Cos’è l’information sharing e quali sono i suoi vantaggi
A cura di Pietro Gugliuzza, Advanced Cybersecurity Threat Analyst
Con Information Sharing indichiamo l’attività di mettere volontariamente a disposizione di un gruppo di organizzazioni, private e/o pubbliche, delle informazioni in proprio possesso. Declinato nel contesto cyber security, significa condividere informazioni sulle attività di cybercrime e su chi le porta avanti (threat actors).
I vantaggi dello sharing sono molteplici: permette di acquisire informazioni utili a migliorare le strategie difensive, affinare i piani di risposta agli incidenti, nonché ad essere al passo con le ultime novità relativamente alle tecniche, tattiche e procedure (TTPs) dei threat actors. Il risultato finale è allora un miglioramento della security posture di un’organizzazione.
Proprio per i benefici di questa attività, l’Unione Europea ha inserito l’Information Sharing tra i pilastri del Digital Operational Resilience Act (DORA, di cui un approfondimento è presente a questo link).
Le 5 sfide principali dell'information sharing
Abbiamo visto i vantaggi dell’information sharing, ma le organizzazioni che si avvicinano a questa attività è bene che siano consapevoli anche delle sfide, che a volte sono di non semplice soluzione.
- Stabilire fiducia tra le organizzazioni
Una collaborazione non può prescindere dall’instaurazione di un certo livello di fiducia tra le organizzazioni coinvolte. È necessario che chi condivide possa essere certo che siano rispettate le condizioni d’uso delle informazioni; dall’altro lato, chi riceve le informazioni deve poter contare sulla loro affidabilità e qualità.
Al fine di stabilire un certo livello di fiducia, si possono percorrere varie strade:
- far leva su collaborazioni pregresse come prova dell’affidabilità reciproca;
- valutare il coinvolgimento di una realtà terza considerata “trusted” da entrambe che si faccia garante di questa partnership;
- pensare di costruire da zero un rapporto di fiducia tramite riunioni conoscitive in cui si mostra il proprio operato nel contesto cybersecurity.
- Definire standard e strumenti per lo sharing
La quantità e la diversità di informazioni che possono venire condivise portano potenzialmente a due problemi: il primo, la condivisione di dati in formato non uniforme; il secondo, la difficoltà nel gestire un elevato numero di dati. Per affrontare questi temi, bisogna definire a priori sia il modo in cui le informazioni devono essere presentate, adottando un formato standard comune a tutti, sia il modo in cui devono essere fornite tramite la definizione di protocolli di trasmissione. Per gestire invece la grande mole di informazioni che normalmente viene condivisa, è indispensabile adottare tool o piattaforme che permettano uno scambio rapido e automatizzato. In questo modo si può assicurare che le informazioni siano facilmente consultabili e utilizzabili dai partecipanti allo sharing.
- Classificare e proteggere le informazioni
In base alla sorgente e al tipo di informazione condivisa vanno stabiliti dei livelli di severità e di sensibilità delle stesse. Risulta importante in tal senso definire un modello di classificazione delle informazioni così come un insieme di policy, procedure e controlli volti a ridurre al minimo il rischio di esposizione di informazioni sensibili.
- Definire regole di sharing
Le regole permettono di controllare la diffusione delle informazioni, in quanto vanno a definire cosa è possibile condividere e chi sono i destinatari autorizzati a riceverle. Bisogna anche tener conto dei regolamenti e delle regole di compliance basati sul paese in cui si opera (come il GDPR in Europa). Anche qui bisogna adottare dei protocolli come il TLP (Traffic Light Protocol) che definisce un livello di esposizione delle informazioni sulla base di quattro livelli: dal livello “red” per le informazioni che non possono essere in alcun modo condivise fino al “white” che permette invece la libera divulgazione.
- Stimolare la collaborazione
Una comunità di sharing funziona se tutte le entità coinvolte partecipano attivamente. Idealmente questo obiettivo è raggiunto da tutti i partecipanti; nella pratica, non di rado si registrano comportamenti maggiormente passivi in cui uno o più partecipanti usufruiscono delle informazioni condivise senza a loro volta esternare la loro conoscenza agli altri. Ancora, può capitare che la condivisione venga fatta ma con informazioni di pubblico dominio, non apportando un vero e proprio contributo alla community. Attuare controlli periodi sulle numeriche, così come eseguire validazioni a campione sulle informazioni condivise, permettono di mantenere alto il livello di attenzione sull’attività di sharing da parte di tutti i partecipanti. In questo senso, avere delle riunioni a cadenza periodica (idealmente mensile o bimestrale) permette un confronto continuo tra i vari partner.
L’esperienza di NTT DATA: il progetto IoC Exchange
In NTT DATA tutti i nostri Security Operations Center (SOC) partecipano a una rete di sharing interna volta alla condivisione degli Indicators of Compromise (IoCs) che emergono dalle attività locali di ogni SOC. Inoltre, la credibilità acquisita negli anni ci ha permesso di diventare parte di organismi di cooperazione internazionale come il FIRST (Forum of Incident Response and Security Teams) e la Cyber Threat Alliance.
Questa sinergia tra i SOC è parte del progetto IoC Exchange, voluto dal nostro Headquarter in Giappone e le cui attività volte a instaurare e mantenere la collaborazione sono guidate da noi come NTT DATA Italia.
Il processo per accogliere nuovi SOC (o in generale nuovi team di Security) prevede delle call preliminari in cui abbiamo modo di presentare noi stessi e il nostro lavoro, per poi mostrare le prospettive dello sharing. Questi incontri, insieme all’endorsement dell’Headquarter, hanno l’obiettivo di stabilire un livello di fiducia tra le parti coinvolte.
Nelle call successive vengono poi definite le regole di sharing, mostrando i criteri per assegnare un livello di divulgazione alle diverse informazioni.
La condivisione degli IoCs avviene tramite una piattaforma opensource che offre una struttura dati ben definita e permette una rapida propagazione degli IoCs condivisi. Vengono tenute delle sessioni di training periodiche in caso di nuovi membri dello sharing o per presentare nuove funzionalità della piattaforma: in questo modo tutti sono allineati sulle ultime novità che riguardano il tool.
Viene prodotto poi un report periodico riportante statistiche sulla condivisione.
Ad oggi, gli IoCs condivisi sono superiori ai 3 milioni, la maggior parte dei quali ricavati dal lavoro diretto dei SOC. Questi indicatori sono usati attivamente per scopi di rilevazione degli attacchi e di risposta agli incidenti, migliorando il servizio offerto ai clienti.
In definitiva, una buona pianificazione insieme all’impegno comune nel collaborare rende l’Information Sharing una risorsa preziosa per stare al passo con le minacce più recenti e sofisticate.