Introduzione

Il progetto EISPP ("European Information Security Promotion Programme") è un progetto sponsorizzato dalla Commissione Europea nell'ambito del Quinto Programma Quadro. Il progetto ha come obiettivo lo sviluppo di una rete europea di CERT e di definire i contenuti e i canali attraverso i quali mettere a disposizione serivizi di sicurezza alle PMI. Il progetto, iniziato nel Giugno del 2002 e con una durata di diciotto mesi, è realizzato da un consorzio di CERT del settore privato, ISP/ASP, associazioni e PMI, sia direttamente, sia tramite Camere di Commercio (CCI). Il Consorzio incaricato del progetto è composto da: CERT-IST, esCERT, Siemens CERT, I-NET, CLUSIT, Callineb Consulting e Inetsecur.

A cosa serve EISPP?
Quali sono i problemi?

Mancanza di fiducia
Nel corso degli ultimi anni alcune imprese hanno cercato di sviluppare le loro attività attraverso il commercio elettronico e utilizzando risorse pubbliche come Internet. Nel febbraio 2000 un attacco di Denial of Service Distribuito ha paralizzato dei noti siti di commercio elettronico e, più recentemente, dei worm come Code Red II e Nimda hanno colpito centinaia di migliaia di siti Internet. Lo stato della sicurezza si sta evolvendo da minacce alle aziende più rilevanti, verso minacce che colpiscono anche le piccole attività su Internet e persino gli utenti domestici. I danni causati dagli attacchi degli anni passati erano relativamente facili da rimediare; ora non è più così, e questo ha colpito la fiducia che gli stakeholders possono avere nelle attività su Internet. Tutto questo ha anche rallentato lo sviluppo di attività su Internet da parte delle PMI.

Supporto inadeguato
Le grandi aziende, che possono permettrsi dei CERT interni, sia dal punto di vista finanziario che della disponibilità di competenze, non fanno un uso adeguato del materiale preventivo (ad esempio gli advisory di sicurezza). Di conseguenza, i worm citati hanno colpito molte di queste aziende. Le PMI non dispongono nè delle competenze nè delle risorse finanziarie necessarie.

Competenze sparse e mancanza di standard
Advisory di sicurezza vengono prodotti da CERT e da organizzazioni specializzate (come la mailing list Bugtraq o gli advisory dei produttori), ma non sono mai stati standardizzati (lo standard CVE è stato adottato da pochi di questi attori per standardizzare le vulnerabilità). Il personale operativo spesso viene sommerso da informazioni su vulnerabilità, che non è in grado di analizzare e valutare nelle situazioni di emergenza. Queste mancanze impediscono di fornire un'informazione comprensibile sia dal punto di vista della gestione del rischio che da quello della valutazione delle vulnerabilità. Una classificazione delle vulnerabilità e dei rischi è presente a volte in alcuni advisory, in funzione della competenza del centro che li produce. In Europa ad esempio, nonostante ci siano le competenze per coprire la maggior parte dei componenti di rete ed i sistemi, non c'è una conoscenza centralizzata su dove queste competenze siano disponibili. Non c'è neppure una conoscenza centralizzata su dove trovare informazioni utilizzabili dei diversi settori di competenza, o un processo per sviluppare meccanismi di condivisione utilizzanto una "rete di competenze" europea.

Obbiettivi di EISPP
L'obbiettivo principale di EISPP è di creare un'infrastruttura europea allo scopo di fornire alle PMI i necessari servizi di sicurezza, per permettere una maggiore fiducia nell'e-business, necessario per lo sviluppo delle loro attività. Questo obbiettivo può essere raggiunto mediante una serie di obbiettivi secondari:
Realizzare una "rete di competenze" fra i CERT europei che permetta di condividere il materiale di prevenzione, da aprire poi ad altri CERT e organizzazioni coinvolte nell'attività di prevenzione;
fornire alle PMI servizi usabili, personalizzati ed efficienti. Come detto, un semplice "advisory" fa poco per migliorare la sicurezza di un'organizzazione. Spesso si cerca un insieme completo di servizi, come monitoraggio delle vulnerabilità+valutazione dell'impatto dei patch sulle piattaforme operative, fino all'amministrazione remota; questi servizi sono raramente offerti o accessibili alle PMI; un obiettivo del progetto è definire un modello complessivo di come i servizi aggiuntivi agli advisory possono essere offerti, compreso un modello di finanziamento che permetta di rendere conveniente l'offerta di questi servizi;
Infine, i risultati del progetto saranno diffusi alla Comunità Europea, alle PMI, ma anche a tutti gli interessati nel campo della sicurezza informatica.

Organizzazione
Struttura generale del progetto

Il progetto è composto da sei lotti (workpackage):

• Lotto 1 : Gestione
• Lotto 2 : Diffusione e piano di sfruttamento
• Lotto 3 : Infrastruttura di condivisione degli advisory
• Lotto 4 : Diffusione degli advisory alle PMI
• Lotto 5 : Utilizzo e integrazione dei prodotti di sicurezza
• Lotto 6 : Misurazione e valutazione dei risultati

Dal punto di vista dell'utente, i più interessanti sono i lotti 3, 4 e 5.

Lotto 3 : Infrastruttura di condivisione degli advisory
L'obbiettivo di questo lotto è di realizzare una infrastruttura condivisa fra i Centri di Competenza patecipanti (CERTs) allo scopo di rendere diponibile all'industria (SME e grandi aziende) un deposito di materiale preventivo, e di sfruttare questo sforzo per realizzare a livello europeo una rete di competenze in materia. L'infrastruttura comprenderà dei database di vulnerabilità e affronterà l'interdipendenza fra diverse vulnerabilità.

Lotto 4 : Diffusione degli advisory alle PMI
Il primo obbiettivo di questo lotto è la definizione e sperimentazione di modalità di diffusione di advisory destinati alle PMI. Il secondo obbiettivo riguarda una particolare tecnica necessaria per raggiungere il primo obbiettivo, ovvero l'uso di una PKI in un ambiente "aperto" (anzichè all'interno di un'azienda) dovendo gestire un numero elevato di utenti. Il terzo obbiettivo riguarda le modalità per rendere disponibili alle PMI queste risorse preventive, e deve portare allo sviluppo di un modello di finanziamento adatto alla fornitura di questi servizi alle PMI.

Lotto 5 : Utilizzo e integrazione dei prodotti di sicurezza
La manutenzione di prodotti di sicurezza pone dei problemi specifici alle PMI. Tipicamente, le PMI hanno personale tecnico limitato e mantenere i prodotti di sicurezza aggiornati con gli ultimi patch e file di signature può essere particolarmente problematico. Spesso le PMI richiedono ai fornitori di servizio di distribuire informazioni di "best practice" sui prodotti impiegati permettendo al personale tecnico di concentrarsi sul core business dell'azienda. Data la varietà di esigenze e soluzioni fra le diverse PMI, verrà posto uno sforzo particolar nell'estrapolare dai progetti pilota dei modelli che siano utilizzabili nel maggior numero possibile di PMI europee.

Le raccomandazioni del lotto 4 saranno testati "real life" per avere un feedback diretto dalle PMI. Gli obbiettivi del lotto sono:

• integrare la distribuzione di advisory di sicurezza con l'utilizzo da parte delle PMI di prodotti di sicurezza. Ad esempio, insieme all'advisory, la PMI può ricevere informazioni su come configurare il proprio firewall/IDS/antivirus per gestire la vulnerabilità; questa informazione sarebbe adattata agli specifici strumenti di sicurezza utilizzati dalla PMI;
• verificare l'adeguatezza e completezza dell'informazione fornita; gli esperimenti saranno condotti su un numero limitato di PMI di ognuno dei paesi partecipanti
• automatizzare la distribuzione degli advisory attraverso l'integrazione di strumenti automatici di vulnerability scanning fino ad includere la distribuzione a applicazione automatica dei patch di sicurezza.

Coinvolgimento degli utenti

Gli utenti possono essere coinvolti in due modi:

• Come utenti finali: tipicamente PMI, ricevono gli advisory e utilizzano i servizi, direttamente forniti dall'infrastruttura condivisa dei CERT o attraverso un intermediario;

• come intermediari: tipicamente ISP. ASP o Camere di Commercio, gli intermediari aggiungono un ulteriore livello fra i CERT e gli utenti finali; possono occuparsi semplicemente della registrazione degli utenti e dell'help desk, in modo da rendere l'infrastruttura maggiormente scalabile, oppure possono personalizzare servizi come quelli sperimentati nel lotto 5.

La figura mostra come possono interagire CERT, utenti e intermediari (suggerimento: cliccare sull'immagine per ingrandirla).

Quello che segue è un esempio dei vantaggi degli advisory selettivi che il progetto EISPP vuole realizzare.
Una PMI riceve alerts per tutte le marche di prodotti che utilizza, inclusi: Microsoft, Compaq, Sun Oracle e Checkpoint. Il risultato è un sovraccarico di informazioni, con la PMI che non ha nè il tempo nè le competenze per selezionare gli advisory che realmente riguardano i suoi sistemi. Con advisory selettivi, riceve informazioni solo su Checkpoint FW-1 su piattaforma Nokia, Oracle 8i su piattaforma Solaris, e Microsoft Windows 2000 Professional; EISPP fornisce inoltre puntatori alle signature per gli IDS e agli aggiornamenti per gli Antivirus. Inoltre, EISPP aggiunge commenti di esperti di tutta Europa. Il risultato è informazione di sicurezza che può essere utilizzata in modo efficace.