L’analisi e la gestione del rischio sono parte integrante dell’attività umana; l’intraprendere un’attività commerciale, guidare una macchina, attraversare la strada nel bel mezzo di una via trafficata, sono tutte attività che comprendono l’analisi e la valutazione del rischio, ovvero l’eventualità di subire un danno a causa di circostanze più o meno prevedibili. Il processo di analisi del rischio per un sistema ICT ha il compito di individuare le vulnerabilità presenti e di proporre delle contromisure per limitarne gli effetti. Il termine sistema comprende un insieme eterogeneo di elementi: può riguardare un impianto, un processo produttivo, un servizio; da questa definizione risulta chiaro come l’analisi del rischio non sia legata al solo settore informatico, bensì costituisca un’attività trasversale a tutti i settori.
Per risk assessment intenderemo l’identificazione, quantificazione, graduazione dei rischi secondo criteri e obiettivi stabiliti dall’organizzazione.
Nella risk analysis si passerà all’identificazione di: beni, minacce, vulnerabilità, impatto, controlli in atto.
Il processo ciclico che caratterizza la gestione del rischio, così come è definito secondo la metodologia OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) prevede dopo una fase preliminare di analisi una fase di implementazione ed in seguito il controllo delle misure di sicurezza.
70
Il processo di analisi dei rischi associati al sistema info-telematico si compone delle seguenti 6 fasi50:
- Analisi del contesto e valutazione degli asset; - Identificazione delle minacce e degli attaccanti; - Identificazione delle vulnerabilità;
- Determinazione della probabilità; - Analisi dell’impatto;
- Determinazione del rischio.
Analisi del contesto e valutazione degli asset: un bene (asset) è una qualunque
cosa che abbia valore per l’organizzazione e che quindi richieda protezione (non solo beni tangibili). Gli elementi essenziali relativi ai beni sono le attività e processi aziendali, le informazioni mentre gli elementi di supporto sono costituiti dall’hardware, dal software, dalle reti, dal personale e dalla sede.
Elementi essenziali: sono funzioni la cui perdita o degrado impediscono o compromettono il raggiungimento degli obiettivi, funzioni che contengono segreti industriali, informazioni coperte dal segreto di Stato, informazioni vitali per il raggiungimento degli obiettivi, informazioni sensibili (ad es. dati personali), informazioni strategiche, informazioni “costose”.
Elementi di supporto: sono costituiti dall’Hardware(computer fissi e portatili, server, stampanti, supporti rimuovibili), dal software (sistemi operativi, applicativi generici, applicativi business standard o specifici), dalle reti (supporti, dispositivi, interfacce), dal personale (managers, utenti, operatori, sviluppatori) ed infine dalla sede (edifici dell’azienda o di terzi, linee telefoniche, impianti, forniture di servizi).
Dunque questa prima fase consiste nell’acquisizione delle informazioni necessarie a delineare il contesto operativo da sottoporre a protezione. Tale attività (Information Gathering) ha come obiettivi la rilevazione degli asset da proteggere, le relazioni funzionali tra questi, l’individuazione delle utenze, la
50
http://redazione.regione.campania.it/farecampania/scaffale_formativo/ARCHIVIO/2008%20Sicurezza%2 0Informatica/Materiale_Romei.pdf
71
caratterizzazione dei flussi gestionali e organizzativi del sistema informativo in termini di accesso a risorse ed informazioni, policy di sicurezza e controlli messi in opera per la loro attuazione. Gli asset sensibili (target) sono classificati in base ai servizi erogati, alle informazioni custodite, alla loro rilevanza ai fini dell’operatività aziendale. La classificazione di sicurezza dell’asset è descritta in termini di perdita o degradazione di uno dei tre attributi di sicurezza associabili al
trattamento dell’informazione da parte di un sistema di elaborazione (riservatezza, integrità, disponibilità). Il valore degli asset riferito agli attributi di
sicurezza può essere misurato quantitativamente (valore proprio delle informazioni, ad esempio brevetti, perdita di introiti in relazione al tempo di fermo del sistema), oppure considerando una scala di valori quali-quantitativa (perdita di immagine, pregiudizio su future attività).
In termini generali, possiamo fare riferimento ad una classificazione quali- quantitativa dove il valore degli asset viene correlato all’impatto che la perdita di uno dei suoi attributi di sicurezza produce sull’operatività aziendale.
1) Livello dell’impatto alto: La perdita di riservatezza, integrità o disponibilità comporta un effetto avverso distruttivo sull’operatività, i beni e sulle persone associati alle attività aziendali. L’esercizio della vulnerabilità può comportare la distruzione di beni con una perdita di valore economico molto elevato, oppure essere di sostanziale impedimento al compimento della missione aziendale, oppure essere causa di gravi pericoli per la vita e l’integrità fisica delle persone;
2) Livello dell’impatto moderato: La perdita di riservatezza, integrità o disponibilità comporta un rilevante effetto avverso sull’operatività, i beni, e sulle persone associati all’attività aziendale. L’esercizio della vulnerabilità può risultare in una perdita economica, oppure costituire un ostacolo al compimento della missione aziendale, oppure essere causa di pericolo per l’integrità fisica delle persone;
3) Livello dell’impatto basso: la perdita di riservatezza, integrità o disponibilità comporta un limitato effetto avverso sull’operatività, i beni e sulle persone associati all’attività aziendale. L’esercizio della vulnerabilità
72
può risultare in una perdita economica limitata, oppure costituire una limitazione marginale al compimento della missione aziendale.
Identificazione delle minacce e degli attaccanti: passiamo ora ad esaminare e ad
individuare le potenziali minacce. Una minaccia è una potenziale causa di incidente che potrebbe danneggiare un sistema o un’organizzazione. Una minaccia può essere di origine naturale o umana, e può essere accidentale o intenzionale
.
Le minacce possono essere cosi classificate:- Minaccia di danno fisico: incendio, terremoto, eruzione vulcanica, allagamento;
- Minaccia di mancanza di servizi essenziali: interruzione dell’alimentazione, indisponibilità del servizio di telecomunicazione, interruzione del condizionamento dell’area;
- Minaccia di radiazioni: radiazioni elettromagnetiche, rumore termico; - Minaccia di compromissione dell’informazione: intercettazione
(eavesdropping), furto di documenti, furto di apparecchiature, divulgazione, manomissione dell’HW o del SW, ritrovamento di media eliminati;
- Minaccia di guasti tecnici: guasto di un dispositivo, malfunzionamento HW o SW, saturazione dello spazio di memoria;
- Minaccia di azioni non autorizzate: uso non autorizzato di dispositivi, copia di software, corruzione di dati, uso non autorizzato di applicativi; - Minaccia di compromissione di funzioni: errore di utilizzo, abusi di
privilegio, escalation di privilegi, denial of action.
La seconda fase consiste, dunque, nell’individuazione delle potenziali minacce (threat) cui i target possono essere sottoposti in relazione sia agli aspetti di riservatezza, integrità e disponibilità (come abbiamo visto nella classificazione precedente delle minacce) e sia degli attaccanti ( threat-source) che possono esercitare una minaccia ed operare una violazione della policy di sicurezza. Gli attaccanti posso essere umani o ambientali e possono, consapevolmente o inconsapevolmente in caso di attaccante umano, attuare un attacco utilizzando una o più vulnerabilità del target, dove per vulnerabilità si intende una debolezza
73
del sistema che può essere sfruttata accidentalmente o intenzionalmente ( baco del software, rete di telecomunicazione non ridondata, assenza di gruppi di continuità elettrica, presenza di condutture idriche nei locali ospitanti i sistemi, ecc.).
E’ da evidenziare che la vulnerabilità è il tramite tra attaccante ed esercizio della minaccia, ovvero ove non esistono vulnerabilità sfruttabili da un attaccante questi non può esercitare alcuna minaccia. Esaminiamo a questo punto le caratterizzazioni di un ipotetico attaccante:
1) Fonte: hacker; Motivazione: sfida, ego; Minaccia: hacking, intrusioni, accesso non autorizzato;
2) Fonte: criminale; Motivazione: distruzioni di informazioni, lucro; Minaccia: computer crime, replay, impersonificazione, intercettazione, spoofing;
3) Fonte: terrorista; Motivazione: vendetta; Minaccia: intrusione DDoS, corruzione di dati;
4) Fonte: spionaggio industriale; Motivazione: competizione, spionaggio; Minaccia: furto di informazioni, intrusione nei sistemi, social engineering; 5) Fonte: personale interno; Motivazione: curiosità, egocentrismo, vendetta, errori; Minaccia: appropriazione di informazioni riservate, corruzione dei dati, intercettazione, vendita di informazioni, sabotaggio, accesso non autorizzato.
La caratterizzazione della minaccia deve riportare il suo potenziale impatto in termini di riservatezza, integrità e disponibilità su informazioni o sistemi interessati, ad esempio:
1) Evento 1: impatto sulla riservatezza e sulla disponibilità; 2) Evento 2: impatto sull’integrità;
74
Identificazione delle vulnerabilità: L’individuazione delle vulnerabilità di un
asset particolare è la terza fase dell’analisi. Una vulnerabilità si può definire come una particolare condizione tecnica o organizzativa che consente ad un attaccante di esercitare una minaccia ed operare una violazione delle policy di sicurezza in relazione agli aspetti di riservatezza, integrità e disponibilità.
Vediamo alcuni esempi di vulnerabilità51: - Ambiente e infrastrutture:
1) Vulnerabilità: mancanza di protezione fisica all’edificio ►Minaccia: furto dispositivi o informazioni;
2) Vulnerabilità: mancanza di controllo degli accessi fisici ►Minaccia: accesso non autorizzato alle informazioni;
3) Vulnerabilità: collocazione in un sito soggetto ad allagamenti ►Minaccia: allagamento.
- Hardware:
1) Vulnerabilità: mancanza di un piano di sostituzione ►Minaccia: deterioramento dei media;
2) Vulnerabilità: assenza di camera schermata ►Minaccia: emissione elettromagnetica;
- Software:
1) Vulnerabilità: vulnerabilità note del software ►Minaccia: uso non autorizzato, scalata di privilegi;
2) Vulnerabilità: interfaccia di utente complessa ►Minaccia: errore nell’utilizzo;
3) Vulnerabilità: password non protette ►Minaccia: masquerading.
75
- Comunicazioni:
1) Vulnerabilità: trasferimento di password in chiaro ►Minaccia: masquerading;
2) Vulnerabilità: linee non protette ►Minaccia: intercettazione.
- Documenti:
1) Vulnerabilità: archivi non protetti ►Minaccia: furto, accesso non autorizzato;
2) Vulnerabilità: incuria nell’eliminazione ►Minaccia: furto, accesso non autorizzato;
- Personale:
1) Vulnerabilità: addestramento insufficiente ►Minaccia: errori operativi; 2) Vulnerabilità: reclutamento di personale non fidato ►Minaccia:
danneggiamento intenzionale;
- Procedurale:
1) Vulnerabilità: mancanza di una procedura di verifica dei log degli eventi ►Minaccia: accesso non autorizzato.
Altri esempi di vulnerabilità in funzione degli attaccanti:
1) Attaccante: impiegato licenziato; Vulnerabilità: account di sistema di un impiegato licenziato non rimosso; minaccia: accesso via connessione dial- up alla rete aziendale, accesso non autorizzato ad informazioni aziendali. 2) Attaccante: hacker, cracker, criminali; Vulnerabilità: vulnerabilità del
software; Minaccia: accesso non autorizzato, site defacement, furto di informazioni.
3) Attaccante: fuoco, personale negligente; Vulnerabilità: sistema di spegnimento degli incendi ad acqua nei locali ospitanti i sistemi; Minaccia: danneggiamento dei sistemi.
76
La caratterizzazione della vulnerabilità deve riportare i sistemi affetti e il suo potenziale impatto in termini di riservatezza, integrità e disponibilità delle informazioni trattate, ovvero deve esplicitare se ed in quale misura un attaccante può utilizzare la vulnerabilità per esercitare una minaccia che comporti la compromissione dei tre attributi di sicurezza. I metodi per rilevare le vulnerabilità di sistemi ICT si possono classificare in tre categorie che coprono gli aspetti tecnici ed organizzativi di un sistema informativo: Security Test and Evaluation (ST&E); Vulnerability scanning tool; Penetration test.
Determinazione della probabilità: nella quarta fase si determina le probabilità
che una minaccia possa essere esercitata per il tramite di una vulnerabilità. I fattori qualificanti di questa valutazione sono: motivazioni e capacità dell’attaccante; natura della vulnerabilità; esistenza ed efficacia dei controlli. Per la grande maggioranza dei sistemi, la valutazione della probabilità che una minaccia possa essere esercitata rientra in una scala quali-quantitativa costituita da tre livelli opportunamente motivati. L’esperienza insegna che l’adozione di metriche più sofisticate apporta all’analisi un contributo marginale, anche in relazione alla difficoltà di quantificare con precisione ed oggettività tutte le componenti che concorrono alla definizione della probabilità.
1) Livello probabilità alto: l’attaccante è fortemente motivato e sufficientemente capace, oppure i controlli preposti sono inefficaci;
2) Livello probabilità medio: l’attaccante è sufficientemente motivato e capace, i controlli preposti sono sufficientemente efficaci;
3) Livello probabilità basso: l’attaccante non è particolarmente motivato e capace, oppure i controlli preposti eliminano la possibilità che la vulnerabilità possa essere sfruttata.
Analisi dell’impatto: la quinta fase consiste nella valutazione delle possibili
conseguenze di una minaccia che viene esercitata su un asset tramite una vulnerabilità. L’analisi dell’impatto parte dalla classificazione degli asset informativi e strumentali in relazione ai tre attributi di sicurezza: riservatezza, integrità, disponibilità. La classificazione viene effettuata nella fase di
77
Identificazione e valutazione degli asset informativi. A titolo di esempio, consideriamo un asset classificato come segue:
SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)] Considerando una specifica minaccia riferita all’asset, si valutano gli attributi di sicurezza interessati dalla minaccia:
1) Minaccia (X) va ad impattare sugli attributi di sicurezza della riservatezza e disponibilità;
2) Minaccia (Y) va ad impattare sull’attributo di sicurezza dell’integrità.
L’indice sintetico di impatto riferito all’esercizio della minaccia sull’asset, sarà quindi il valore più alto tra quelli interessati nella terna SC (high water mark):
IM (X) asset = ALTO
Questo indice, insieme alla probabilità che la minaccia venga esercitata, produce il livello di rischio associato alla minaccia per un particolare asset.
Determinazione del rischio: nel sesto passaggio si valuta il rischio di una
particolare coppia minaccia/vulnerabilità, che può essere espresso come funzione di due valutazioni: probabilità che una data vulnerabilità sia esercitata con successo da un attaccante; magnitudine dell’impatto di una minaccia esercitata con successo sfruttando una data vulnerabilità.
Nella probabilità che una vulnerabilità sia esercitata con successo da un attaccante, è inclusa la valutazione dei controlli che hanno come scopo la limitazione della vulnerabilità medesima. Il livello del rischio associato all’esercizio di una vulnerabilità può essere espresso come prodotto dei valori di probabilità ed impatto, come riportato nella tabella che segue.
78
(Scala del rischio: alto 50 - 100, medio 10 - 50, basso 1 – 10).
Figura 7 – Matrice probabilità per impatto
L’interpretazione del rischio deve avere sempre come riferimento la missione aziendale e i processi che ne determinano il compimento, pertanto i livelli di rischio devono riflettere nella loro qualificazione questo fondamentale assunto.
Figura 8 – Livello del rischio
La caratterizzazione del rischio e del suo impatto potenziale sull’operatività aziendale, comporta come passaggio successivo la rimozione (evitare la causa del rischio), l’accettazione del rischio, il suo trasferimento (assicurazione, outsourcing), oppure la sua mitigazione/ riduzione (controlli appropriati) oppure alla ritenzione.
79