EISPP
European Information Security
Protection Programme
EISPP è un progetto
co-finanziato dalla Comunità Europea nell'ambito del Quinto Programma
Quadro.
Il progetto punta a creare una
rete di CERT europei ed a definire contenuti e modi per distribuire
informazioni di sicurezza alle PMI (Piccole e Medie Imprese).
Il
progetto, iniziato nel giugno 2002 e con una durata prevista di diciotto
mesi, è realizzato da un consorzio di CERT privati, ISP/ASP,
organizzazioni professionali e PMI (queste ultime direttamente o
attraverso le Camere di Commercio).
L'attuale Consorzio comprende:
-
Callineb Consulting AB (Svezia)
- Cert_IST (Francia)
- CLUSIT (Italia)
- esCERT
(Spagna)
- I-NET (Italia)
- INETSECUR (Spagna)
- Siemens CERT (Germania)
Obbiettivi
del Progetto
I
problemi
Mancanza di fiducia
Negli anni passati, alcune
aziende hanno tentato di sviluppare le loro attività di commercio
elettronico attraverso reti pubbliche (principalmente Internet). Gli
attacchi di DDoS (Denial of Service distribuito) del febbraio del 2000
hanno colpito alcuni importanti siti di commercio elettronico, e più
recentemente eventi come worm come Code Red II e Nimda hanno colpito
centinaia di migliaia di siti Internet.
Lo stato della sicurezza si
sta evolvendo da minacce alle
aziende più rilevanti, verso minacce che colpiscono anche le piccole
attività su Internet e persino gli utenti domestici. I danni causati
dagli attacchi degli anni passati erano relativamente facili da rimediare;
ora non è più così, e questo ha colpito la fiducia che gli stakeholders
possono avere nelle attività su Internet. Tutto questo ha anche
rallentato lo sviluppo di attività su Internet da parte delle PMI.
Supporto inadeguato
Le grandi aziende, che possono
permettersi dei CERT interni, sia dal punto di vista finanziario che della
disponibilità di competenze, non fanno un uso adeguato del materiale
preventivo (ad esempio gli advisory di sicurezza). Di conseguenza, i worm
citati hanno colpito molte di queste aziende. Le PMI non dispongono nè
delle competenze nè delle risorse finanziarie necessarie.
Competenze sparse e mancanza
di standard
Advisory di sicurezza vengono
prodotti da CERT e da organizzazioni specializzate (come la mailing list
Bugtraq o gli advisory dei produttori), ma non sono mai stati
standardizzati (lo standard CVE è stato adottato da pochi di questi
attori per standardizzare le vulnerabilità). Il personale operativo
spesso viene sommerso da informazioni su vulnerabilità, che non è in
grado di analizzare e valutare nelle situazioni di emergenza. Queste
mancanze impediscono di fornire un'informazione comprensibile sia dal
punto di vista della gestione del rischio che da quello della valutazione
delle vulnerabilità. Una classificazione delle vulnerabilità e dei
rischi è presente a volte in alcuni advisory, in funzione della
competenza del centro che li produce. In Europa ad esempio, nonostante ci
siano le competenze per coprire la maggior parte dei componenti di rete ed
i sistemi, non c'è una conoscenza centralizzata su dove queste competenze
siano disponibili. Non c'è neppure una conoscenza centralizzata su dove
trovare informazioni utilizzabili dei diversi settori di competenza, o un
processo per sviluppare meccanismi di condivisione utilizzando una
"rete di competenze".
Obbiettivi
di EISPP
L'obbiettivo principale di
EISPP è di creare un'infrastruttura europea allo scopo di fornire alle
PMI i necessari servizi di sicurezza, per permettere una maggiore fiducia
nell'e-business, necessario per lo sviluppo delle loro attività. Questo
obbiettivo può essere raggiunto mediante una serie di obbiettivi
secondari:
-
Realizzare una "rete di competenze" fra i CERT europei che permetta di condividere il materiale di prevenzione, da aprire poi ad altri CERT e organizzazioni coinvolte nell'attività di prevenzione;
-
fornire alle PMI servizi usabili, personalizzati ed efficienti. Come detto, un semplice "advisory" fa poco per migliorare la sicurezza di un'organizzazione. Spesso si cerca un insieme completo di servizi, come monitoraggio delle vulnerabilità+valutazione dell'impatto dei patch sulle piattaforme operative, fino all'amministrazione remota; questi servizi sono raramente offerti o accessibili alle PMI; è necessario definire un modello complessivo di come i servizi aggiuntivi agli advisory possono essere offerti, compreso un modello di finanziamento che permetta di rendere conveniente l'offerta di questi servizi;
-
non ultima, la diffusione alle PMI dei risultati del progetto.
Organizzazione del progetto
Il progetto è diviso in sei
"workpackage":
1.
Project
Management
2.
Dissemination
and exploitation plan
3.
Shared
advisory infrastructure
4.
Advisory
distribution to SMEs
5.
Deployment
and integration of ICT security products
6.
Measurement
and Evaluation of Results
Dal punto di vista
dell'utente, i più interessanti sono wp3, wp4 e wp5.
Workpackage
3: Shared advisory infrastructure
L'obbiettivo di questo
workpackage è di realizzare una infrastruttura condivisa fra i Centri di
Competenza patecipanti (CERTs) allo scopo di rendere diponibile
all'industria (SME e grandi aziende) un deposito di materiale preventivo,
e di sfruttare questo sforzo per realizzare a livello europeo una rete di
competenze in materia. L'infrastruttura comprenderà dei database di
vulnerabilità e affronterà l'interdipendenza fra diverse vulnerabilità.
Workpackage
4: Advisory distribution to SMEs
Il primo obbiettivo di questo
workpackage è la definizione e sperimentazione di modalità di diffusione
di advisory destinati alle PMI. Il secondo obbiettivo riguarda una
particolare tecnica necessaria per raggiungere il primo obbiettivo, ovvero
l'uso di una PKI in un ambiente "aperto" (anzichè all'interno
di un'azienda) dovendo gestire un numero elevato di utenti. Il terzo
obbiettivo riguarda le modalità per rendere disponibili alle PMI queste
risorse preventive, e deve portare allo sviluppo di un modello di
finanziamento adatto alla fornitura di questi servizi alle PMI.
Workpackage
5: Deployment and integration of ICT security products
La manutenzione di prodotti di
sicurezza pone dei problemi specifici alle PMI. Tipicamente, le PMI hanno
personale tecnico limitato e mantenere i prodotti di sicurezza aggiornati
con gli ultimi patch e file di signature può essere particolarmente
problematico. Spesso le PMI richiedono ai fornitori di servizio di
distribuire informazioni di "best practice" sui prodotti
impiegati permettendo al personale tecnico di concentrarsi sul core
business dell'azienda. Data la varietà di esigenze e soluzioni fra le
diverse PMI, verrà posto uno sforzo particolar nell'estrapolare dai
progetti pilota dei modelli che siano utilizzabili nel maggior numero
possibile di PMI europee. Le raccomandazioni del workpackage 4 saranno
testati "real life" per avere un feedback diretto dalle PMI. Gli
obbiettivi del workpackage sono:
-
integrare la distribuzione di advisory di sicurezza con l'utilizzo da parte delle PMI di prodotti di sicurezza. Ad esempio, insieme all'advisory, la PMI può ricevere informazioni su come configurare il proprio firewall/IDS/antivirus per gestire la vulnerabilità; questa informazione sarebbe adattata agli specifici strumenti di sicurezza utilizzati dalla PMI;
-
verificare l'adeguatezza e completezza dell'informazione fornita, implementando i servizi direttamente presso i Centri di Competenza nei diversi Stati;
-
automatizzare la distribuzione degli advisory attraverso l'integrazione di strumenti automatici di vulnerability scanning fino ad includere la distribuzione a applicazione automatica dei patch di sicurezza.
Coinvolgimento
degli utenti
Gli utenti possono essere
coinvolti in due modi:
-
come utenti finali: tipicamente PMI, ricevono gli advisory e utilizzano i servizi, direttamente forniti dall'infrastruttura condivisa dei CERT o attraverso un intermediario;
-
come intermediari: tipicamente ISP. ASP o Camere di Commercio, gli intermediari aggiungono un ulteriore livello fra i CERT e gli utenti finali; possono occuparsi semplicemente della registrazione degli utenti e dell'help desk, in modo da rendere l'infrastruttura maggiormente scalabile, oppure possono personalizzare servizi come quelli sperimentati nel workpackage 5. La figura mostra come possono interagire CERT, utenti e intermediari.
Esempio
Quello che segue è un esempio
dei vantaggi degli advisory selettivi che il progetto EISPP vuole
realizzare.
Una PMI riceve alerts per
tutte le marche di prodotti che utilizza, inclusi: Microsoft, Compaq, Sun
Oracle e Checkpoint. Il risultato è un sovraccarico di informazioni, con
la PMI che non ha nè il tempo nè le competenze per selezionare gli
advisory che realmente riguardano i suoi sistemi. Con advisory selettivi,
riceve informazioni solo su Checkpoint FW-1 su piattaforma Nokia, Oracle
8i su piattaforma Solaris, e Microsoft Windows 2000 Professional; EISPP
fornisce inoltre puntatori alle signature per gli IDS e agli aggiornamenti
per gli Antivirus. Inoltre, EISPP aggiunge commenti di esperti di tutta
Europa. Il risultato è informazione di sicurezza che può essere
utilizzata in modo efficace.
Per Informazioni