookie to collect user activity on the web.
rl_group_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referrer	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_page_init_referring_domain	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_trait	never	Rudderstack sets this cookie, which is used to store performed actions on the website.
rl_user_id	never	RudderStack set this cookie to store a unique user ID for the Marketing/Tracking purpose.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
cf_clearance	1 year	Description is currently not available.
ww_d	50 years	No description available.
ww_l	50 years	Description is currently not available.
ww_p	50 years	No description available.
ww_s	1 hour	No description available.