CERT: Cosa sono i servizi di Managed Detection & Response 

Larticolo descrive come un CERT possa fornire un valore aggiunto ai servizi di cyber defense erogati secondo il modello Managed Detection & Response 

 

INTRODUZIONE 

Negli ultimi anni sta crescendo fortemente la consapevolezza delle aziende verso i temi della cybersecurity, soprattutto a seguito del continuo susseguirsi di minacce che provengono dal cyberspace (malware, phishing, ransomware, ecc.). 

La maggiore complessità di gestione delle infrastrutture di sicurezza richiede alle aziende di dotarsi di competenze interne specialistiche che non sono facilmente reperibili sul mercato e hanno comunque dei costi elevati, che non tutte le aziende sono in grado di permettersi (skill shortage). 

La combinazione di queste tendenze sta spingendo le aziende di piccole e medie dimensioni (PMI) ad esternalizzazione (outsourcing) la gestione della sicurezza, in particolare del processo di gestione degli incidenti, verso aziende specializzate in grado di prendersi carico delle diverse problematiche legate ai servizi di Managed Detection & Response (MDR). 

Il servizio MDR consente di monitorare, rilevare e rispondere alle minacce informatiche in modo efficace e tempestivo, basandosi su una combinazione di tecnologie avanzate, analisi dei dati, threat intelligence coadiuvate da competenze di cyber security del personale addetto, che normalmente opera da remoto presso un Security Operations Center.

In un certo senso, l’MDR è simile al modello dei Managed Security Service Provider (MSSP), in quanto esternalizza il monitoraggio della sicurezza, il rilevamento e la risposta agli incidenti, ma aggiunge ulteriori capacità di difesa proattiva, tra cui la ricerca delle minacce presenti all’interno dell’infrastruttura ICT che eludono le soluzioni di sicurezza esistenti (threat hunting). 

Un tale servizio permette alle aziende di: 

  • Aumentare il livello di protezione dei propri sistemi e dati, riducendo il rischio di subire attacchi informatici dannosi; 
  • Avere maggiore visibilità e copertura delle minacce, anche quelle sofisticate e persistenti; 
  • Migliorare la capacità di rilevare le attività sospette o anomale all’interno della propria rete, identificando e convalidando gli incidenti; 
  • Disporre di una risposta rapida ed efficace agli incidenti informatici, con attività di contenimento, remediation e ripristino dell’operatività; 
  • Beneficiare dell’esperienza e della competenza degli specialisti del fornitore del servizio, che offrono supporto e consulenza continua 24/7; 
  • Ottimizzare i costi e le risorse dedicate alla sicurezza informatica, affidandosi a un servizio in outsourcing gestito e scalabile. 

Il servizio MDR, pertanto, è particolarmente indicato per le PMI, ma in generale per tutte quelle aziende che non dispongono di grosso budget in ambito security, né di personale e strumenti adeguati, per affrontare le sfide della cyber security. Tali aziende possono così beneficiare di un servizio che offre vantaggi in termini di resilienza, competitività e conformità normativa. 

Come vedremo nel prosieguo, le capacità di reazione agli incidenti tipica di un servizio MDR è fortemente potenziata grazie all’ausilio di un CERT (Computer Emergency Response Team), un team specializzato nel prevenire e contrastare le minacce informatiche, poiché si aggiunge quella componente di difesa proattiva fondamentale in uno scenario di rischio in continua evoluzione come quello cibernetico.  

Servizi MDR 

I servizi MDR sono erogati da fornitori specializzati che, basandosi su adeguate tecnologie, processi e procedure ben definiti e di un team di professionisti ben skillati in ambito cyber security (analisti, incident responder, ethical hacker, investigatori forensi), sono in grado di garantire da remoto la sicurezza informatica di una organizzazione analizzando e rispondendo in modo tempestivo alle minacce informatiche. 

Un MDR raccoglie ed analizza informazioni relative alla sicurezza IT di un’azienda, agisce tempestivamente quando si verifica un attacco, attraverso un collaudato processo di gestione degli incidenti di sicurezza per contrastare le minacce cyber. È in grado di rilevare le intrusioni all’interno del perimetro aziendale grazie al monitoraggio continuo delle anomalie rilevate dagli strumenti di sicurezza, avvia le azioni di contenimento e contrasto degli incidenti, di mitigazione degli impatti e di ripristino del funzionamento dei sistemi attaccati, al fine di garantire la continuità del business attraverso un efficace processo di Incident Response. 

Pertanto, lo scopo di un MDR è quello di proteggere i sistemi ICT e, soprattutto, i dati trattati da una organizzazione, costruendo una efficace strategia difensiva, che parte dal monitoraggio della sicurezza dell’intera infrastruttura ICT, sino ad arrivare al coinvolgimento dei reparti aziendali impattati, al fine di risolvere il più rapidamente possibile l’incidente.  

Un MDR, inoltre, deve anche essere in grado di prevenire le minacce, studiando i comportamenti dei criminali informatici (threat actor), capendo quali siano i vettori utilizzati per compiere gli attacchi e con quali tecniche e tattiche saranno attuati per sfruttare delle vulnerabilità. Una volta identificati, vengono notificati all’azienda i rischi che essa corre e si mettono in campo le misure preventive, al fine di ridurre la probabilità che questa diventi vittima di cyber attacchi in grado di causarle dei danni. 

Queste attività di prevenzione ricadono nell’alveo della Cyber Threat Intelligence e sono tra quelle tipicamente erogate da un CERT, una componente sempre più rilevante di un moderno servizio MDR, il cui scopo principale è altresì di assistere gli utenti dell’organizzazione in caso di problemi legati alla sicurezza informatica, nonché di prevenire eventuali incidenti futuri e promuovere cultura e consapevolezza in ambito sicurezza informatica. 

Con questo non vogliamo dire che un servizio MDR debba necessariamente avvalersi di servizi CERT, ma indubbiamente la loro coesistenza rafforza notevolmente le capacità di difesa proattive e reattive offerte da un fornitore di siffatti servizi. Analogamente, la presenza di servizi NOC (Network Operation Center) all’interno dell’offerta MDR, rende ancora più efficiente le attività di contenimento sulla infrastruttura dei clienti, quando questi richiedono di intervenire sui firewall per isolare segmenti di rete sospettate di intrusione o di rilevare in anticipo anomalie sul traffico di rete.  

Tra i compiti del CERT di cui un servizio MDR può beneficiare, troviamo:  

  • Assistenza specialistica: i CERT forniscono supporto agli utenti che subiscono o segnalano un incidente informatico, aiutandoli a risolvere il problema e a ripristinare la normalità delle operazioni. 
  • Ricerca e sviluppo: i CERT analizzano le vulnerabilità e le minacce che affliggono i sistemi ICT e sviluppano soluzioni e strumenti per mitigarle o eliminarle, spesso pubblicandoli gratuitamente sul proprio Github. 
  • Formazione e Awareness: i CERT organizzano corsi, seminari e workshop per formare gli utenti sulla sicurezza informatica e sulle buone pratiche da adottare per proteggere i propri dati e dispositivi o per non cadere vittima di attacchi di ingegneria sociale (ad es. phishing).   
  • Knowledge Sharing: i CERT diffondono informazioni e avvisi sulle minacce e vulnerabilità di ICT security, tramite siti web, bollettini, newsletter, social media e altri canali di comunicazione, per sensibilizzare gli utenti sui rischi e le contromisure esistenti. 

Precisiamo che questi sono servizi che un CERT eroga a prescindere se fa parte o meno di un servizio MDR, ma qualora vengano innestati in un siffatto servizio lo rendono ancora più completo ed efficace, a tutto vantaggio dell’organizzazione del cliente, poiché potrà avvalersi di un unico valido interlocutore per tutte le tematiche di cyber security (one stop shop). 

Cos’è un CERT 

Il termine CERT è diventato un nome generico per un team che fornisce una serie di servizi: gestione degli incidenti di sicurezza informatica (servizio core), monitoraggio della sicurezza, gestione delle vulnerabilità, consapevolezza situazionale e condivisione delle conoscenze in ambito cybersecurity. 

Nel corso degli anni, il ruolo di un CERT si è evoluto dalla semplice fornitura di servizi di monitoraggio e gestione degli incidenti al coordinamento e alla comunicazione con diverse parti interessate, anche in Paesi diversi e specifici settori di mercato. 

Esistono diversi tipi di CERT, a seconda della loro constituency, ovvero la categoria di utenti a cui si rivolgono. Ci sono i CERT nazionali, che si occupano della sicurezza informatica di un intero Paese. in Italia questa funzione è ricoperta da ACN, l’Agenzia per la Cybersecurity Nazionale, che ha assorbito i preesistenti CERT Nazionale e CERT-PA.  

Esistono poi i CERT regionali, che si focalizzano su una determinata area geografica (in Italia, seppur previsti, sono ancora poco diffusi), i CERT settoriali, che si dedicano a specifiche comunità su base funzionale (ad es. in Italia il CERT-FIN in ambito finanziario, ecc.), e i CERT interni, che si occupano della sicurezza informatica di una singola organizzazione (ad es. il CERT di Poste Italiane, Banca d’Italia, ENEL, ecc.). 

I CERT collaborano tra loro a livello nazionale e internazionale per scambiarsi informazioni e best practices. Esistono anche organizzazioni che coordinano e supportano l’attività dei CERT, come ENISA (agenzia europea per la cybersecurity), il FIRST (Forum of Incident Response and Security Teams) e il CERT/CC (CERT Coordination Center), il primo CERT istituito nel 1988 presso la Carnegie Mellon University negli Stati Uniti, che ha mantenuto per diversi anni il copyright della sigla, tanto da indurre i vari enti ad adottare sigle analoghe (CSIRT, CIRT, SIRT, ecc.). Solo recentemente è stato rilasciato dal CERT/CC il diritto a chiunque di utilizzare la sigla CERT. 

I servizi MDR e CERT offerti da Innovery 

Innovery, leader nel settore della sicurezza informatica, offre un servizio MDR supportato dal proprio CERT, fatto a misura per i propri clienti, al fine di rispondere alle esigenze delle diverse tipologie di aziende ed enti, in grado di ridurre significativamente i costi, aumentando considerevolmente i livelli di sicurezza, grazie alla propria expertise di cyber security maturata nel corso degli anni su diverse realtà e all’utilizzo di svariate tecnologie di sicurezza sempre al passo con i tempi. 

Il CERT di Innovery, CERT-INN (www.innovery.net/cert), è nato recentemente integrando le competenze esistenti presso il proprio SOC con il team interno di Offensive Security, e avviando una serie di iniziative progettuali per l’erogazione dei servizi tipici dei CERT, tra cui Early Warning, Cyber Awareness, Digital Risk Assessment, Threat Intelligence, ecc. conformemente al CSIRT Service Framework del FIRST  

Il CERT-INN ha come principale obiettivo quello di supportare la sicurezza dei clienti di Innovery (costituency esterna), ma anche quella della propria infrastruttura ICT (constituency interna). È in corso il processo di accreditamento presso gli enti internazionali di coordinamento dei CERT, quali FIRST e Trusted Introducer.   

Nella erogazione dei servizi di MDR, soprattutto nelle fasi di prevenzione e ripristino, Innovery si avvale dei propri Competence Center di ingegneria specializzati nei diversi ambiti della security (SIEM, SOAR, EDR, NetSec, IAM, PAM, DLP, Data Security, ecc.), per supportare il personale di security operation, secondo un approccio SecOps particolarmente efficace per far fronte alle continue esigenze di gestione ed evoluzione delle tecnologie in essere presso i propri clienti. 

Inoltre, Innovery offre anche servizi NOC separatamente o in congiunzione con servizi MDR. In quest’ultimo caso è in grado di fornire una copertura completa ed integrata della risposta agli incidenti ICT del cliente, comprendendo sia quelli di cyber security che quelli dovuti al funzionamento anomalo dell’infrastruttura di rete, dei sistemi e delle applicazioni. 

Ing. Giancarlo Di Lieto
Head of Defensive Security, Innovery