Le informazioni sulle vulnerabilità informatiche rilevate sono in genere riepilogate nei cosiddetti Security Advisory. Di solito questi documenti contengono informazioni sul tipo e sulla criticità delle vulnerabilità individuate, indicano quali sono i prodotti e le versioni interessate e spiegano come rimuovere le falle.

In Svizzera, tali informazioni sono raccolte ad esempio dal Centro nazionale per la cibersicurezza (NCSC) e inoltrate dopo un’opportuna verifica alle sedi interessate. In Germania, l’Autorità per la sicurezza nell’ambito della tecnologia dell’informazione (BSI) ha tra i propri compiti quello di raccogliere, visionare e diffondere i Security Advisory.

Tuttavia il moltiplicarsi dei Security Advisory ha cominciato a mettere in seria difficoltà i gestori, i produttori e le autorità. I Security Advisory provenienti da diverse fonti sono infatti molto eterogenei in termini di formato dei file, struttura, qualità delle informazioni e formattazione, rendendo impossibile o molto difficile una elaborazione automatizzata da parte delle organizzazioni che devono valutarli. Queste informazioni sono però indispensabili per stimare il rischio e stabilire la priorità tra gli update necessari.

Nel quadro della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC 2018 – 2022) il CYD Campus collabora con la BSI allo sviluppo e alla diffusione del Common Security Advisory Framework (CSAF). Lo standard CSAF definisce un formato leggibile dai computer per i Security Advisory e stabilisce anche dove e come queste informazioni devono essere pubblicate. In questo modo, sarà possibile accedere automaticamente ai Security Advisory e aggiornare la propria banca dati. Lo CSAF sarà fondamentale per le imprese, che potranno così avere sempre la situazione sotto controllo e proteggere i loro sistemi. Anche la BSI consiglia lo standard CSAF nel proprio rapporto di situazione 2021. Da parte sua, il Centro nazionale per la cibersicurezza (NCSC) ipotizza nel rapporto semestrale 2021/1 che lo CSAF diventerà uno strumento utile per la creazione e l’elaborazione automatizzata degli avvisi di sicurezza.

Il CYD Campus in collaborazione con l’autorità tedesca BSI sta lavorando proprio per dimostrare la fattibilità dello CSAF. Nel corso dell’anno sono stati prodotti due Proof-of-Concept (POC) che saranno ulteriormente sviluppati in tool open source veri e propri.

Secvisogram

Un primo tool open source, Secvisogram, assiste nella creazione di documenti CSAF con un’interfaccia intuitiva che permette di creare facilmente un Advisory. L’Advisory così creato viene trasferito internamente nel formato richiesto dal sistema. Al fine di limitare per quanto possibile gli accessi a documenti CSAF sensibili, Secvisogram è stato progettato in modo da poter essere utilizzato in forma isolata sul browser dell’utente e funziona senza l’invio di informazioni a un server. Con questo formato è possibile creare successivamente un Security Advisory leggibile anche dall'utente.

CSAF-Backend

Un secondo tool open source è un POC per la gestione dei documenti CSAF. Secvisogram può soltanto creare o modificare i singoli file CSAF. Lo sforzo richiesto sarebbe tuttavia eccessivo per i produttori che devono pubblicare centinaia di Security Advisory ogni anno. CSAF-Backend mette quindi a disposizione delle funzionalità ottimali per la gestione e il workflow. Sulla base delle conoscenze acquisite durante lo sviluppo del POC da parte del CYD Campus, la BSI ha pubblicato un bando per la trasformazione di CSAF-Backend in un tool utilizzabile in ambito produttivo.

Questi tool open source serviranno a gestori, produttori e autorità di tutti i paesi per scambiare le informazioni con maggiore efficienza e quindi, migliorare la cibersicurezza.