cybersicurezza

Tiber-Eu: cos’è e come difende le infrastrutture finanziarie dagli attacchi cyber



Indirizzo copiato

Con l’aumento degli attacchi cyber, le sole misure di sicurezza non bastano più. Le organizzazioni devono adottare processi di monitoraggio e test avanzati, come il Framework Tiber-Eu, per migliorare la resilienza cyber. Tiber-Eu, sviluppato dalla BCE, guida test simulati per rilevare vulnerabilità e rafforzare la sicurezza delle istituzioni finanziarie

Pubblicato il 9 ago 2024

Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT



cybersicurezza security

Con l’aumentare della frequenza e della gravità degli attacchi cyber, risulta evidente che la sola implementazione di misure di sicurezza, anche se scelte in linea con le migliori pratiche e i migliori standard di settore, da sole non sono più sufficienti a proteggere le organizzazioni da minacce che sono sempre più sofisticate e consistenti.

Per tale ragione, è fondamentale che tutte le organizzazioni si dotino di processi di monitoraggio della propria postura di cybersecurity con la principale finalità di testare e aggiornare le misure di sicurezza messe in atto per riuscire a contrastare le nuove minacce cyber che compaiono.

Monitoraggio efficace della postura cyber: il framework Tiber-Eu

Come ormai noto a tutti, un monitoraggio efficace si può realizzare attraverso la conduzione di attacchi simulati attraverso una combinazione di vulnerability assessment, penetration testing e Red Teaming per poter identificare e risolvere le vulnerabilità presenti nelle linee di difesa implementate da un’organizzazione.

In tale ambito si colloca il Framework Tiber-Eu (Threat Intelligence-Based Ethical Red Teaming) che è stato predisposto dalla Banca Centrale Europea (BCE) e approvato nel maggio 2018.

Gli obiettivi del framework

Il Framework fornisce una guida completa su come le Autorità, le organizzazioni finanziarie, i fornitori di threat intelligence e di red-team dovrebbero collaborare per testare e migliorare la resilienza cyber delle organizzazioni finanziarie effettuando attacchi informatici congiunti e controllati.

I test Tiber-Eu

I test Tiber-Eu imitano le tattiche, le tecniche e le procedure degli hacker reali e sono personalizzati sulla base di informazioni ricavate da attività di threat intelligence. Sono inoltre tarati per simulare un attacco reale alle funzioni critiche di un’organizzazione e ai suoi sistemi sottostanti, cioè persone, processi e tecnologie. Il risultato non è un pass o fail del test, ma l’obiettivo di tali test è quello di rilevare i punti di forza e di debolezza dell’organizzazione testata, consentendole di raggiungere elevare il livello della propria postura cyber.

Il framework è corredato di tutte una serie di linee guida che regolamentano i vari aspetti del test quali, ad esempio, il processo di selezione dei fornitori di servizi di threat intelligence e read teaming, la creazione di un white team e le modalità operative con cui lavora, le modalità di collaborazione tra red team e blue team e così via.

Inoltre sono stati definiti una serie di template che devono essere usati nelle fasi del processo al fine di armonizzare e standardizzare l’approccio e, nel contempo, avere risultati confrontabili dei test svolti nei vari Stati Membri che hanno adottato il framework.

L’adozione del framework Tiber-Eu

Come detto prima, il framework TIBER-EU è stato sviluppato dalla BCE in cooperazione con le banche centrali dei Paesi europei e si è basato su iniziative analoghe realizzate in Gran Bretagna e Olanda.

Ad oggi il framework TIBER-EU è stato adottato in Austria, Belgio, Danimarca, Finlandia, Francia, Germania, Islanda, Irlanda, Italia, Lussemburgo, Olanda, Norvegia, Portogallo, Romania, Spagna e Svezia, ma si aspetta che altri Stati Europei a breve vi aderiscano.

L’applicazione del Framework è volontaria, ma come vedremo più avanti, alcune iniziative europee in tale ambito (vedi il Regolamento DORA) si stanno ispirando a tale framework rendendo alcuni dei requisiti del framework obbligatori.

Qui di seguito vengono delineati, ad alto livello, le principali caratteristiche del framework quali gli attori coinvolti e le fasi del processo.

I principali attori del framework Tiber-Eu

L’esecuzione di un test in accordo al framework TIBER-EU richiede il coinvolgimento di una serie di soggetti diversi con ruoli e responsabilità chiaramente definiti dal framework stesso.

Questi devono essere ben informati sui rispettivi ruoli e responsabilità, deve essere stabilito un protocollo chiaro per il flusso di informazioni tra tutti i soggetti interessati durante tutta la durata del test e le informazioni scambiate devono essere archiviate e condivise tra le parti interessate.

I principali attori identificati dal framework sono:

  • Tiber Cyber Team (TCT) e il Team Test Manager (TTM);
  • White Team (WT) e White Team Lead (WTL);
  • Blue Team (BT);
  • Threat Intelligence (TI) provider;
  • Red Team (RT) provider.

Tiber Cyber Team (TCT)

Il Tiber Cyber Team comprende le Autorità nazionali che hanno deciso di aderire al framework (in Italia sono Banca d’Italia, Consob e IVASS) e sono responsabili della realizzazione/mantenimento della guida nazionale per l’implementazione del framework TIBER-EU e rappresentano il riferimento per tutti i White Team Lead per eventuali richieste di supporto a livello di supervisione. Infatti, per ogni test TIBER-EU, deve essere presente un Team Test Manager (TTM) del Tiber Cyber Team (TCM) che abbia esperienza nel settore di riferimento, nonché competenze informatiche e di gestione del progetto.

Il principale ruolo del TTM è quello di assicurarsi che l’organizzazione intraprenda il test in modo uniforme e controllato e in conformità con il quadro TIBER-EU.

White Team (WT)

Il White Team ed il relativo responsabile (White Team Lead) è un gruppo di lavoro interno all’organizzazione che desidera utilizzare il framework ed ha la responsabilità di coordinare i test interagendo internamente ed esternamente; rappresenta infatti l’interfaccia verso il Threat Intelligence provider ed il Red Team provider. Il White Team è l’unico team interno all’organizzazione a conoscenza dell’attività di verifica. Le informazioni circa i test non devono circolare all’interno dell’organizzazione in quanto falserebbero l’esito dei controlli.

Elemento fondamentale per la riuscita del test è una stretta collaborazione tra il leader del White Team e il Team Test Manager in tutte le fasi del test. Questi devono concordare l’ambito e gli scenari e assicurarsi che il test sia eseguito secondo i piani e che sia conforme agli standard di test TIBER-EU e a tutti i requisiti pertinenti. Tale aspetto è fondamentale per il mutuo riconoscimento dei risultati dei test tra i vari Stati che hanno adottato il framework.

Blue Team (BT)

Il Blue Team (BT) è composto da tutto il personale (non membro nel White Team) dell’organizzazione sottoposta a test, comprese le terze parti e, in particolare, le persone che gestiscono i sistemi dell’organizzazione sottoposta a test, nonché il personale responsabile della difesa degli stessi. È fondamentale che il Blue Team non sia a conoscenza del test durante il suo svolgimento e sia completamente escluso dalla preparazione e dall’esecuzione del test TIBER-EU.

Solo durante la fase di chiusura il Blue Team sarà informato del test e i suoi principali rappresentanti partecipano alle attività di replay e follow-up. Durante la fase di chiusura il Blue Team è responsabile della stesura del Blue Team Report, una relazione tecnica che riguarda, per ogni scenario di minaccia testato, le azioni di difesa eseguite dal Blue Team durante le attività del Read Teaming.

Threat Intelligence (TI) provider

Il Threat Intelligence Provider è un fornitore esterno i cui servizi sono stati acquisiti dal White Team secondo gli standard e i requisiti minimi stabiliti dal framework TIBER-EU. Il Threat Intelligence Provider raccoglie informazioni mirate sull’organizzazione, emulando la ricerca che sarebbe eseguita da un hacker esperto e fornisce queste informazioni all’organizzazione all’interno di report denominato Targeted Threat Intelligence Report. Il Threat Intelligence Provider dovrebbe utilizzare molteplici fonti di intelligence per fornire una valutazione quanto più accurata e aggiornata possibile.

Il Threat Intelligence Provider lavora in stretta collaborazione con il Read Team Provider, contribuendo a sviluppare gli scenari di attacco per il red team test, nonché eventuali nuovi requisiti derivanti dall’analisi di intelligence che si manifestano durante l’esecuzione del red team test. Il Threat Intelligence Provider fornisce un contributo alla relazione finale rilasciata all’organizzazione.

Red Team (RT) provider

Il Red Team Provider è un fornitore esterno, i cui servizi sono stati acquisiti dal White Team secondo gli standard e i requisiti minimi stabiliti dal framework TIBER-EU.

Il suo obiettivo è quello di tentare di violare i presidi di sicurezza dell’organizzazione, seguendo una metodologia di red teaming rigorosa ed etica, sempre entro i confini del framework TIBER‑EU. Le regole di ingaggio e i requisiti specifici per il test sono stabiliti dal Read Team Provider e dall’entità finanziaria.

Il Read Team Provider elabora il Red Team Test Plan ed esegue il test TIBER-EU dei sistemi e dei servizi target, concordati nella fase di scoping del test. Dopo il completamento della fase di testing, il Red Team Provider effettua una analisi del test e delle problematiche rilevate e redige un Red Team Test Report.

Il Red Team Provider lavora a stretto contatto con il Threat Intelligence Provider durante tutte le fasi del test al fine di aggiornare le informazioni derivanti dalla threat intelligence e gli scenari di attacco previsti con le informazioni più pertinenti e recenti. Infine, il Red Team Provider è collaboracon il Threat Intelligence Provider anche per sviluppare e consegnare all’organizzazione il Red Team Test Report.

Il processo di esecuzione del test

l processo generale di un test TIBER-EU è composto da tre fasi principali:

  • preparazione;
  • testing;
  • chiusura.

Fase di preparazione

La fase di preparazione inizia con una riunione preliminare (pre-launch meeting), a cui segue l’acquisizione dei servizi esterni e l’identificazione del perimetro del test (scoping), e una riunione di avvio del test (launch meeting).

Per avviare la fase di preparazione, l’organizzazione che intende sottoporsi al test comunica formalmente al Tiber Cyber Team la disponibilità ad effettuare un test TIBER-EU.

Il Team Test Manager individuato come referente del test inizia a collaborare con l’organizzazione partecipante. In tale fase, viene stabilito il perimetro di applicazione del test e l’organizzazione acquisisce i servizi di Threat Intelligence e Read Team. Questa fase di preparazione dura da quattro a sei settimane circa, esclusa la durata della procedura di acquisizione dei citati servizi.

All’inizio della fase di preparazione, il Tiber Cyber Team richiede la costituzione di un White Team e la nomina del White Team Lead da parte dell’organizzazione. Il White Team è composto da un piccolo numero di personale esperto e/o nella posizione di prendere decisioni basate sul rischio per tutta la durata del test. Una volta costituito il White Team, l’entità informa il Tiber Cyber Team della sua composizione. Il White Team Lead assicura che il White Team sia a conoscenza del test TIBER-EU, dei requisiti di confidenzialità e del processo che il team dovrebbe seguire in caso avvengano determinati eventi (ad es. nel caso in cui il Blue Team rilevi l’attacco simulato e attui la procedura di escalation interna relativa ad incidente di sicurezza).

Fase di testing

La fase di testing inizia con l’analisi delle minacce e la loro contestualizzazione per il singolo test (targeted threat intelligence) seguita dalla pianificazione ed esecuzione delle attività di red teaming da parte dei fornitori di servizi, rispettivamente il Threat Intelligence Provider ed il Red Team Provider.

La fase di test (testing) inizia una volta che il perimetro di applicazione è stato concordato, i Threat Intelligence e Red Team Providers sono stati selezionati e tutte le parti interessate sono state informate circa i loro ruoli e responsabilità.

Il testing prevede la raccolta di informazioni di Threat Intelligence relative all’entità testata, grazie alle quali vengono sviluppati scenari di minaccia dettagliati dal Threat Intelligence Provider. Il Red Team Provider si baserà su questi e svilupperà scenari di attacco per creare il Red Team Test Plan prima dell’esecuzione del test.

Gli scenari che simulano attacchi cyber realistici devono essere basati sui risultati del Targeted Threat Intelligence Report (rapporto preparato dal Threat Intelligence Provider) e sulle indicazioni del Generic Threat Landscape Report (rapporto preparato dal Tiber Cyber Team per il settore finanziario nazionale di riferimento).

Mentre il Generic Threat Landscape Report identifica le minacce principali relative al settore finanziario, esso può essere utilizzato come prezioso contributo per sviluppare il Targeted Threat Intelligence Report (rapporto preparato dal Threat Intelligence Provider) il quale fornisce una visione dettagliata sulla superficie di attacco dell’organizzazione e sui suoi presìdi di difesa in essere. Inoltre, il Targeted Threat Intelligence Report supporta lo sviluppo di scenari di attacco attuabili e realistici, attraverso l’emulazione delle tattiche, tecniche e procedure utilizzate dal reali attori della minaccia e portando alla realizzazione di una simulazione realistica.

La fase di test prosegue con il passaggio di consegne tra i Threat Intelligence e Red Team Providers e a questa attività fa seguito lo sviluppo del Red Team Test Plan con gli scenari di attacco identificati e l’esecuzione del test.

Fase di chiusura

Dopo il completamento del red teaming test, la fase di chiusura inizia con la produzione del Red Team Report e del Blue Team report, seguita da un replay workshop, dalla riunione di feedback (360-degree feedback meeting), lo sviluppo del report di riepilogo dei test (Test Summary Report), la produzione del Remediation Plan e dell’attestazione dell’esecuzione del test. Tutti i risultati sono condivisi con le Autorità competenti.

Al fine di favorire nell’UE l’armonizzazione e la standardizzazione dell’approccio ai test di sicurezza avanzati guidati dalla minaccia (threat intelligence based ethical red-teaming), la documentazione prodotta dall’organizzazione testata durante l’esecuzione di un test TIBER-EU è prioritariamente basata sui template definiti dal framework, fermo restando che, ove ritenuto necessario, può essere personalizzata dalle Autorità per tener conto delle specificità nazionali.

Gestione dei rischi durante un test Tiber-Eu

I test TIBER-EU sono condotti sui sistemi che sostengono le funzioni critiche di un’organizzazione in ambiente di produzione, tenendo conto della superficie di attacco reale e delle effettive debolezze dell’organizzazione. Pertanto, l’esecuzione del test comporta potenziali rischi. Di conseguenza, devono essere applicati adeguati controlli per garantire che l’esecuzione del test non infici la corretta operatività dell’organizzazione e dei suoi clienti.

Nell’ambito della gestione del rischio del test, il White Team può interrompere il test in qualsiasi momento, se ritiene che la sua continuazione comporti un rischio inaccettabile per l’organizzazione. Il White Team assicura un’appropriata gestione del rischio e che adeguati controlli siano comunicati e compresi da tutte le parti interessate, tenendo conto del quadro di controlli interni e della governance dell’organizzazione.

Le funzioni e i sistemi informativi oggetto dei test TIBER-EU contengono informazioni protette ai sensi di diverse previsioni di legge e quindi, per tutta la durata del test, dovranno essere assicurati il pieno rispetto della normativa e l’integrità, la disponibilità e la riservatezza delle suddette informazioni attraverso il ricorso ad adeguati strumenti di gestione del rischio.

L’organizzazione deve pertanto effettuare una analisi del rischio prima del test per garantire che adeguati processi, procedure e controlli siano adottati in linea con l’esistente quadro di gestione del rischio dell’organizzazione. Il White team elaborerà un piano di gestione del rischio per il test, secondo le pratiche in essere presso organizzazione, al fine di identificare, analizzare e mitigare i rischi.

Al fine di assicurare la riservatezza del test, il White Team deve limitare la conoscenza del piano di gestione del rischio a un ristretto gruppo fidato all’interno dell’organizzazione, i cui membri hanno appropriati livelli di autonomia per prendere decisioni relative al test, secondo un approccio basato sul rischio.

Il framework Tiber-IT

Nel 2020 il TIBER-EU è stato formalmente recepito nella giurisdizione italiana dalle Autorità (Banca d’Italia, Consob e IVASS) tramite l’implementazione del TIBER-IT. La BCE e i membri del Tiber Knowledge Centre (TKC), composto da tutte le autorità dei Paesi che hanno recepito il TIBER-EU, sono stati ufficialmente informati del recepimento e sono costantemente aggiornati.

In questo contesto la Banca d’Italia, coerentemente con il suo mandato di assicurare stabilità monetaria e finanziaria, riveste ai fini della Guida nazionale il ruolo di Autorità capofila del TIBER‑IT (la cosiddetta TIBER-IT Lead Authority) e ne cura i compiti in stretta collaborazione con Consob e IVASS.

Le Autorità promuovono la partecipazione volontaria delle entità finanziarie ai test TIBER-IT, indirizzano la relativa programmazione annuale e pluriennale consultando le entità finanziarie che hanno espresso la loro disponibilità a sottoporsi ai test. I dettagli delle attività dei test TIBER-IT sono pianificati su base annuale.

Il Tiber Cyber Team di TIBER-IT, con il supporto delle altre parti interessate, inoltre fornisce e mantiene aggiornato il report Generic Threat Landscape (GTL) che mira a supportare le entità finanziarie durante la fase di threat intelligence del processo di test TIBER‑IT.

Il TIBER-IT è adottato con un approccio graduale, ed è in priorità rivolto alle entità finanziarie “critiche” per il sistema finanziario italiano con l’obiettivo di migliorare la loro resilienza cyber e di contenere gli impatti sistemici che un incidente cyber può causare al settore finanziario italiano nel suo complesso.

Nello specifico, il gruppo di riferimento (target group) delle entità finanziarie comprende i seguenti soggetti operanti in Italia:

  • infrastrutture del mercato finanziario;
  • sistemi di pagamento e infrastrutture di supporto tecnologico o di rete;
  • sedi di negoziazione;
  • banche;
  • istituti di pagamento e di moneta elettronica;
  • gli intermediari finanziari ex art. 106 TUB;
  • imprese di assicurazione;
  • intermediari assicurativi.

Tuttavia, la definizione del gruppo di riferimento a cui si rivolge principalmente il TIBER‑IT non preclude il ricorso ad un approccio flessibile per valutare eventuali test TIBER-IT su un tipo di organizzazione non già incluso nell’elenco o con diverse caratteristiche, tenendo conto ad esempio delle sue interconnessioni con altre entità finanziarie e della sua maturità cyber.

Verso l’obbligatorietà dei test Tiber-Eu

Come si può evincere da quanto esposto in precedenza, i test TIBER-EU sono più complessi e articolati dei normali PenTest. Infatti il programma TIBER-EU è stato istituito dalla BCE e dalla UE per fornire una valutazione completa della postura di cybersecurity delle istituzioni finanziarie europee e si affianca a tutte le direttive emesse in tale ambito (vedi ad esempio la PSD2, la NIS2, il CSA, il CRA, il DORA,…) che invece forniscono i requisiti di sicurezza che le organizzazioni finanziare devono implementare obbligatoriamente per i servizi che offrono.

Come detto in precedenza il framework TIBER-EU e tutti i suoi recepimenti negli Stati Membri che ad oggi hanno aderito è su base volontaria, ma la tendenza sarà di rendere questi test sempre più obbligatorio.

Caso emblematico è il Regolamento europeo DORA (Digital Operational Resilience Act) che prevede una sezione relativa alla gestione dei test di resilienza digitale che di fatto include già delle logiche TIBER-EU.

Infatti prevede che le organizzazioni finanziarie definiscano dei programmi onnicomprensivi di test di resilienza operativa digitale che devono essere svolti annualmente su tutti i sistemi critici e i cui risultati devono essere inclusi nella loro analisi del rischio.

Inoltre, le Autorità di Vigilanza (EBA, ESMA e EIOPA) possono richiedere alle organizzazioni finanziarie in perimetro dei Test di Penetrazione guidati dalla Minaccia (TLPT) secondo modalità proporzionate alle dimensioni, all’attività e al profilo di rischio complessivo dell’entità finanziaria. A titolo esemplificativo, vengono valutati elementi quali la criticità dei servizi forniti e delle attività svolte dall’entità finanziaria, aspetti di stabilità finanziaria (es. carattere sistemico dell’entità a livello nazionale o di Unione), specifico profilo di rischio ICT, livello di maturità dell’ICT dell’organizzazione e così via.

A seguito dell’esecuzione di tali verifiche, le organizzazioni inviano alle Autorità di Vigilanza la documentazione attestante lo svolgimento dei test le quali, in caso positivo, convalidano la documentazione ricevuta e rilasciano un attestato.

A breve sarà emesso dalle Autorità di Vigilanza europee un Regulatory Technical Standard (RTS), al momento in consultazione, sui criteri, metodologie e requisiti che devono essere soddisfatti dai test di resilienza digitale, con particolare focus sui Threat Led Penetration Test.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3