La diffusione esponenziale di Internet, unita alla sempre maggiore digitalizzazione dei servizi e interconnessione delle reti a livello mondiale, ha portato ad una crescente complessità delle reti di telecomunicazioni che sono diventate una infrastruttura critica per tutti i Paesi del mondo.
Se da una parte questo sviluppo delle reti ha consentito di offrire servizi sempre più innovativi che hanno migliorato sia la vita quotidiana degli utenti di tali servizi che il mondo del lavoro, dall’altra però ha aperto delle falle nella sicurezza delle reti che prima non erano presenti. Si pensi, ad esempio, ai servizi di pagamento on line che sono oggetto di attacchi da parte di vere e proprie organizzazioni criminali.
I necessari requisiti di sicurezza delle reti mobili
Questo a spinto molte Autorità nazionali ad imporre dei requisiti di sicurezza obbligatori da applicare sulle reti al fine di contrastare le nuove minacce cibernetiche emergenti. A titolo esemplificativo, nel 2010 l’Autorità indiana ha richiesto ai produttori di apparati di rete di adottare misure specifiche di sicurezza, valutando i loro prodotti e sistemi in base allo standard ISO 15408 (Common Criteria) e implementando un sistema di gestione della sicurezza delle informazioni conforme a ISO 27001. Gli apparati dovevano essere valutati da Laboratori indiani opportunamente accreditati.
Tale iniziativa ha messo in allarme i principali vendor di apparati di rete (vedi ad esempio Ericsson e Cisco) perché, se seguita anche da altri Paesi come era prevedibile, avrebbe incrementato in maniera esponenziale i costi di tutto il settore telco che si sarebbero dovuti adeguare a tutti i requisiti di sicurezza obbligatori che i vari Paesi nel mondo avrebbero adottato.
Il problema per tali operatori non era ignorare le problematiche legate alla sicurezza, ma piuttosto avere un comune insieme di requisiti di sicurezza riconosciuti dalle Autorità del maggior numero di Paesi nel mondo.
Per tale ragione, hanno promosso un’iniziativa chiamata 3rd Generation Partnership Project (3GPP) che aveva la finalità di predisporre un framework di sicurezza delle reti che potesse diventare uno standard comune accettato da tutti i Paesi.
Lo standard NESAS
Nel 2019, la Global System for Mobile Communications Association (GSMA), associazione globale che rappresenta gli interessi dei principali operatori di telefonia mobile nel mondo, ha riconosciuto la necessità di un approccio standardizzato verso la sicurezza delle apparecchiature di rete e, in collaborazione con il 3GPP, ha predisposto lo standard denominato Network Equipment Security Assurance Scheme (NESAS).
Lo standard NESAS è rivolto a tutti i principali attori operanti nel mondo delle telecomunicazioni quali le Autorità di regolamentazione e Autorità di sicurezza nazionale, gli Operatori di rete mobile e i vendor di apparati di rete
Lo standard NESAS fornisce un framework di valutazione della sicurezza delle reti che consente di valutare sia i processi di produzione degli apparati che gli apparati stessi.
A differenza degli altri schemi di valutazione della sicurezza, le valutazioni di sicurezza degli apparti di rete sono organizzate in due attività distinte anche se tra esse correlate. In particolare:
- sono valutati da un auditor indipendente nominato e riconosciuto dal GSMA tutti i processi di progettazione, sviluppo, implementazione e manutenzione del prodotto (life cycle);
- sono valutati da un laboratorio accreditato ISO 17025 da un’Autorità nazionale (es. Accredia per l’Italia) e riconosciuto dal GSMA gli apparati di rete sviluppati e mantenuti ocn i processi di cui al punto precedente.
Avere due attività distinte per certificare la sicurezza dei processi di produzione degli apparati di rete e poi la sicurezza degli apparati stessi offre un grande vantaggio, anche se le due attività devono essere tra coordinate tra di loro.
In questo articolo si fornirà una panoramica sulla struttura dello standard NESAS e sui principali concetti introdotti, mentre si rimanda per il dettaglio alla lettura dello standard.
Gli audit NESAS
Come illustrato in figura, i vendor di apparati di rete adottano dei processi sicuri per tutto il ciclo di vita del prodotto (progettazione, sviluppo, implementazione e manutenzione del prodotto) applicando i requisiti di sicurezza richiesti dallo standard ai quali dichiarano conformità.
Revisori indipendenti nominati dal GSMA verificano che tali processi hanno implementato correttamente i requisiti dello standard utilizzando una Metodologia di audit definita dallo standard stesso e, alla fine della verifica, producono un report di audit che viene inviato anche al Laboratorio accreditato che dovrà poi effettuare la validazione di sicurezza dell’apparato.
Va osservato che l’audit NESAS può riguardare:
- diversi prodotti e linee di prodotti;
- diverse versioni e rilasci del prodotto;
- diversi Tool (configuration management, tools, ecc.).
I requisiti di audit NESAS a cui i fornitori dichiarano conformità sono suddivisi in sette aree principali di cui si riporta nel seguito una vista di sintesi.
Generali
[REQ-GEN-01] Version Control System
[REQ-GEN-02] Change Tracking
[REQ-GEN-03] Staff Education
[REQ-GEN-04] Information Classification and Handling
[REQ-GEN-05] Continual Improvement
[REQ-GEN-06] Sourcing of 3rd Party Components
Progettazione, Implementazione, Test, Costruzione, Rilascio
[REQ-DES-01] Security by Design
[REQ-IMP-01] Source Code Review
[REQ-IMP-02]: Source Code Governance
[REQ-BUI-01] Automated Build Process
[REQ-BUI-02] Build Process Management
[REQ-TES-01] Security Testing
[REQ-REL-01] Software Integrity Protection
[REQ-REL-02] Unique Software Release Identifier
[REQ-REL-03] Documentation Accuracy
[REQ-REL-04] Security Documentation
Operatività
[REQ-OPE-01] Security Point of Contact
[REQ-OPE-02] Vulnerability Information Management
[REQ-OPE-03] Vulnerability Remedy Process
[REQ-OPE-04] Vulnerability Remedy Independence
[REQ-OPE-05] Security Fix Communication
Come si può osservare dall’elenco sopra riportato, i requisiti di sicurezza del NESAS coprono tutti i processi inerenti il ciclo di vita di un apparato di rete. Oltre a coprire tutti i processi, tali requisiti sono molto stringenti e sono costantemente aggiornati dal 3GPP e dal GSMA per mantenerli sempre efficaci rispetto alle nuove minacce che possono insorgere sulla rete.
Valutazione di sicurezza di un apparato di rete
Finita la fase di audit, il vendor dell’apparato di rete fornisce i suoi prodotti ad un laboratorio di test di sicurezza riconosciuto da GSMA per procedere alla valutazione della loro sicurezza.
Come detto prima, per poter diventare un laboratorio NESAS, il laboratorio deve essere prima accreditato ISO 17025 CC Testing da un’Autorità nazionale (vedi Accredia per l’Italia, Swedac per la Svezia,…) e poi essere riconosciuto dal GSMA.
Il laboratorio NESAS svolge una valutazione di sicurezza in accordo a delle specifiche descritte nel documento predisposto dal 3GPP denominato Security Assurance Specification (SCAS).
Tali specifiche contengono sia i requisiti di sicurezza che l’apparato deve implementare sia le attività di assurance, ovvero i test, che il valutatore deve eseguire.
Il laboratorio ha a disposizione il verbale dell’audit sui processi del ciclo di vita con cui l’apparato è stato prodotto (pre-requisito necessario per poter procedere alla valutazione del prodotto) e verifica, tra le altre cose, anche l’effettiva implementazione sull’apparato in valutazione dei requisiti di processo verificati dall’auditor.
Al termine della validazione, il laboratorio NESAS produce un rapporto di valutazione.
Nella figura riportata qui di seguito, è contenuta una descrizione di alto livello di tutto il processo di valutazione di un prodotto di rete, inclusivo dell’audit sui processi, ai sensi dello standard NESAS.
I requisiti SCAS
Come detto prima, i laboratori accreditati NESAS eseguono valutazioni di sicurezza degli apparati di rete sulla base dei requisiti di sicurezza e dei casi di test definiti nelle SCAS che sono sviluppate e mantenute dal 3GPP in collaborazione con altre organizzazioni (es. Autorità nazionali, Organismi di standardizzazione (es ETSI, ISO,..) e così via).
Gli SCAS sono organizzati in due macro-aree qui di seguito elencate:
- TR 33.916 “Security Assurance Methodology for 3GPP network products” che definisce la metodologia per la valutazione degli apparati di rete ai sensi NESAS;
- TR 33.117 “Catalogue of General Security Assurance Requirements” che definisce i requisiti generali applicabili a tutti i tipi di apparati. Questi sono requisiti generici che devono essere necessariamente interpretati e contestualizzati.
Esistono poi una serie di SCAS specifici, per determinati tipi di prodotti come, ad esempio, il TS 33.511 ” Next generation Node B (gNodeB) network product class” e il TS 33.513 “User Plane Function (UPF) 5G SCAS”.
Qui di seguito è riportata una sintesi di tutti i requisiti SCAS ad oggi definiti:
- TS 33.116 MME network product class
- TS 33.117 Catalogue of general security assurance requirements
- TS 33.216 Evolved Node B (eNB) network product class
- TS 33.226 IP Multimedia Subsystem (IMS)
- TS 33.250 PGW network product class
- TS 33.326 Network Slice-Specific Authentication and Authorization Function (NSSAAF)
- TS 33.511 Next generation Node B (gNodeB) network product class
- TS 33.512 Access and Mobility management Function (AMF) 5G SCAS
- TS 33.513 User Plane Function (UPF) 5G SCAS
- TS 33.514 Unified Data Management (UDM) 5G SCAS
- TS 33.515 Session Management Function (SMF) 5G SCAS
- TS 33.516 Authentication Server Function (AUSF) 5G SCAS
- TS 33.517 Security Edge Protection Proxy (SEPP) network product class 5G SCAS
- TS 33.518 Network Repository Function (NRF) network product class 5G SCAS
- TS 33.519 Network Exposure Function (NEF) network product class 5G SCAS
- TS 33.521 Network Data Analytics Function (NWDAF) 5G SCAS
- TS 33.522 Service Communication Proxy (SCP) 5G SCAS
Per la valutazione degli apparati di rete, gli SCAS richiedono che siano riportati le Network Product Class Description (NPCD), i Security Problem Definition (SPD), i Security Requirements e i corrispondenti Test Cases rilevanti.
In particolare, i Test Cases definiti negli SCAS devono essere sufficientemente specifici da consentire ai laboratori di test NESAS di valutare in modo accurato, efficiente e coerente se i requisiti sono stati soddisfatti. Questo permette di avere delle valutazioni oggettive e ripetibili.
Inoltre, i test SCAS si basano in gran parte sul concetto di esecuzione di test di sicurezza e meno sull’analisi della documentazione, della progettazione o della revisione del codice.
Ogni requisito di sicurezza SCAS ha un certo numero di test case ed è generalmente strutturato come riportato in figura.
Ci sono ancora dei punti aperti sugli SCAS legati principalmente alle possibili interpretazioni di alcuni requisiti, alla documentazione che il vendor deve fornire per soddisfare i prerequisiti dei casi di test e ad alcune attività che il valutatore deve eseguire per completare alcuni test.
Il GSMA, con il supporto anche di alcune Autorità nazionali quali il BSI – Autorità tedesca, sta intervenendo in tale ambito per risolvere i suddetti punti aperti e sono stati già prodotti documenti che vanno in questa direzione.
L’impianto documentale del NESAS
Da quanto esposto, si può facilmente comprendere come l’impianto documentale predisposto per lo standard NESAS sia alquanto articolato e complesso.
Come si può vedere dalla figura, sono coperti tutti gli ambiti di interesse che vanno dalla procedura di accreditamento dei Laboratori di prova alla metodologia di audit e ai requisiti di sicurezza e assurance (SCAS).
Alcuni documenti sono solo informativi, mentre altri sono normativi, ovvero la loro applicazione è obbligatoria.
Per ogni documento è chiaramente indicato l’owner, ovvero l’organizzazione responsabile per la sua produzione, manutenzione e costante aggiornamento.
Conclusioni
IL GSMA NESAS è uno standard che vede il forte coinvolgimento e impegno dell’industria.
Inoltre, è sviluppato attraverso un processo aperto che implica il coinvolgimento di tutti gli attori interessati e offre un livello di assurance di base.
È uno standard focalizzato sui processi e sul miglioramento continuo che avviene in maniera rapida e attraverso la continua introduzione di nuovi requisiti.
Queste caratteristiche hanno fatto del NESAS lo standard di riferimento nell’ambito della sicurezza delle reti mobili e non stupisce che alcune Autorità nazionali, come la BSI tedesca, abbia avviato uno schema nazionale sulla sicurezza delle reti mobili 5G basato sul NESAS. Tale schema sarà poi sostituito dallo schema di certificazione europeo che l’ENISA sta predisponendo e che sarà disponibile presumibilmente nel 2024 – 2025.
Non è quindi un caso che anche l’ad-hoc group di esperti predisposto da ENISA per lo sviluppo dello schema di certificazione della sicurezza delle reti 5G nell’ambito del Cyber Security Act, abbia deciso di basare lo schema che sta predisponendo sullo standard NESAS.