Tassonomia degli incidenti informatici. Facciamo chiarezza. 

Tassonomia degli incidenti informatici. Facciamo chiarezza. 

0

di Agostino Pellegrino 

Introduzione 

In questo articolo proveremo a entrare più a fondo nella tematica delle classificazioni relative le varie tipologie di incidente informatico. Data la natura embrionale dei tentativi di regolamentazione che ci troviamo ad affrontare come Sistema Paese, questo documento resta da intendersi più come un “trim” sulla rotta da seguire che come una critica fine a sé stessa. L’analisi mira ad una disamina scientifica dei concetti proposti, delle definizioni applicate e della forbice applicativa che dovrebbe essere coperta, in particolar modo rispetto l’applicazione pratica delle definizioni proposte, in uno “scenario reale” relativo ad un incidente informatico. 

Definizioni 

Tassonomia

Tassonomìa (o tassinomìa) s. f. [comp. del gr. τάξις «ordine, disposizione» (v. tassi-) e -nomia]. – Nelle scienze naturali, termine usato spesso come sinon. di sistematica, attualmente però adoperato in modo più preciso per indicare lo studio teorico della classificazione, attraverso la definizione esatta dei principî, delle procedure e delle norme che la regolano; basata un tempo su criterî essenzialmente morfologici, si avvale oggi di metodi e di valutazioni di natura biochimica, fisiologica e sierologica.

Più in generale, branca della scienza che studia i metodi di ordinamento in sistema degli elementi, delle conoscenze, dei dati, delle teorie appartenenti a un determinato ambito scientifico. T. numerica, il complesso delle metodologie di classificazione, sviluppate come algoritmi particolari e come tecniche statistiche, rivolte a ordinare gli organismi viventi codificati in forma numerica; per es., in antropologia fisica, quelle che sono state usate per arrivare a una classificazione delle razze umane ottenuta tramite misurazioni craniometriche (fonte Treccani) 

Incidente Informatico:

Si definisce incidente di sicurezza informatica qualsiasi evento o insieme di eventi che sottintendono una violazione delle politiche di sicurezza ICT fonte di danno per gli asset ICT ovvero per il patrimonio informativo dell’organizzazione e per il quale si rende necessaria l’applicazione di misure di contrasto e/o contenimento da parte delle strutture preposte. Da questa definizione si evince che l’elemento caratteristico distintivo di un incidente di sicurezza è rappresentato dal nesso di causa-effetto tra evento rilevato e danno subito dagli asset ICT. In altri termini, un incidente di sicurezza rappresenta una particolare tipologia di allarme i cui eventi sottintendono una constatazione conclamata di danni, già subiti al momento del loro rilevamento e segnalazione. Una lista non esaustiva di possibili incidenti per la PAL è la seguente: 

  • accesso non autorizzato agli asset ICT; 
  • diffusione non autorizzata di informazioni riservate provenienti dagli asset ICT; 
  • impersonificazione di utenti, tramite la compromissione delle credenziali personali di autenticazione; 
  • perdita o modifica delle configurazioni di sistema; 
  • decadimento dei livelli di servizio standard; 
  • interruzione di servizi ICT; 
  • constatazione di illeciti o azioni criminose apportate con l’ausilio delle risorse ICT di una PAL ai danni della stessa PAL o di terzi. 

Fonte: https://docs.italia.it/AgID/documenti-in-consultazione/lg-cert-regionali/it/bozza/processo-di-gestione-degli-incidenti-di-sicurezza.html#:~:text=Viene%20definito%20incidente%20di%20sicurezza,misure%20di%20contrasto%20e%2Fo 

Tassonomia degli incidenti informatici:

La tassonomia degli incidenti informatici è un sistema di classificazione degli eventi che possono mettere a rischio la sicurezza delle informazioni e delle infrastrutture informatiche. Esistono diverse tassonomie degli incidenti informatici, tra cui quella sviluppata dal National Institute of Standards and Technology (NIST) degli Stati Uniti e quella sviluppata dall’Information Systems Audit and Control Association (ISACA).

Una delle principali caratteristiche, che si rendono evidenti esaminando le suddette tassonomie, riguarda la complessità: la NIST, ad esempio, classifica gli incidenti informatici in cinque categorie: attività di intelligence, attività di preparazione, attività di attacco, attività di esfiltrazione e attività di commissione.

Queste classificazioni risultano di certo maggiormente utili all’intelligence che alla piccola e media impresa che riscontra difficoltà nell’applicare determinate definizioni agli eventi di sicurezza critici subìti.

Cosa è stato inteso come classificazione? 

Nell’allegato A della determina del 07/01/2023 (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2023-01-10&atto.codiceRedazionale=23A00114&elenco30giorni=false) si pone in essere una classificazione degli incidenti informatici (titolo dell’allegato “Tassonomia degli incidenti – in attuazione dell’articolo 1, comma 3-bis del D.L. 105/2019”) del tutto simile alla classificazione Mitre Att&ck della catena di attacco in tutte le sue fasi. L’elenco descrive varie fasi di un attacco informatico, come l’accesso iniziale, l’esecuzione, l’installazione, la persistenza, l’evasione delle difese, il comando e il controllo, i movimenti laterali, la raccolta di credenziali, le azioni sugli obiettivi e l’esfiltrazione. Queste categorie possono essere utilizzate per identificare e descrivere gli eventi di sicurezza informatica e aiutare a capire come un attaccante sta cercando di compromettere una rete ma non definiscono una classificazione degli incidenti stessi. 

Come andrebbe interpretata la classificazione? 

La categorizzazione degli incidenti informatici non può prescindere dalla “CIA TRIAD” (o RID in italiano cioè riservatezza, integrità e disponibilità) che nel documento non viene citata. Confidenzialità, integrità e disponibilità dei dati risultano i tre elementi principali caratterizzanti le varie tipologie di incidente informatico nonché i “three main pillar” del lavoro dell’operatore di Incident Response e non solo. Gli incidenti stessi possono essere categorizzati, ad esempio, in questi termini: 

  • Incidenti di confidenzialità: questi incidenti minacciano la confidenzialità dei dati, consentendo al threat actor di accedere a informazioni riservate. 
  • Incidenti di integrità: questi incidenti minacciano l’integrità dei dati, consentendo al threat actor di alterare o distruggere i dati.
  • Incidenti di disponibilità: questi incidenti minacciano la disponibilità del sistema o dei dati, rendendo impossibile per gli utenti accedere ai servizi o ai dati stessi.
  • Incidenti di sicurezza fisica: questi incidenti riguardano la sicurezza delle infrastrutture fisiche, come le violazioni dei perimetri aziendali, il furto di dispositivi di archiviazione o la manomissione dei sistemi.
  • Incidenti di compliance: questi incidenti riguardano la violazione delle norme e delle policies che determinano la classificazione di un’informazione 
  • Phishing: questi incidenti riguardano la ricezione di email o messaggi di testo apparentemente leciti, ma in realtà sono utilizzati per raccogliere informazioni sensibili o per diffondere malware. 
  • Ransomware: questi incidenti riguardano l’utilizzo di malware crittografici che rendono inutilizzabili i file dell’utente e chiedono un riscatto per decrittarli. 

Questo, ripeto, è solo un esempio di classificazione, esiste un’ampia varietà di incidenti informatici che potrebbe definire ulteriori categorie o sotto categorie che definirebbero in maniera specifica un incidente, prescindendo dalle fasi che lo abbiano in qualche modo caratterizzato. 

Quali sono le conseguenze di un’errata classificazione? 

L’operatore impegnato nelle attività di incident response non può che avvertire confusione dopo l’approvazione di questi nuovi parametri che scardinano le basi comuni a livello mondiale in termini di definizione di incidente informatico. Dal punto di vista legale si rende quindi necessario un riadattamento che prevede il dover trattare ogni singola fase di un incidente come un incidente a sé e per il quale bisognerà ricostruire la famosa “kill chain”. La domanda sorge spontanea: è possibile ricostruire una catena guardando ogni anello come una catena a sé?  

Conclusioni

La nuova Tassonomia in realtà non definisce categorie, bensì fasi di un attacco informatico. Può essere certo d’aiuto come linea guida standard per l’individuazione di operatività malevole ma non come lista di classificazione di attacchi informatici. Mancano i riferimenti principali alle categorizzazioni standard, mancano tutti i possibili tipi di attacco suddivisi nella categorizzazione “CIA Triad” che costituisce la radice per l’albero di classificazione tassonomica, manca una classificazione per impatto reale dell’incident sulla CIA Triad, mancano le singole definizioni per sottocategoria di attacco, ad esempio sotto una possibile categoria “phishing” si sarebbe dovuto annotare “smishing”, “whaling”, ecc.…

La soluzione individuabile potrebbe quindi essere quella di rivedere la tassonomia, definendone una reale basata su una classificazione per domini e sotto domini in base alle tipologie di violazioni CIA e definire delle classi certe in modo da garantire all’operatore di Incident Response facilità di individuazione e categorizzazione degli incidenti secondo già definiti standard internazionali. Ne beneficerebbero quindi sia gli operatori di Incident Response che i valutatori forensi durante le complesse fasi di ricostruzione e analisi degli incidenti, nonché l’intera catena dei fruitori delle documentazioni generate.

Tags: , , , , , , , , ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

BARI - Grumo Appula - Corso Umberto I, 26

info@apinfosec.com

+39 392 6387861

© 2024 ApInfoSec. Built by Agostino Pellegrino. All right reserved.
Privacy Policy - Cookie Policy