Simple Science

Scienza all'avanguardia spiegata semplicemente

# Informatica# Biblioteche digitali# Crittografia e sicurezza

Il Ruolo dei Dati Pubblici nelle Operazioni del CSIRT

Esaminando come i CSIRT nazionali usano informazioni pubbliche e strumenti gratuiti per la risposta agli incidenti.

― 7 leggere min

CSIRT e Dati PubbliciCSIRT e Dati Pubblicigratis per la cybersecurity.Come le nazionali usano strumenti
Indice

I Team Nazionali di Risposta agli incidenti di Sicurezza Informatica, o CSIRT, sono gruppi creati per gestire e rispondere a problemi di sicurezza informatica. Lavorano a livello nazionale e organizzativo, affrontando incidenti come hacking e violazioni dei dati. Molti di questi team utilizzano informazioni pubbliche e strumenti gratuiti per aiutarli nei loro compiti, ma non c'è abbastanza conoscenza dettagliata su come utilizzano queste risorse. Questo articolo ha l'obiettivo di fornire un quadro più chiaro su come i CSIRT nazionali incorporano Dati Pubblici e strumenti gratuiti nelle loro operazioni.

Importanza dei CSIRT

Con l'aumento degli incidenti informatici a livello globale, la necessità di risposte efficaci è diventata più critica. I criminali informatici sono diventati più abili, prendendo di mira organizzazioni in vari settori. La pandemia di Covid-19 ha aggravato queste minacce, poiché più persone hanno iniziato a lavorare online, esponendo a nuovi rischi. Pertanto, avere un team di risposta agli incidenti robusto, con le giuste conoscenze e strumenti, è vitale per proteggere le organizzazioni.

Un team di risposta agli incidenti aiuta a limitare i danni derivanti dagli incidenti informatici. Non solo rispondono agli attacchi, ma indagano anche sulle cause e prevengono futuri incidenti. Questi team sono conosciuti con diversi nomi, tra cui Team di Risposta alle Emergenze Informatiche (CERT) o Team di Risposta agli Incidenti Cyber (CIRT). Tutti questi termini indicano spesso lo stesso tipo di team, ma per coerenza ci focalizziamo sui CSIRT.

Ruolo dei CSIRT Nazionali

I CSIRT nazionali supportano il loro paese coordinando le risposte agli incidenti informatici. Raccolgono e analizzano dati da diverse fonti, a volte collaborando con altri paesi e organizzazioni per condividere informazioni e buone pratiche. Questi team aiutano a garantire che le organizzazioni nel loro paese siano preparate ad affrontare le minacce alla sicurezza.

Dati e Strumenti Utilizzati dai CSIRT

I CSIRT si affidano a diversi tipi di dati per le loro operazioni. Spesso utilizzano sia dati chiusi che pubblici. I dati chiusi includono informazioni riservate, come rapporti interni o informazioni condivise tra partner fidati. I dati pubblici, invece, sono informazioni disponibili online che possono essere accessibili liberamente da chiunque.

Gli strumenti gratuiti si presentano in molte forme, partendo da programmi software progettati per indagare incidenti a applicazioni che aiutano ad analizzare i dati. Questi strumenti possono essere particolarmente utili per la risposta agli incidenti, aiutando i team a raccogliere e analizzare informazioni rapidamente. Alcuni CSIRT hanno sviluppato i propri strumenti, mentre molti altri si affidano a strumenti creati dalla comunità open-source o da altre organizzazioni.

Revisione Sistematica della Letteratura

Per comprendere meglio le pratiche dei CSIRT riguardo ai dati pubblici e agli strumenti gratuiti, è stata condotta una revisione sistematica della letteratura. Questo ha coinvolto l'esame di ricerche e pubblicazioni esistenti sui CSIRT nazionali. La revisione è stata condotta in tre fasi:

  1. Identificazione delle Pubblicazioni Rilevanti: Il primo passo ha comportato la ricerca sui siti web dei CSIRT nazionali e delle organizzazioni pertinenti per trovare informazioni utili.

  2. Analisi della Letteratura di Ricerca: La seconda fase si è concentrata sullo studio di articoli di ricerca scientifica per identificare approfondimenti utili sulle operazioni dei CSIRT.

  3. Sintesi dei Risultati: Il terzo passaggio ha combinato dati e approfondimenti delle prime due fasi per fornire una panoramica completa su come i CSIRT nazionali utilizzano dati pubblici e strumenti gratuiti.

Risultati della Revisione

Pratiche Attuali

La revisione ha rivelato che i CSIRT nazionali discutono spesso di dati pubblici e strumenti gratuiti, ma molte di queste discussioni sono incomplete o superficiali. C'è anche una mancanza evidente di ricerche su come il personale dei CSIRT percepisca l'utilità di questi dati e strumenti. Questa mancanza di informazioni dettagliate può creare ostacoli nell'utilizzo al meglio di ciò che è disponibile.

Fonti di Dati Pubblici

I CSIRT nazionali utilizzano una varietà di fonti di dati pubblici per le loro operazioni di risposta agli incidenti. Alcuni esempi di dati pubblici includono:

  • Informazioni sulle Vulnerabilità: Risorse che forniscono dettagli sulle vulnerabilità software note, come il database delle Vulnerabilità e delle Esposizioni Comuni (CVE).

  • Feed di Intelligence sulle minacce: Dati che aiutano a identificare potenziali minacce, come malware o campagne di phishing.

  • Informazioni sulla Registrazione dei Domini: Dati provenienti dai database WHOIS che possono fornire informazioni sulla proprietà e registrazione dei domini.

  • Informazioni Pubbliche Generali: Dati disponibili da portali governativi di open data e siti web pubblici che possono contenere informazioni rilevanti per le risposte agli incidenti.

Strumenti Gratuiti

Lo studio ha evidenziato un numero significativo di strumenti gratuiti menzionati nella letteratura. Questi strumenti coprono varie funzioni, tra cui:

  • Analisi dei Log: Strumenti che aiutano ad analizzare i log informatici per identificare attività sospette.
  • Gestione degli Incidenti: Applicazioni che assistono nel monitoraggio e nella gestione degli incidenti.
  • Monitoraggio della Rete: Strumenti per monitorare le attività di rete e rilevare potenziali violazioni.
  • Strumenti di Forensics: Software che assistono nell'indagine sugli incidenti informatici e nella raccolta di prove.

Molti CSIRT nazionali utilizzano attivamente strumenti gratuiti e alcuni addirittura sviluppano i propri. Esempi di strumenti sviluppati dai CSIRT includono:

  • IntelMQ: Uno strumento utilizzato per raccogliere e processare dati di intelligence sulle minacce.
  • MISP (Malware Information Sharing Platform): Uno strumento progettato per facilitare la condivisione di informazioni sulle minacce tra i CSIRT.

Questi strumenti sono essenziali per le operazioni quotidiane e possono svolgere un ruolo significativo nel migliorare i tempi di risposta e rafforzare le misure di sicurezza complessive.

Sfide Affrontate dai CSIRT

Nonostante i vantaggi di utilizzare dati pubblici e strumenti gratuiti, ci sono sfide che i CSIRT nazionali devono affrontare. Queste sfide includono:

  • Qualità dei Dati e degli Strumenti: I dati pubblici potrebbero non sempre essere affidabili. Spesso c'è una mancanza di garanzia di qualità per gli strumenti gratuiti, il che può portare a problemi nella loro efficacia.

  • Conoscenza Limitata: Molti membri del personale dei CSIRT potrebbero non essere pienamente consapevoli dei dati pubblici e degli strumenti gratuiti disponibili, riducendo la loro capacità di utilizzare efficacemente queste risorse.

  • Limitazioni Operative: I CSIRT potrebbero incontrare difficoltà nell'implementare nuovi strumenti e integrarli nei loro processi esistenti.

Direzioni per la Ricerca Futura

I risultati della revisione della letteratura evidenziano diverse aree che richiedono ulteriori studi:

  1. Comprendere le Percezioni del Personale dei CSIRT: Serve più ricerca per raccogliere prove concrete su come il personale dei CSIRT percepisca l'utilità dei dati pubblici e degli strumenti gratuiti.

  2. Studi di Caso di Implementazioni di Successo: Uno studio dettagliato di specifici CSIRT nazionali che hanno utilizzato in modo efficace i dati pubblici e gli strumenti gratuiti potrebbe fornire spunti utili per altri team.

  3. Valutazione degli Strumenti: La ricerca futura dovrebbe esplorare come valutare sistematicamente la qualità degli strumenti gratuiti e dei dati pubblici.

  4. Promuovere la Collaborazione: Indagare su come i CSIRT possano collaborare meglio e condividere risorse potrebbe migliorare le capacità di risposta agli incidenti a livello globale.

Conclusione

I dati pubblici e gli strumenti gratuiti giocano un ruolo cruciale nell'aiutare i CSIRT nazionali a rispondere agli incidenti informatici. Tuttavia, c'è molto spazio per migliorare nel modo in cui queste risorse vengono utilizzate. Conducendo ulteriori ricerche sulle pratiche, le sfide e le percezioni relative ai dati pubblici e agli strumenti gratuiti, la comunità dei CSIRT può migliorare le proprie capacità e proteggere meglio le organizzazioni dalle minacce informatiche.

In un'epoca in cui le minacce informatiche sono sempre più sofisticate, comprendere le dinamiche dei dati e degli strumenti disponibili per i team di risposta agli incidenti sarà fondamentale per garantire ambienti sicuri per le organizzazioni in tutto il mondo.

Fonte originale

Titolo: The Use of Public Data and Free Tools in National CSIRTs' Operational Practices: A Systematic Literature Review

Estratto: Many CSIRTs, including national CSIRTs, routinely use public data, including open-source intelligence (OSINT) and free tools, which include open-source tools in their work. However, we observed a lack of public information and systematic discussions regarding how national CSIRTs use and perceive public data and free tools in their operational practices. Therefore, this paper provides a systematic literature review (SLR) to comprehensively understand how national CSIRTs use and perceive public data and free tools in facilitating incident responses in operations. Our SLR method followed a three-stage approach: 1) a systematic search to identify relevant publications from websites of pertinent CSIRT organisations, 2) a conventional SLR into the research literature, and 3) synthesise data from stages one and two to answer the research questions. In the first stage, we searched the websites of 100 national CSIRTs and 11 cross-CSIRT organisations to identify relevant information about national CSIRTs. In the second stage, we searched a scientific database (Scopus) to identify relevant research papers. Our primary finding from the SLR is that most discussions concerning public data and free tools by national CSIRTs are incomplete, ad hoc, or fragmented. We discovered a lack of discussions on how the staff of national CSIRTs perceive the usefulness of public data and free tools to facilitate incident responses. Such gaps can prevent us from understanding how national CSIRTs can benefit from public data and free tools and how other organisations, individuals and researchers can help by providing such data and tools to improve national CSIRTs' operation. These findings call for more empirical research on how national CSIRTs use and perceive public data and free tools to improve the overall incident responses at national CSIRTs and other incident response organisations.

Autori: Sharifah Roziah Binti Mohd Kassim, Shujun Li, Budi Arief

Ultimo aggiornamento: 2023-06-09 00:00:00

Lingua: English

URL di origine: https://arxiv.org/abs/2306.07988

Fonte PDF: https://arxiv.org/pdf/2306.07988

Licenza: https://creativecommons.org/licenses/by/4.0/

Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.

Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.

Link di riferimento
Argomenti citati

Altro dagli autori

Articoli simili