Procedura di Gestione Incidenti

https://www.cert.garr.it

Procedura Approvata dal CTS GARR il 17/6/2020
sostituisce Procedura gestione incidenti 23-01-2007

Di seguito indichiamo la procedura di GARR-CERT per la gestione degli incidenti di sicurezza che coinvolgono la rete italiana dell’istruzione e della ricerca GARR

scarica la procedura in PDF

Gestione degli Incidenti di Sicurezza sulla rete GARR

Premesse

Riferimenti per gli incidenti di sicurezza
Ogni entità collegata alla rete GARR deve nominare il proprio responsabile tecnico locale, l'APM (Access Port Manager). L’APM gestisce il collegamento con la rete GARR ed è la persona di riferimento tecnico presso il GARR per la sua istituzione anche per quanto riguarda la gestione degli incidenti di sicurezza. La definizione di APM è disponibile sul sito istituzionale GARR.

Comunicazioni
Le comunicazioni emesse dal GARR-CERT verso i soggetti coinvolti si svolgono principalmente tramite posta elettronica, con firma PGP.

Protezione da attacchi esterni distribuiti
Da ottobre 2019, la rete GARR è dotata di un sistema automatico per la mitigazione di alcune tipologie di attacchi esterni, distribuiti e mirati a creare disservizi (DDoS - Distributed Denial of Service), basato su tecnologia Corero|Juniper (www.corero.com). Quando alcuni indicatori superano i valori di soglia, gli apparati di rete reagiscono ed eliminano selettivamente il traffico corrispondente a questo tipo di attacchi applicando dei filtri temporanei, permettendo così ai singoli nodi di mantenere normale funzionalità della rete. La procedura avviene in maniera automatica, senza nessun intervento da parte degli utenti. L'individuazione degli indicatori da utilizzare e i rispettivi valori di soglia sono configurati dal GARR-NOC.

Filtraggio
La gestione incidenti prevede, in alcuni casi particolari, il filtraggio di uno o più indirizzi di rete sulle interfacce dei router gestiti da GARR. Ci preme sottolineare che l’applicazione di tali filtri è sempre da intendersi a protezione e salvaguardia della funzionalità della rete e dei servizi di connettività a disposizione degli utenti della rete GARR. Nel caso più evidente in cui gli IP GARR sono i bersagli diretti o indiretti di eventuali attacchi esterni, spesso sono gli stessi utenti (APM) a chiedere l’intervento del filtraggio al CERT/NOC per recuperare l’accesso ai loro dispositivi di frontiera e possibilmente intervenire sulle loro configurazioni per mitigare anche localmente il problema.
Nel caso in cui gli IP GARR siano sorgenti di traffico palesemente illecito e non vi sia alcuna risposta da parte dell’APM nei tempi previsti, gli IP coinvolti vengono filtrati da GARR (con i criteri descritti nella procedura di gestione degli incidenti di sicurezza), allo scopo di tutelare i propri utenti e prevenire da eventuali conseguenze legali. Dopo tre mesi dall’avvenuto filtraggio, in assenza di risposta da parte dell’APM, si procederà ad informare l'APA e il Delegato GARR dell'Ente di competenza (escalation).

 

Flusso della Procedura di Gestione Incidenti

 

Procedura di gestione incidenti adottata da GARR-CERT

  1. Al verificarsi di un problema di sicurezza che veda coinvolto un soggetto appartenente alla rete GARR, GARR-CERT valuta l'apertura di un incidente di sicurezza e ne decide la priorità, le procedure di risoluzione e le modalità di comunicazione con i soggetti coinvolti.
  2. GARR-CERT assegna all'incidente un codice univoco (Ticket ID).
    • Nel caso in cui il soggetto GARR sia vittima dell’evento illecito, segue al punto 3.
    • Nel caso in cui il soggetto GARR sia origine dell'evento illecito, segue al punto 4.
    • Nel caso in cui l’evento illecito provenga da una o più sorgenti e sia destinato contro più utenti GARR, segue al punto 8.
  3. GARR-CERT invia all'APM una comunicazione informativa e ai contatti opportuni per il sistema origine dell’abuso. In casi di particolare gravità ed urgenza, GARR-CERT valuta se richiedere un filtraggio temporaneo al GARR-NOC per mitigare l'attacco, quando non già applicato dal sistema di mitigazione automatica di DoS.
    • Se l’abuso termina e il riferimento per il sistema che lo ha originato non risponde, segue al punto 6.
    • Se il riferimento per il sistema che ha originato l'abuso risponde, segue al punto 7.
    • L’incidente viene chiuso solo al termine dell’abuso.
  4. GARR-CERT chiede all'APM di risolvere l'incidente entro un tempo commisurato alla gravità del caso (in calce alcuni esempi di tempistiche per tipologia di abuso). Quando possibile, fornisce anche indicazioni e suggerimenti utili. Se ritenuto opportuno, GARR-CERT risponde anche a coloro che hanno segnalato l'incidente.
  5. GARR-CERT procede in uno dei seguenti modi, a seconda della gravità del caso:
  6. GARR-CERT non riceve alcuna comunicazione: l’incidente viene chiuso d’ufficio.
  7. GARR-CERT riceve la comunicazione di avvenuta risoluzione del problema e, quando tecnicamente possibile, procede alla verifica delle azioni intraprese prima di chiudere l’incidente ed avvisare tutte le parti coinvolte.
    Nel caso in cui sia stato applicato un filtraggio da parte del NOC, il CERT ne richiede la rimozione e attende conferma prima di chiudere l’incidente.
  8. Esaminato il tipo di attacco tramite gli strumenti di monitoraggio disponibili, CERT e NOC si coordinano per applicare un filtro sul backbone GARR. Viene inviata notifica ai contatti opportuni per la rete o le reti origine dell’abuso, agli utenti coinvolti, singolarmente o alla mailing list degli APM, ed eventualmente viene pubblicata la notizia seguendo i canali di comunicazione di GARR [web, social]. La chiusura dell’incidente e la rimozione dei filtri sul backbone sono subordinate alla verifica del termine dell’attacco.

Tipologia di incidenti trattati attualmente (con indicazione di tempistica d'intervento)
In funzione della tipologia, sono elencati i tempi richiesti per la risoluzione dell’incidente a partire dalla notifica. Nei casi in cui l’APM abbia bisogno di una dilazione dei tempi per risolvere l’incidente è necessario che ne faccia esplicita richiesta al GARR-CERT.

In caso di emergenza

Nel caso si verifichi un incidente, anche fuori dall’orario di attività di NOC e CERT, che impatti significativamente sulla connettività degli utenti, come per esempio un SYNFlood distribuito, i responsabili di NOC e CERT decidono le modalità di:

Anche altri casi che espongano gli utenti a gravi problemi di sicurezza, ad esempio nel caso di data breach in corso che riguardano dati particolari, possono essere trattati a scopo cautelativo come al precedente punto (a).

Riferimenti normativi

L’aggiornamento della Procedura di Gestione Incidenti di Sicurezza del GARR è dovuta, oltre che all’evoluzione dei tipi di minacce sia esterne che interne alla rete e dei/ai sistemi degli utenti, anche all’evoluzione delle norme vigenti in Italia relative ai reati informatici.

Prima delle recenti direttive contenute nelle Misure Minime di Sicurezza per la Pubblica Amministrazione (AgID, 26/4/2016 - https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict) e del recepimento in Italia del Regolamento Europeo per la Protezione dei Dati Personali (D.lgs. 101/2018 - https://www.garanteprivacy.it/web/guest/provvedimenti/provvedimenti-a-carattere-generale), i reati informatici compaiono per la prima volta in Italia con la legge 547 del 1993, che introduce modificazioni e integrazioni del Codice Penale e del Codice di Procedura Penale in tema di criminalità informatica.


Questi sono, ad oggi, i reati informatici puniti dal Codice Penale:

scarica la procedura in PDF

 

Stampa

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy