Nei giorni tra il 24 e il 28 aprile si è tenuta presso il NATO Cooperative Cyber Defence Centre of Excellence, in Tallin, l’esercitazione Locked Shields, la più grande e avanzata esercitazione di cyber defence al mondo.
L’esercitazione ha lo scopo di esercitare gli esperti di sicurezza informatica nel proteggere i sistemi IT nazionali.
I gruppi partecipanti hanno avuto il compito di proteggere e mantenere efficienti i sistemi e i servizi di una ipotetica nazione (questi team di persone provenienti da tutto il mondo sono chiamati Blue Team). L’esercitazione sottopone le squadre a una serie di prove che vanno dalla gestione di incidenti informatici a più ampie considerazioni di carattere legale, giuridico o strategico. Tutto deve essere il più realistico possibile, dunque si fa largo uso di tecniche di difesa e di attacco di nuova concezione e si impiegano tutte le tecnologie emergenti disponibili.
Nello specifico, con la prova di quest'anno, si è cercato di mantenere l’operatività di reti e servizi di una base militare aerea di una nazione fittizia soggetta a complessi attacchi al sistema elettrico, agli UAV (unmanned aerial vehicles), ai sistemi di Comando e Controllo, alle infrastrutture informatiche critiche e così via. Credo sia chiaro che la dimensione di questa esercitazione e la tipologia di sfide cui sono sottoposti i Blue Team pone sfide che spaziano all’interno dell’intero Cyber Space, quale che sia la definizione adottata1.
Più di 2500 possibili differenti tipologie di attacco possono essere eseguite per testare le capacità dei Blue Team. Per questa sfida a partiti contrapposti infatti esistono anche i Red Team che hanno compito antitetico ai Blue Team, ovvero attaccare e distruggere (o rubare i dati, modificarli, renderli inservibili e distruggere così le capacità di Comando e Controllo avversarie), la rete e i servizi.
Oltre agli aspetti tattici dell’operazione, che mirano ad ottenere dei vantaggi pratici sul campo, una operazione di Cyber Defence (o di Cyber Attack!) può avere degli aspetti strategici per esempio agendo sul morale di una intera Nazione o mettendo alla berlina una industria mondiale del software. L’esercitazione Locked Shields, per la prima volta, ha tenuto conto anche degli aspetti strategici di operazioni condotte nel Cyber Space.
L’esercitazione non è aperta a tutti ma la partecipazione avviene su invito. Nella attuale edizione hanno partecipato Team di 25 nazioni per un totale di 800 partecipanti. La sede stanziale dell’esercitazione è stata Tallin, in Estonia, ma i Blue Team hanno potuto partecipare anche dal proprio Paese, attraverso accessi sicuri alla rete.
L’attività si è svolta in due tempi. In un primo, il 18 e 19 aprile, è stata data a tutti la possibilità di esplorare la rete di esercitazione. Nel corso di tale fase i Blue Team hanno potuto costruire le mappe occorrenti per la difesa.
La seconda fase, quella attiva, ha visto impegnati i contendenti, tra questi il Blue Team italiano.
Dopo questa piccola introduzione che mira a dare a tutti un minimo di conoscenze sull’attività, ora vediamo più in dettaglio cosa è successo, attraverso la voce di alcuni partecipanti al Blue Team italiano del Dipartimento di Informatica della Università la Sapienza di Roma.
Professor Mancini, come era composto il Team nazionale? Avete giocato tutti come Blue Team?
Sì. Il Team era composto da componenti della Difesa, Università ed Industrie, abbiamo lavorato tutti come Blue Team ma con compiti specifici, come ad esempio Legale, Forense, Rapid Response, Pubblica Informazione, Ticketing etc etc.
Da quanto è possibile sapere l’esercitazione deve essere stata molto sfidante. Che tipo di documentazione è stata resa disponibile? Avete ricostruito, gli schemi di rete?
Naturalmente abbiamo avuto accesso alla piattaforma condivisa utilizzata per l’esercitazione in cui avevamo una descrizione sommaria dei sistemi. Abbiamo avuto l’accesso effettivo solo con la familiarizzazione del 18-19 Aprile per toccare con mano alcune configurazioni.
Avevamo lo schema di rete, non molto dettagliato e con i soli sistemi che dovevano essere a noi noti. Lo schema completo, con eventuali Rouge AP o macchine non segnalate, non era noto.
Quali erano gli obiettivi del Blue Team?
Il nostro obiettivo, come Blue Team, consisteva nel monitorare la rete ed effettuare una gestione degli evenutali incidenti, sotto l’aspetto tecnico, legale e comunicativo.
Chi giocava la parte del Red Team?
Il Red Team è composto da membri delle nazioni stesse collocati a Tallinn, in aggiunta a membri del CCDCOE e aziende. Rappresenta un gruppo tecnico che conosce in anticipo l'intera infrastruttura, e le relative vulnerabilità, ed in modo sistematico attacca i vari team in modo da valutare la capacità di risposta e monitoraggio.
Professor Mancini, secondo la sua esperienza, quanto può essere considerata realistica una siffatta esercitazione? Nel mondo reale il Cyberspace viene sottoposto a modifiche continue nei suoi componenti e gli eventuali attaccanti hanno dalla loro il tempo (APT è considerato il rischio maggiore), in questa esercitazione invece non vi è il tempo per studiare le abitudini degli utenti e per esplorare modalità di attacco. Questo limita fortemente le possibilità di attacco a un sottoinsieme del reale. Cosa ne pensa? Come dovrebbe essere organizzata e realizzata una esercitazione affinché sia il più possibile realistica?
L'esercitazione così composta è sicuramente un modo di addestrarsi a scenari reali, si inizia con il presupposto che i sistemi siano compromessi, quindi sicuramente una mentalità che dovrebbe essere utilizzata più spesso. La gestione di una infrastruttura complessa come quella della Locked Shields è sicuramente uno stimolo per i tecnici, e deve essere utilizzata dal sistema per sperimentare soluzioni innovative o testare nuovi prodotti, siano essi Proprietari o Open Source.
Uno degli aspetti più challenging dell'esercitazione è dato sicuramente dalle limitazioni, ad esempio non si può monitorare tutto al meglio ma bisogna effettuare delle scelte ed il conseguente triage degli eventi in modo da capire cosa trattare con maggiore dettaglio o meno, il tutto garantendo l'esperienza utente, che deve continuare a lavorare senza alcun tipo di problema. Ci siamo trovati ad affrontare azioni utente che portavano rischi a livello di sicurezza, e quindi avevamo la necessità di mitigare queste azioni senza intaccare l'operatività dell'utente.
Professore, la ringraziamo per queste sue prime risposte, sperando di poter approfondire ancora con Lei alcuni aspetti di questa esercitazione e, più in generale, di questo “cyberspace” che giorno dopo giorno stiamo cominciando a conoscere.
Nota:
1 Non esiste una definizione condivisa di Cyber Space. Potremmo adottare quella italiana prevista nel recente DPCM del 17 febbraio 2017 pubblicato in GU del 13 aprile 2017. L’Art. 2.h definisce lo spazio cibernetico come: “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi”. Altre definizioni ufficiali possono essere reperite al link: https://ccdcoe.org/cyber-definitions.html.
Fonti:
https://ccdcoe.org/locked-shields-2017.html;
https://ccdcoe.org/cyber-definitions.html
http://www.difesa.it/SMD_/Eventi/Pagine/Locked-Shields-2017-termina-eser...
