Cyber Threat Intelligence

Information Sharing: evoluzione del modello cooperativo nella cyberdifesa

La condivisione delle informazioni rappresenta un pilastro fondamentale per la costruzione di una difesa efficace nel dominio cyber. La cooperazione tra enti pubblici e privati, specialmente attraverso gli ISAC, può contribuire a una maggiore resilienza e capacità di risposta

Pubblicato il 14 mag 2025

Francesco Di Maio

SVP, Corporate Security, Risk & Business Continuity Management, ELTGroup

Cyber Resilience Act information sharing

Correva la primavera dell’anno 2017, un’era geologica in termini informatici, quando la diffusione del famigerato attacco Wannacry mise a nudo una cruda realtà: il falso senso di sicurezza basato su assiomi infondati, tra cui la noncuranza del “non può capitare a me”, l’inconsistenza di modelli di sicurezza informatica poco solidi, la protezione demandata al fideistico affidamento dell’antivirus signature-based.

Cybersicurezza: la “rete” tra ACN e le aziende per la difesa del Paese

Indice degli argomenti

Lo shock dell’evento, a carattere globale portò ad una nuova consapevolezza: i meccanismi di difesa passiva tradizionale risultavano e risultano tutt’oggi insufficienti a cogliere le minacce costituite da aggressori sempre più capaci di individuare e cogliere le debolezze altrui, confidando anche nei tempi spesso enormi tra l’individuazione di una vulnerabilità e la risoluzione della stessa, attraverso una continua opera di analisi delle superfici esposte ed un utilizzo sempre più diffuso di tecniche, tattiche e procedure e strumenti, inclusi quelli di social engineering in continua evoluzione.

Considerazione, questa, ancor oggi valida, perché l’idea di una difesa soltanto reattiva è totalmente perdente, soprattutto in un contesto estremamente dinamico nel quale l’evoluzione tecnologica, il bisogno di strumenti digitali sempre più evoluti e l’utilizzo di capacità computazionali e di algoritmi di machine learning, soprattutto da parte degli attori malevoli, trasformano continuamente il campo di battaglia, con poste in gioco sempre più significative.

In piena crisi Wannacry, un buon numero di volenterosi e geniali professionisti della sicurezza italiani, appartenenti a grandi aziende e ad alcune Amministrazioni pubbliche, iniziarono a scambiarsi, in modo informale, i dati relativi agli indicatori di compromissione acquisiti da diverse fonti, spesso “personali” e con modalità analogiche. Erano i tempi in cui non esisteva, neanche per ipotesi, qualcosa che assomigliasse ad un CSIRT nazionale e l’Agenzia per la Cybersicurezza Nazionale (e neppure il suo primigenio embrione presso il Dipartimento Informazioni per la Sicurezza): la direttiva UE 2016/1148, ovvero la prima NIS era stata di recente pubblicata ed il recepimento – i cui esiti, con il senno di poi, avrebbero dimostrato l’insufficienza del modello – era ancora di lì da venire. Un’opera di sostegno, limitata ai soggetti convenzionati con il Dipartimento della Pubblica Sicurezza, ricevevano in modalità “analogica” e in tempi non adeguati dal Centro Nazionale Anticrimine per la Protezione delle Infrastrutture Critiche Informatizzate (CNAIPIC) i bollettini della tragedia che si stava consumando a livello globale.

In questo contesto frammentario, dominato dall’incertezza e soprattutto dalla diffusività dell’attacco, i partecipanti a questo gruppo informale di persone che avevano un bisogno immediato ed attuale di proteggere il patrimonio informativo delle proprie realtà, assunsero una consapevolezza immediata: il modello di scambio informale risultava inefficiente ed occorreva automatizzare la raccolta delle informazioni da fonti eterogenee affidabili per utilizzarle in maniera efficace all’interno delle strutture di presidio operativo (SOC) con possibilità di condividere o arricchire il dato.

Nasceva in questo modo, con una piena consapevolezza da parte degli attori protagonisti della difesa un primo modello di quello che poi si sarebbe definito information sharing: embrionale, spontaneo ed artigianale quanto si vuole, ma con alcune caratteristiche fondamentali tra le quali la fiducia tra i partecipanti e l’opportunità di svolgere assieme, indipendentemente dal marchio impresso sul badge di ciascuno e persino tra imprese in concorrenza, per definire modelli operativi e soprattutto per automatizzare il processo di scambio informativo sugli “Indicatori di compromissione”, senza reinventare la ruota, ma utilizzando strumenti ed esperienze preesistenti per la creazione di un modello operativo di scambio a basso utilizzo di risorse umane, ma con altissima efficienza in termini di validazione del dato ed immissione istantanea negli strumenti operativi.

Dal modello embrionale agli strumenti tecnici di condivisione

A fine 2017 il gruppo contava quasi 60 membri, rappresentativi di oltre 20 entità. Il primo effetto tangibile di questa straordinaria realtà fu la creazione di uno strumento tecnico di information sharing, basato su un linguaggio comune standard (STIX: Structured Threat Information eXpression) che utilizza un protocollo di trasporto standard (TAXII: Trusted Automated eXchange of Indicator Information) via internet con protocollo sicuro https[1].

L’oggetto “Indicatore di Compromissione”, a seguito dell’analisi e valutazione, diviene un’informazione affidabile, accurata, ma non sovrabbondante, tecnicamente oggettiva, per poter essere immessa direttamente negli strumenti a disposizione del SOC, sia in fase di prevenzione (es.: attraverso il blocco dei canali di connessione verso il centro di comando e controllo) o di rilevamento degli elementi di comportamento caratterizzante dell’azione malevola. Il tutto non nel senso, banale, di agire puntualmente su singoli indicatori, ma per cogliere l’utilizzo di strumenti, tecniche, tattiche e procedure che permettevano di individuare e contrastare l’azione dell’attore malevolo in tutte le fasi dell’attacco.

In altri termini: applicare quel modello operativo che, sviluppando l’intuizione sistemica di David Bianco definita, in modo iconico “la piramide del dolore”[2], una visione innovativa delle attività di rilevamento e risposta basata su una considerazione pratica: non tutti gli indicatori di compromissione, opportunamente utilizzati in chiave di difesa, hanno la stessa efficacia: l’attaccante può avere a disposizione un numero di indirizzi IP o nomi di dominio utilizzati per la propria azione ostile e bloccarne uno o più è irrilevante; i valori di hash dei files hanno una modesta efficacia soprattutto nel medio-lungo periodo, sia perché l’entità ostile può agevolmente modificare questo valore, sia anche perché bloccare un hash specifico non impedisce agli attaccanti di utilizzare varianti dello stesso malware.

Salendo nella piramide, gli indicatori diventano più difficili da modificare e creano problemi sempre maggiori agli attaccanti (figurativamente, il dolore), in particolare identificando e contrastando per tempo gli strumenti, le tecniche, tattiche e procedure usate dai protagonisti attivi dell’attacco, costringendoli a ripensare completamente il loro approccio o, in molti casi, a desistere.

In questa visione, entrano in gioco diversi fattori, tra i quali, primo tra tutti, il tempo strettamente necessario ad assumere consapevolezza del modello operativo di una campagna malevola, all’applicazione delle contromisure che includono non solo quelle operative ma anche per la tempestiva risoluzione delle vulnerabilità attraverso le quali il nemico possa guadagnare accesso e portare devastazione e saccheggio nei territori digitali della vittima.

Molto più semplicemente, una parte fondamentale di un processo qualificato di sicurezza delle informazioni passa necessariamente nella qualità operativa dei pilastri della prevenzione, del rilevamento, contenimento e risposta agli atti illeciti informatici. La valutazione dell’efficacia di un sistema di gestione della sicurezza delle informazioni passa anche attraverso la capacità reale e non fittizia dell’organizzazione di affrontare la minaccia nel dominio cyber, con azioni concrete che abbiano come obiettivo sia la costante riduzione della superficie d’attacco attraverso l’identificazione e risoluzione delle vulnerabilità note ed emergenti, sia la capacità di identificazione di tutti quegli elementi caratterizzanti il processo di attacco stesso, per consentire un’efficace difesa, nella piena consapevolezza che “100% security” è nulla più che una speranza.

L’esperienza di quella straordinaria stagione pionieristica nazionale, caratterizzata dall’entusiasmo di fiducia e lealtà di quella community[3], può servire ancora oggi, alla luce dell’evoluzione normativa non solo come elemento storico ma anche per meglio caratterizzare i fattori critici di successo di iniziative di condivisione di informazioni e la cooperazione tra entità pubbliche e private per prevenire e gestire gli incidenti di sicurezza.

Il ruolo dell’ISAC Nazionale e la promozione degli ISAC settoriali

La costituzione di Information Sharing and Analysis Centers (ISAC) non è un’esperienza recente ma nasce negli USA addirittura sul finire del XX Secolo, nel quadro della strategia di protezione delle infrastrutture critiche, all’emergere della consapevolezza della crescente esposizione a minaccia dell’evoluzione digitale della società. Nel Presidential Decision Directive-63 (PDD-63)[4] l’Amministrazione Clinton stabilisce la necessità dell’istituzione di ISAC, che vedono la luce nel 1999, per iniziativa pubblica, principalmente nei settori di telecomunicazioni, energia e finanza. Ruoli rafforzati con il varo della Homeland Security Presidential Directive 21[5] in una logica (vera e reale e non solo declamata) di partenariato pubblico-privato.

Modello che negli USA funziona da tempo, con logiche strutturate ed organiche, che hanno determinato la costituzione di soggetti operativi, essenzialmente no-profit e comunque non legati ad attori primari dell’industria di riferimento, che non hanno quindi né vantaggi competitivi né conflitti di interesse rispetto alle entità nei cui riguardi i servizi vengono erogati. Punto questo, tutt’altro che marginale, poiché è agevole intuire come un processo di condivisione di informazioni, specialmente in costanza di incidenti, può rappresentare un elemento critico, soprattutto in contesti ad alta competizione, come rilevato anche da ENISA nella pubblicazione “Incentive and Barriers to Information Sharing”[6], assieme ad altri fattori limitanti, come l’esistenza di barriere normative, in particolare nella gestione di informazioni classificate.

L’Unione Europea arriva piuttosto tardi e con un approccio piuttosto leggero ed incerto. La Direttiva UE 2022/2555, ormai universalmente nota come NIS2, contiene espliciti riferimenti al tema della condivisione delle informazioni, di cui taluni evocano in maniera evidente il modello partecipativo pubblico-privato, imponendo alle Autorità nazionali l’adozione delle “regole del gioco”.

La Strategia Nazionale di Cybersicurezza e il relativo Piano di Implementazione si presentano come gli strumenti per rispondere a questa esigenza, fissando i principi di alto livello per “la messa a punto di procedure pertinenti e strumenti adeguati di condivisione delle informazioni per sostenere la condivisione volontaria di informazioni sulla cibersicurezza tra soggetti, nel rispetto del diritto dell’Unione” secondo l’art. 7 paragrafo 2 lett. g) della Direttiva NIS2. L’Unione Europea ha definito l’approccio strategico nella cornice della Nuova strategia della cibersicurezza dell’Unione Europea e del “Cyberscudo” e ha regolamentato il processo a livello unionale con istituti e iniziative ben definite come EU CyCLONe e la rete europea dei CSIRT (pubblici) nazionali.

Nella visione italiana, è indispensabile cogliere l’opportunità, se non la necessità di una visione integrata dei diversi servizi cyber nazionali, armonizzando i diversi elementi in entrata dai diversi processi di information security, promuovendo la condivisione di informazioni attraverso “…un Information Sharing and Analysis Center (ISAC) centrale presso l’Agenzia, integrabile con una rete di ISAC settoriali sviluppati mediante iniziative pubblico-private, che possa potenziare la diffusione e l’applicazione di informazioni a maggior valore aggiunto per l’innalzamento del livello di cyber resilience del Paese, quali ad esempio best-practice di settore, linee guida, avvisi di sicurezza e raccomandazioni”[7].

L’ISAC nazionale e pubblico è stato istituito presso l’Agenzia per la Cybersicurezza nazionale ed ha messo a disposizione, a favore dei soggetti pubblici e privati affiliati il meccanismo di scambio automatico delle informazioni attraverso la piattaforma MISP, strumento estremamente agevole basato sulle stesse logiche prima individuate attraverso linguaggio e protocollo standard immediatamente fruibile dalle entità opportunamente dotate di capacità tecniche.

Gli ISAC settoriali, invece, espressamente considerati nella Misura #35 del Piano di implementazione (Promuovere la creazione di ISAC settoriali integrati con l’ISAC dell’ACN, anche mediante iniziative pubblico-private, così da favorire il potenziamento dello scambio informativo e di best-practice a servizio delle Pubbliche Amministrazioni e dell’industria nazionale), mirano invece a creare una comunità di attori pubblici e privati, che possano collaborare per affrontare minacce comuni, tenendo in considerazione le specificità di singoli settorie sottosettori della società dell’informazione, condividendo, con altrettante logiche di dominio, la condivisione delle informazioni.

Sinergie operative tra ISAC nazionali e settoriali

Aspetto, questo, che merita una precisazione e può essere significativo: una minaccia ad un sistema utilizzato indifferentemente da qualsiasi settore industriale, come un applicativo di posta elettronica, di videoconferenza o un gestionale, non caratterizza la minaccia in chiave settoriale solo perché si siano registrate vulnerabilità sfruttabili (anche) in un determinato settore. Non si può dire, infatti, che l’incidente Solarwind del 2020, che abbia colpito anche il settore del trasporto aereo, creando più di qualche disagio ai gestori aeroportuali, sia per ciò solo, materia dell’ISAC del settore aviazione (se fosse operativo). Una minaccia intesa a tutti gli utenti di un prodotto o di un servizio dovrebbe essere resa disponibile a tutti e questo potrebbe essere il compito naturale dell’ISAC Nazionale. Un ISAC settoriale dovrebbe, invece, concentrare i propri sforzi per definire processi di condivisione informativa dedicata ai membri della propria comunità, concentrando lo sforzo proprio nell’analisi di quei vettori di minaccia specifici del settore.

Ma tale principio, probabilmente, ha difficoltà ad essere concettualizzato, risolvendosi spesso queste iniziative in una duplicazione di funzioni di dubbia utilità, soprattutto se è vero, com’è vero, che lo sforzo operativo del modello partecipativo dovrebbe essere quello di servire alla comunità in una gestione coordinata ed efficace dei flussi informativi

In realtà, il modello che sembra emergere dalla strategia europea e nazionale è proprio quello di una sinergia operativa, in cui gli ISAC settoriali siano indirizzati dalle regole centrali dell’Autorità per strutturare un processo di condivisione delle informazioni.

La capacità di rilevare e condividere rapidamente gli indicatori di compromissione (IoC) specifici e settoriali può fare la differenza tra un attacco contenuto e un disastro su larga scala. La collaborazione tra ISAC Nazionale e ISAC settoriali può rendere realmente efficace questo processo, favorendo una risposta coordinata e tempestiva, con l’utilizzo di tecnologie come l’automazione, le capacità di analisi di grandi quantità di dati in tempo reale, riducendo significativamente i tempi di rilevazione, prevenzione, contenimento e risposta.

Sfide reali nella costituzione di ISAC settoriali

La creazione e il funzionamento di un ISAC Settoriale non è avventura di poco conto e presenta costi significativi, anche in termini di risorse qualificate e dedicate, in un’epoca nella quale di tali competenze vi è drammatica carenza e le organizzazioni, pubbliche e private, faticano non poco nei processi di selezione.

In aggiunta, si tratta di definire una struttura permanente, che deve sciogliere nodi operativi non marginali tra i quali:

Mantenere la costante fiducia tra i partecipanti, in più termini: non solo per l’assoluta e qualificata certezza dell’utilizzo appropriato e non competitivo di informazioni sensibili, ma anche per l’aspettativa di ricevere dati appropriati, efficaci, effettivi e appropriati da utilizzare, con reale valore aggiunto nella gestione dei propri sistemi;
Una gestione operativa, in termini di governance ben definita, efficace quanto a gestione dei costi e dei risultati;
La capacità di ricevere dati qualificati, aggiornati ed appropriati da più fonti, valutarli e validarli ed avere anche la capacità di analizzare gli eventuali indicatori provenienti dal basso prima della condivisione alla comunità;
Formazione continua degli analisti;
Reale e trasparente partenariato pubblico-privato.

E dunque la decisione di costituire un ISAC settoriale deve essere una scelta strategica ben ponderata e non può risolversi in un esercizio di stile, magari nel quadro di un progetto finanziato cui non corrispondano, però reali e misurabili benefici per la comunità operativa che lo costituisce e che deve, per definizione, essere solida e determinata a cooperare, per quanto possibile estesa a tutti i soggetti rilevanti dello specifico dominio.

La condivisione delle informazioni è un elemento essenziale nelle strategie di sicurezza delle informazioni, a livello internazionale, europeo, nazionale e rappresenta una determinante opportunità per i soggetti pubblici e privati, che realmente vogliano fare la “cybersecurity sul serio”. Il modello operativo sotteso agli ISAC, nel quadro di una coerente interpretazione del principio di collaborazione pubblico-privato e alla luce della costante evoluzione del dominio cyber globale, deve essere analizzato in maniera seria, partendo dalla definizione di obiettivi seri, realistici, effettivamente praticabili soprattutto in logica settoriale.

In tale prospettiva, è evidente l’aspettativa che l’Agenzia per la Cybersicurezza Nazionale, nell’esercizio delle proprie prerogative e in linea con le indicazioni contenute nelle diverse fonti normative europee e nazionali, definisca ad un livello più operativo i requisiti, le condizioni e i limiti di un modello di “Condivisione informativa italiana”, che tenga conto anche del complicato quadro geopolitico internazionale, dove anche certezze consolidate sembrano oggi vacillare nei processi di collaborazione tra Stati e delle emergenti minacce che richiedono una nuova consapevolezza pratica che nel vecchio Continente non sembra essere sempre presente.