Mirko Caruso, Chief Information Security Officer di Intellisync, socio della Società Italiana di Intelligence e membro della Commissione di Studio su Cyber Threat Intelligence e Cyber Warfare, approfondisce i contenuti del Quaderno Tematico sulle Prospettive della Cyber Intelligence e descrive le modalità in cui Istituzioni e Pubblica Amministrazione si stanno attrezzando contro i fenomeni di phishing ed email spoofing.
Q: Sei membro della Società Italiana di Intelligence (SOCINT) e fai parte della commissione Cyber Threat Intelligence e Cyber Warfare . Di cosa si occupa la società e qual il tuo ruolo al suo interno?
La Società Italiana di Intelligence è un’Associazione scientifica senza fini di lucro con sede a Rende presso l’Università della Calabria. La SOCINT nasce con l’obiettivo di promuovere e valorizzare lo studio dell’Intelligence. Questo presupposto viene perseguito con l’organizzazione di convegni, conferenze, e seminari, con la redazione di pubblicazioni scientifiche e culturali, e con il rafforzamento dei rapporti con le università italiane e straniere. L’Associazione vuole dare forza alla formazione delle nuove generazioni su queste tematiche e contribuire allo sviluppo di un know-how professionale che preveda l’attività di Intelligence come strumento prioritario. Oltre ad essere socio ordinario dell’Associazione sono anche membro della commissione Cyber Threat Intelligence e Cyber Warfare, per la quale collaboro nello studio di tematiche inerenti alla Cybersecurity. La pubblicazione “Le Prospettive della Cyber Intelligence: Quaderno Tematico – Anno 2022/Vol. N.1” rappresenta il primo contributo della commissione nello studio e approfondimento della cyber threat intelligence e della cyberwarfare.
Q: Hai attivamente collaborato alla redazione di questa pubblicazione. Un progetto sugli aspetti giuridici, geopolitici e applicativi della tecnologia cyber che vede il contributo di tutti i membri della Commissione, puoi dirci di più sulla ricerca?
Il progetto di ricerca è composto da due filoni principali: il primo indaga sugli aspetti giuridici e geopolitici che coinvolgono la cybersecurity, il secondo è incentrato sulle applicazioni delle tecnologie cyber finalizzate alla protezione e alla salvaguardia dei confini digitali del paese affinché possano essere chiarite le dinamiche, le sfide, i rischi e le opportunità che l’adozione di questi strumenti porta con sé. Tutte le istituzioni, le organizzazioni e le imprese che operano all’interno di un sistema digitale territoriale sono interessate a comprendere le minacce informatiche e necessitano di informazioni accurate che possono essere fornite dalle attività di intelligence. Tali informazioni risultano fondamentali per la definizione di strategie finalizzate alla risoluzione delle minacce informatiche e per l’innovazione dei sistemi e dei processi organizzativi. La ricerca si pone l’obiettivo di fornire una guida in ambito cyber ed intelligence per la prevenzione della sicurezza degli asset aziendali, per salvaguardare la capacità di innovazione degli operatori e per suggerire nuove soluzioni tecnologiche utili per l’attività delle organizzazioni. All’interno del quaderno tematico, ogni membro della Commissione ha analizzato nel dettaglio un tema specifico nel contesto della cybersecurity e della cyber intelligence.
Q: In particolare, ti sei occupato di descrivere i fenomeni di E-mail Spoofing di Istituzioni e Pubblica Amministrazione
L’email spoofing è una pratica cyber criminale che è caratterizzata dalla impersonificazione di un indirizzo mittente di un dato nome di dominio al fine di condizionare negativamente il comportamento, le azioni e le scelte del destinatario. Questa tipologia di attacco è spesso utilizzata a supporto delle campagne phishing e spear-phishing, rappresentando la prima possibilità di contatto con una vittima all’oscuro della reale finalità della mail e non in possesso di un’adeguata consapevolezza per “fiutare” l’inganno. Relativamente alle Istituzioni e alla Pubblica Amministrazione, il fenomeno è quello che la FBI definisce genericamente come “Government Impersonation”, in cui viene impersonificata la figura di un funzionario governativo con l’obiettivo di estorcere denaro. Questa iniziativa, che beneficia delle pratiche di domain e sender spoofing per l’impersonificazione di un qualunque nome di dominio appartenente a PA e Istituzioni, può avere effetti catastrofici sulla continuità operativa e la protezione di dati sensibili. Stando ai numeri riportati dall’FBI Internet Crime report, nel corso del 2021 si sono verificate il 34% di vittime in più rispetto all’anno precedente per le sole campagne phishing. Ciò che preoccupa di più, e che ha spinto il governo alla creazione di associazioni come la SOCINT, è la quasi assoluta assenza di precauzioni complete ed uniformi per la cybersecurity di Pubbliche Amministrazioni e Istituzioni italiane.
Q: Quali rischi si celano dietro le campagne phishing e spear-phishing e come credi che queste metodologie si stiano evolvendo?
Come detto precedentemente, le campagne di email spoofing hanno obiettivi più ampi che rientrano frequentemente nei fenomeni di phishing. Questi attacchi generano delle conseguenze legate al controllo delle postazioni utente, alla sottrazione di credenziali strategiche e all’intrusione stabile nell’infrastruttura o al suo danneggiamento. Si parla di conseguenze assai diversificate e che sono quasi impossibili da elencare in modo completo. Vanno considerate, inoltre, le reazioni a catena che un attacco di phishing andato a buon fine può determinare per l’organizzazione e il singolo individuo. Tra le dinamiche più comuni di un fenomeno di phishing vi è l’ottenimento di credenziali personali di un utente grazie a strategie di social engineering. Questo, considerata la tendenza degli utenti di riutilizzare le stesse password nei vari account personali, rappresenta un rischio notevole per l’incolumità delle infrastrutture digitali delle organizzazioni. Negli ultimi anni la tecnica di attacco si è evoluta divenendo sempre più elaborata ed efficiente. Oggi vengono effettuati studi pregressi sulle informazioni delle future vittime in modo da destare meno sospetti al momento dell’attacco e rendere le mail di phishing più credibili. Inoltre, ormai gli strumenti d’attacco vanno oltre le classiche mail e coinvolgono gli sms e i social network.
Q: Come le istituzioni e la P.A. possono mettersi al sicuro da questa tipologia?
Le Istituzioni Pubbliche non sono attualmente allineate con le procedure necessarie per la sicurezza dei propri domini. Queste devono implementare dei protocolli di autenticazione, conformità e reporting a livello di nomi di dominio che possono essere implementati e monitorati da un sistema centrale, come il CSIRT Italia dell’ACN, e consentono non soltanto la prevenzione di questa tipologia di attacchi ma anche attività di Cyber Threat Intelligence volte all’identificazione e all’analisi delle campagne phishing in corso o anche solo tentate. Tra le possibili soluzioni individuate si segnalano sicuramente i miglioramenti nelle procedure di accreditamento e gestione DNS dei domini di terzo livello come gov.it e l’implementazione del solo “stack” DMARC – SPF per i domini di secondo livello istituzionali come sanita.it. Queste iniziative possono certamente apportare benefici tangibili sia sulla sicurezza dei sistemi delle Pubbliche Amministrazioni sia su quella dei singoli soggetti in quanto sono sufficienti a ridurre significativamente i tentativi di domain spoofing e sender spoofing e, di conseguenza, quelli di phishing e spear phishing.
Q: Alla luce dei cambiamenti sociali e geopolitici in atto, credi che l'Italia stia dando la giusta importanza alla tematica della Cybersecuirty?
La collaborazione tra il settore pubblico e quello privato rappresenta per l’Italia un ecosistema forte per la cybersicurezza. Gli operatori economici, come i gestori delle infrastrutture essenziali, il mondo delle università, della ricerca e della società civile affiancano attivamente le istituzioni nella lotta alla criminalità informatica. Si tratta di un importante esempio per la gestione delle minacce cyber perché è necessario che tutti si facciano parte attiva nel processo di protezione del patrimonio informatico secondo le norme riconosciute a livello internazionale. L’Italia negli ultimi anni ha fatto grossi passi avanti nel dominio della Cyber Security, il modello vincente non è sicuramente quello del “lasciar fare” aspettando che sia la sola ACN a farsi carico di studio, sviluppo e sensibilizzazione ma essere (tutti noi) parte attiva di questo cambiamento.
Q: Quanto credi che contributi come quello del Quaderno Tematico possono essere funzionali per una maggiore consapevolezza della tematica della
La Strategia Nazionale di Cyber Sicurezza 2022-2026 pubblicata dall’ACN include due proposte di strategie molto vicine a quelle elaborate e presentate tramite il quaderno tematico dalla nostra commissione e più nello specifico del mio contributo sull’email spoofing di Istituzioni e PA. La Strategia Nazionale di Cyber Sicurezza prevede infatti “il monitoraggio delle configurazioni dei domini di posta elettronica della PA, sia a livello applicativo che di configurazioni DNS, al fine di ridurre in modo proattivo potenziali superfici di attacco” e “il monitoraggio delle configurazioni dei domini di posta elettronica delle PA, supportando e facilitando l’applicazione delle migliori configurazioni di sicurezza contro eventi di phishing o abusi collegati”. Ho avuto modo recentemente di entrare in contatto con la Dott.ssa Ciardi, Vicedirettore dell’Agenzia, che mi ha ringraziato per l’impegno profuso ed ha accolto il mio consiglio di implementare all’interno dell’agenzia stessa le strategie da noi suggerite dando così un esempio virtuoso di istituzione “spoofing-safe”. Alla luce delle tante scelte assunte dagli organi governativi sulla traccia di quanto indicato all’interno del quaderno tematico, è sicuramente possibile affermare che un contributo di questo tipo non possa che rappresentare un supporto di grande valore per tutti gli organi istituzionali, i quali possono beneficiare di un aiuto costante su tematiche che sono ormai di fondamentale importanza per la sicurezza del paese e di tutti i suoi cittadini.
Conclusioni
Il primo volume del Quaderno Tematico “Le Prospettive della Cyber Intelligence” redatto dalla Società Italiana di Intelligence è una pubblicazione che riporta al suo interno, oltre che il contributo di Mirko Caruso, altri nove interventi sulle tematiche della cyber intelligence curati da Mattia Siciliano, Achille Pierre Paliotta, Annita Larissa Sciacovelli, Andrea Leoni, Andrea Giordani, Francesco Schifilliti, Giuseppe Maio, Francesco Arruzzoli, Cosimo Melella, Cecilia Isola e Fabrizio d’Amore.
