NIDS-IX: Anomaly Detection per un Internet Exchange = NIDS-IX: Anomaly Detection for Internet Exchange Points

Il lavoro di tesi consiste nello studio, nella progettazione e nell'implementazione di un Network Intrusion Detection System. Il sistema è destinato alle reti terminali di soggetti operanti a livello geografico e tra loro interconnessi mediante un'infrastruttura fisica e distribuita, l'Internet Exchange, in cui il sistema opera. Finalità del sistema è la possibilità di attivare un perimetro di sicurezza a protezione dell'Internet Exchange e dei soggetti interconnessi, garantendo la continuità dei servizi anche in caso di eventi potenzialmente dannosi. Peculiarità del sistema è rappresentata dai soggetti coinvolti: non si tratta infatti dei tipici interlocutori di un Internet Exchange, ovvero gli operatori di rete, bensì di enti e società erogatrici di servizi a livello territoriale (trasporto pubblico, servizio idrico, distribuzione di elettricità e gas ecc.). Alcuni di questi soggetti rientrano nell'ambito della Direttiva UE 2016/1148, in quanto fornitori di servizi essenziali per il mantenimento di attività sociali e/o economiche fondamentali, la cui fornitura dipende dalla rete e dai sistemi informativi. Molti dei soggetti a cui il sistema è destinato, infatti, provengono dal mondo dell'Operational Technology, ossia quell'insieme di hardware e software in grado di controllare dispositivi fisici, processi ed eventi all'interno di un'impresa produttiva. I recenti sviluppi nella convergenza tra l'Information Technology e l'Operational Technology consentono il miglioramento e l'efficientamento dei processi aziendali, abilitando il modello di business dell'Industria 4.0 e della smart factory. Tuttavia la convergenza tra i due mondi apre il secondo ai rischi legati alla cybersecurity propri del primo, per cui occorrono competenze, risorse e sistemi adeguati per prevenire, rilevare e rispondere alle minacce: il sistema su cui si è lavorato in questa tesi si pone come una prima soluzione a queste problematiche. Il lavoro è avvalorato dal ruolo che l'Internet Exchange assume a livello normativo, essendo anch'esso annoverato dalla summenzionata direttiva tra gli operatori di servizi essenziali: tale qualifica comporta la necessità di ottemperare a obblighi di sicurezza e notifica al fine di salvaguardare l'erogazione del servizio. Il sistema, infatti, è stato commissionato e sviluppato presso il Consorzio TOP-IX, fornitore del servizio di Internet Exchange per il Nord-Ovest d'Italia e quindi topologicamente centrale nella rete di soggetti afferenti su cui il sistema opera. L'architettura del sistema si basa sul monitoraggio distribuito, ossia l'uso di un meccanismo di tipo client-server con cui l'acquisizione dei dati avviene direttamente sulla rete locale terminale mentre la loro interpretazione per il rilevamento di eventuali anomalie è eseguita in remoto, nell'infrastruttura dell'Internet Exchange: il processo decisionale è predisposto per l'analisi di insieme dei dati provenienti da più reti terminali, consentendo l'individuazione di anomalie generalizzate e solo apparentemente slegate. L'eventuale reazione automatica è adeguatamente modellata sulle esigenze dei soggetti coinvolti nella rilevazione delle anomalie. Nell'implementazione del sistema si è data priorità a strumenti già in uso presso il Consorzio TOP-IX, così da favorire un'alta curva di apprendimento e una veloce messa in produzione. La componente decisionale inoltre sfrutta strumenti open-source, così da lasciare spazio a futuri miglioramenti e ottimizzazioni.