strategie di cybersicurezza

Il “persistent engagement” nella cyberdifesa Usa: punti di forza, debolezze e sovranità digitale

La strategia cyber nazionale Usa si basa sull’obiettivo di mantenere una superiorità nella dimensione cyber impegnando e contrastando in modo continuo gli avversari per renderli insicuri dell’effetto delle loro azioni in qualunque contesto queste avvengano. Cos’è il persistent engagement e i rischi di questo approccio

Pubblicato il 28 Lug 2022

Fabrizio Baiardi

Professore Ordinario di Informatica, Responsabile gruppo ICT risk assessment and management, Università di Pisa

cyberdifesa usa

Il “persistent engagement” è uno punti della strategia cyber nazionale Usa pubblicata nel 2018. Basato sul principio di “defend forward” e sulla continua generazione di fragilità nel sistema, l’approccio alla cyberdifesa varato dall’amministrazione Obama solleva non pochi dubbi, soprattutto per quanto riguarda la sovranità digitale di uno Stato che volesse adottarla.

Vedremo allora come riconoscere e valutare i rischi associati all’adozione di defend forward nei vari contesti e nelle situazioni possibili: questo è fondamentale non solo per pesarne punti di forza e debolezza ma anche per valutare gli impatti delle scelte di altri stati sulla robustezza e resilienza dei propri sistemi e delle proprie infrastrutture.

Cybersecurity, America is back? La nuova politica Usa, dagli slogan ai fatti

La strategia cyber nazionale Usa

La strategia è basata su quattro punti fondamentali:

  • la difesa e protezione delle infrastrutture nazionali,
  • la creazione di una economia digitale sicura che promuova l’innovazione e la crescita,
  • il mantenimento della pace e della sicurezza con la deterrenza e nel caso la punizione di coloro che usano maliziosamente gli strumenti informatici,
  • l’espansione dell’influenza americana per estendere una rete Internet affidabile e sicura.

Per raggiungere questi obiettivi, sempre nel 2018, US Cyber Command annuncia una strategia basata sul nuovo concetto di persistent engagement. Obiettivo della strategia è di mantenere una superiorità nella dimensione cyber impegnando e contrastando in modo continuo gli avversari in modo da renderli insicuri dell’effetto delle loro azioni in qualunque contesto queste azioni avvengano. Ciò richiede di alternare azioni difensive ed offensive in modo da acquisire e mantenere un vantaggio sugli avversari. In una frase: il cyber command può operare sempre ed in ogni luogo per contrastare gli avversari. L’uso continuo di azioni offensive costituiva una innovazione significative rispetto alla strategia degli anni della presidenza Obama. La strategia Obama puntava alla creazione di un ecosistema cyber sicuro grazie ai regolamenti, nazionali ed internazionali, la cooperazione, la dissuasione e la deterrenza. L’approccio ottimistico dell’amministrazione Obama era indubbiamente influenzato, tra gli altri, da una lettura della primavera araba come un insieme di eventi facilitato dagli strumenti informatici e dalle reti sociali, una lettura poi contestata da molti.[1]

I dubbi sulla strategia Cyber e l’adozione del persistent engagement

La visione ottimistica della presidenza Obama è stata messa in dubbio soprattutto per quanto riguarda l’efficacia della deterrenza nel cyber spazio[2]. L’efficacia è ridotta sia a causa delle forti interconnessioni e dipendenze tra i vari attori che dalla difficoltà di attribuzione degli attacchi. La critica ha portato alla nuova strategia del persistent engagement, che ha come uno dei suoi punti fondamentali il concetto di defend forward basato sul principio di contrastare gli avversari in modo proattivo ovvero anche al di fuori delle reti che il Cyber Command dovrebbe proteggere. Il concetto è, forse volutamente, molto vago e copre azioni che vanno dalla raccolta di informazioni sulle reti degli avversari ad attacchi a reti degli avversari che degradino le capacità di attaccare le reti che il Cyber Command deve difendere. Ciò che è chiaro è il legame tra defend forward e persistent engagement ovvero qualunque sia l’interpretazione data a defend forward, le azioni conseguenti vanno eseguite in modo continuo e proattivo, senza attendere che l’avversario attacchi. Ciò genera un attrito che dovrebbe portare l’avversario a preoccuparsi della propria difesa più che dell’offesa. Questo attrito continuo ma al di sotto della soglia della cyber war è necessario per mantenere la superiorità sull’avversario.

The U.S. Cyber Strategy of Persistent Engagement

The U.S. Cyber Strategy of Persistent Engagement

Guarda questo video su YouTube

I rischi del defend forward

La visione del defend forward soddisfa tutti quelli che legano la sicurezza informatica agli hacker etici ed alle competizioni CTF ed ha indubbiamente avuto significativi successi nella recente cyber war. Essa però solleva alcune obiezioni dovute ai rischi che essa genera al di fuori di una situazione di conflitto esistente se non dichiarato e discussi nel seguito.

La difficoltà di controllare gli effetti di un attacco informatico

Il primo rischio insito nella defend forward è quello della difficoltà di controllare gli effetti di un attacco informatico. Il tempo a disposizione di chi applica defend forward è limitato perché le azioni di defend forward devono avvenire prima dell’attacco dell’avversario. Ciò limita il tempo a disposizione del difensore forward che deve necessariamente operare prima dell’avversario ma non molto prima per impedire all’avversario di riorganizzarsi.

La riduzione del tempo a disposizione aumenta la probabilità di un errore che porti alla produzione ed all’uso di uno strumento informatico non corretto per il defend forward[3]. Un possibile esempio è un errore in uno strumento wiper, da utilizzare nell’attacco che provochi la perdita del controllo sul wiper con impatti a priori imprevedibili. Ricordiamo che una possibile interpretazione di NotPetya era quello di un worm distruttivo attivato prematuramente quando era ancora incompleto, e per questo mancavano controlli per limitarne la diffusione. I tempi a disposizione di chi utilizza defend forward possono ulteriormente ridursi se anche gli avversari la utilizzano. Inoltre, il timore che i propri sistemi e le proprie infrastrutture saranno danneggiate dal defend forward prima di completare attacco può portare l’avversario ad utilizzare tecniche automatiche in grado di operare anche quando le infrastrutture d’attacco sono state danneggiate. Ad esempio, l’avversario può utilizzare malware che si diffonde in modo automatico nelle reti senza richiedere una forma di controllo remoto da parte di chi lo ha lanciato. Un’altra possibilità è quella di utilizzare malware che entri in azione ad una data prefissata senza necessità di un trigger esterno. Complessivamente, queste soluzioni aumentano i possibili impatti di un attacco, un effetto sicuramente indesiderato dai teorici di defend forward.

Gli strumenti e le metodologie di attacco

Un secondo rischio è legato agli strumenti ed alle metodologie di attacco. Gli strumenti di attacco sono generalmente fragili. Ad esempio, la maggior parte degli exploit funziona in modo stocastico e per ragioni spesso non chiare anche a chi li ha sviluppati. Questo spiega la “pigrizia” degli attaccanti che preferiscono utilizzare codice ben testato e validato anche se sfrutta vulnerabilità molto vecchie. Inoltre, gli exploit sono fragili anche perché basta l’applicazione di una patch o di un controllo compensativo per renderli inefficaci. Ad esempio, di recente una azienda cinese ha rilevato la presenza di un cavallo di Troia nei propri sistemi. In seguito a questa singola scoperta più di 300 altre aziende cinesi hanno rilevato e rimosso lo stesso cavallo di Troia. L’attacco che ha installato il malware è stato attribuito all’NSA, che ora deve rimediare velocemente a questa rimozione. Un secondo punto di vista sullo stesso rischio è legato alla capacità di prevedere quando l’attacco avverrà. Come già detto questa previsione è importante perché la probabilità che l’avversario non riesca ad eseguire il proprio attacco aumento al diminuire dell’intervallo tra la defence forward e l’attacco da evitare. Infatti, riducendo l’intervallo si riduce anche il tempo che l’avversario ha per riorganizzarsi. Questo però implica la capacità di prevedere quando l’avversario lancerà l’attacco. Se questa previsione è facile quando è in atto una cyber war, si pensi all’attuale invasione russa dell’Ucraina, la previsione diventa sempre più complessa e meno affidabile in tempo di pace. Ogni errore di previsione può rendere le azioni di defend forward inefficaci.

La generazione di fragilità nell’ecosistema informatico

Un ulteriore rischio, quello a mio avviso più grave e meno gestibile è che la defend forward forza necessariamente la generazione di fragilità nell’ecosistema informatico e quindi è in contrasto con il desiderio di un ecosistema cyber robusto ed affidabile. Infatti, la defend forward è tanto più efficaci quanto più numerose sono le vulnerabilità nei sistemi dell’avversario e quanto meno note sono queste vulnerabilità. Questo incoraggia un mercato nero di vulnerabilità ed exploit zero day che è tanto più preoccupante perché, in generale, non ci sono i sistemi ed i componenti degli attaccanti e quelli dei difensori forward ma un insieme comune di componenti condivisi. Quindi, la necessità di poter attaccare sistemi su cui defend forward si basa richiede necessariamente la presenza di vulnerabilità non rimediate anche nei nostri sistemi e nelle nostre infrastrutture critiche. Ciò provoca una evidente fragilità nei sistemi e nelle infrastrutture e crea una asimmetria pesante tra chi conosce le vulnerabilità che sono state scoperte e non rimediate e chi non le conosce.

Il punto fondamentale è che le fragilità nei vari sistemi possono essere sfruttate anche da altri attaccanti. Questo è quello che è avvenuto in passato quando strumenti offensivi utilizzati da NSA sono diventati pubblici, cosa che ha provocato una corsa all’applicazione di patch ma che non è riuscita a difendere tutti i sistemi. La situazione si complica ulteriormente se consideriamo che una delle lezioni degli scontri cyber legati all’invasione russa dell’Ucraina è il coinvolgimento delle industrie private non solo nella produzione degli strumenti informatici utilizzati negli scontri ma anche come attori negli scontri stessi[4]. Se tale coinvolgimento riguardasse anche la defend forward avremmo una situazione in cui le aziende sviluppano strumenti che sfruttano vulnerabilità che esse non possono rimediare. Uno scenario contraddittorio e per questo molto problematico e pericoloso.

I danni provocati dagli avversari che non ti aspetti

Ammesso il legame tra defend forward e la necessità di vulnerabilità, gli avversari che possono sfruttare queste vulnerabilità non sono solo quelli strategici o state sponsored di cui US Cyber Command si preoccupa ma questi avversari possono comunque generare impatti considerevoli. Un possibile avversario non strategico è il singolo gruppo criminale che opera nell’ecosistema ransomware. Le dimensioni di questo attore possono essere tali da farlo trascurare dal Cyber Command, anche perché prevedere se e quando un singolo gruppo criminale attaccherà non è banale e quindi è difficile applicare defend forward a questo avversario. Tuttavia, l’impatto complessivo in un certo arco di tempo di un numero anche piccolo di gruppi criminali può essere estremamente significativo, ed avere ripercussioni significative nell’ecosistema cyber. Ovviamente, note le vulnerabilità che un gruppo criminale sfrutta nei suoi attacchi ransomware si potrà intervenire, ma questo intervento non è certo proattivo ma reattivo e generato soprattutto dal fatto che le vulnerabilità sono ormai note e quindi poco utilizzabili in defend forward. È chiaro però che l’adozione di defend forward porta a preferire una difesa reattiva e non proattiva con tutto quanto questo comporta. La situazione potrebbe ulteriormente peggiorare nel momento in cui gli stati bersaglio del defend forward offrissero supporto ai gruppi criminali legati al ransomware sia per quanto riguarda i loro attacchi sia per il riciclaggio del denaro e la difesa legale. Un tale atteggiamento potrebbe essere giustificato legalmente proprio come una reazione all’attrito continuo del defend forward.

La generazione di fragilità e la sovranità digitale

La generazione di fragilità nei sistemi e nelle infrastrutture pone un primo problema per quanto riguarda la sovranità digitale di uno stato che decida di adottare il defend forward perché questa scelta implica che la conoscenza delle vulnerabilità dei componenti diventi un elemento fondante della sovranità vista la necessita di garantirsi un accesso privilegiato a codici sorgenti ed altre informazioni. Una nazione che adottasse defend forward senza tale accesso si condannerebbe ad una sovranità digitale parziale e subordinata.

Un ultimo punto ancora legato alla sovranità digitale è quello del coordinamento internazionale. Se la situazione del defend forward è chiara in un mondo manicheo con solo cattivi e buoni, le cose si complicano se introduciamo altri attori. Supponiamo ad esempio che lo stato A pianifichi una azione di defend forward, eg un attacco, contro l’infrastruttura di attacco di uno stato B. Contemporaneamente però uno stato C, magari alleato di A, preferirebbe monitorare l’infrastruttura di attacco di B per ottenere informazioni utili. Occorre capire come si scopre e si gestisce questo conflitto. La cosa si complica ancora quando l’infrastruttura di attacco è ospitata, almeno in parte, in uno stato diverso dai precedenti. Questo stato deve essere informato? Ha diritto di veto sull’operazione? I legali proprietari dei sistemi che formano l’infrastruttura di attacco devono essere informati e/o fornire un consenso all’attacco? Classificare questi problemi come accademici è facile in una situazione di guerra come quella che stiamo vivendo dove i fronti e le alleanze sono chiare. Ad esempio, non ci sono state molte proteste quando di recente FBI ha smantellato una infrastruttura di attacco russa informando i legali proprietari solo a cose fatte. Il tutto si complicherebbe in un diverso contesto dove l’urgenza di certe azioni di defend forward può essere valutata solo con acceso ad informazioni che magari uno stato non intende rivelare e dove comunque altri stati o organizzazioni governative potrebbero non condividere l’urgenza dell’attacco.

Bibliografia

Alyza Sebenius, Cyber Command’s Annual Legal Conference, https://www.lawfareblog.com/cyber-commands-annual-legal-conference

Jacquelyn G. Schneider ,Persistent Engagement: Foundation, Evolution and Evaluation of a Strategy, https://www.lawfareblog.com/persistent-engagement-foundation-evolution-and-evaluation-strategy

ACUS, 2022. #ACcyber – ISSUE BRIEF – Victory reimagined: – Toward a more cohesive US cyber, Atlantic Council of the United States. https://policycommons.net/artifacts/2476036/accyber-issue-brief-victory-reimagined/3498093/

  1. Morozov, Evgeny. The net delusion: How not to liberate the world. Penguin UK, 2011.
  2. Michael P. Fischerkeller, Richard J. Harknett, Deterrence is Not a Credible Strategy for Cyberspace, Orbis,Volume 61, Issue 3, 2017,
  3. Lennart Maschmeyer; The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations. International Security 2021; 46 (2): 51–90.
  4. Attacchi cyber, ecco le prime lezioni da trarre dalla guerra in Ucraina https://www.agendadigitale.eu/sicurezza/guerra-in-ucraina-le-prime-lezioni-da-trarre-sul-fronte-cyber/

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

    03 Apr 2024

    di Alfredo Esposito

    Condividi

  • Riconoscimento facciale

    Panetta, "Sorveglianza di massa con l'AI Act? Ecco le garanzie"

    29 Gen 2024

    di Rocco Panetta

    Condividi

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

AI e tutela del diritto d'autore: perché le sanzioni alle big tech non bastano

Articolo 1 di 4