Design and prototype validation of a decision support system for cybersecurity incident mitigation

Negli ultimi decenni il volume di cyber attacchi che colpiscono organizzazioni e imprese è cresciuto in modo esponenziale. Gli attacchi informatici divengono sempre più sofisticati a causa dell'introduzione di nuove tecniche e tattiche e il numero di vulnerabilità (che se sfruttate favoriscono l'attacco) cresce proporzionalmente all'introduzione di nuovi dispositivi elettronici e IoT. Nella gestione della sicurezza di sistemi informatici, inoltre, non bisogna considerare solo l'impatto causato dall'attacco, ma anche i costi e le conseguenze legate alle azioni di difesa contro lo stesso attacco. La valutazione e la gestione dei rischi all'interno di un'organizzazione si basa sull'utilizzo di un Intrusion Detection System (IDS) in grado di rilevare le minacce o le anomalie all'interno del sistema. L’IDS viene poi completato da un Intrusion Response System (IRS), in grado di proporre la risposta migliore per mitigare l'attacco rilevato. Ma cosa si intende per risposta migliore? Date tutte le possibili azioni di risposta ad un attacco (che si possono definire anche strategie d'azione), normalmente si tende a considerare come risposta migliore quella che mitiga al meglio l'attacco, permettendo il ripristino completo del sistema compromesso. Implementare questo tipo di risposta, però, potrebbe generare anche delle conseguenze negative: la sua implementazione potrebbe richiedere troppo tempo o l'utilizzo di troppe risorse, potrebbe compromettere i servizi offerti dall'organizzazione (interferendo con il funzionamento normale di alcune componenti o bloccando il loro utilizzo per un periodo di tempo), il costo in denaro potrebbe essere eccessivo, spesso più alto del costo provocato dall'attacco. In generale, per poter bilanciare l'impatto dell'attacco e quello della contromisura scelta per mitigarlo, si preferisce scegliere una contromisura in grado di mantenere il sistema al di sotto di un certo livello di rischio, piuttosto che scegliere quella che sia in grado di mitigarlo completamente. In questo contesto, un sistema in grado di identificare la strategia d'azione migliore, a seconda delle necessità dell'organizzazione, potrebbe rappresentare la soluzione per individuare il giusto compromesso che permetta di ripristinare il sistema in seguito ad un cyber attacco, tenendo in debita considerazione i requisiti di sicurezza dell'organizzazione, le risorse disponibili che possono essere utilizzate per implementare l'azione di risposta, l'impatto sul sistema della stessa e il livello di importanza dell'asset compromesso. Questa tesi propone un decision support system per un sistema automatizzato di risposta alle intrusioni: quando viene rilevato un cyber attacco, il sistema individua tutte le strategie d'azione possibili in grado di mitigare l'attacco, provvedendo, inoltre, a definire un insieme di metriche di sicurezza al fine di determinare il potenziale impatto di ogni strategia (inteso come insieme di effetti negativi provocati dall'azione di risposta sul sistema, costi di implementazione o di sviluppo, tempo necessario, etc.), inferendo così la strategia d'azione migliore. Tutto questo sarà realizzato attraverso un'architettura che integra cyber threat intelligence (in particolare il modello utilizzato per descrivere i cyber attacchi prenderà a riferimento il framework ATT&CK proposto da Mitre), il Linguaggio dell'Ontologia Web (OWL) e un semantic reasoner basato su regole definite attraverso l'utilizzo del linguaggio SWRL (Semantic Web Rule Language).