Che cos'è un PSIRT (Product Security Incident Response Team)?

Il PSIRT (Product Security Incident Response Team) è un gruppo all'interno di un'organizzazione che gestisce e risponde agli incidenti di sicurezza relativi ai propri prodotti o servizi. Lo scopo principale di un PSIRT è identificare, valutare, dare priorità e rispondere alle vulnerabilità o alle minacce che possono influire sulla sicurezza delle soluzioni dell'organizzazione.

Il CSIRT (Computer Security Incident Response Team) è un gruppo che da tempo opera nei reparti di sicurezza delle informazioni. Il CSIRT, un team di esperti provenienti da diverse aree di un'organizzazione, risolve vari problemi di sicurezza come le violazioni dei dati. Negli ultimi anni, i produttori di soluzioni tecnologiche hanno sviluppato una propria versione interna del CSIRT, noto come PSIRT (Product Security Incident Response Team), che mitiga le vulnerabilità presenti nei prodotti delle aziende. I PSIRT sono nati perché le aziende tecnologiche riconoscono come i loro prodotti spesso svolgono un ruolo nei problemi di sicurezza dei loro clienti e cercano di evitare tali incidenti o di minimizzare il loro impatto.

Un PSIRT è, in genere, un gruppo di dipendenti, a volte affiancati da collaboratori e consulenti, che si concentrano sull'identificazione, sulla valutazione e sulla mitigazione delle vulnerabilità di sicurezza presenti nei prodotti delle aziende. Ad esempio, il PSIRT di un produttore di software per server potrebbe scoprire che il suo firmware contiene codice che gli hacker possono sfruttare per assumere il controllo dei server. Per mitigare questa vulnerabilità, il PSIRT analizza la vulnerabilità, trova una sostituzione sicura del codice in questione e la fornisce ai team addetti alla progettazione.

In termini organizzativi, il PSIRT si trova di solito all'interno dell'organizzazione che si occupa di progettazione sicura nelle aziende. Questo approccio aiuta a garantire che le funzioni del PSIRT contribuiscano all'SDL (Secure Development Lifecycle) delle aziende. Il PSIRT può anche prendere parte alla raccolta dei requisiti e alla modellazione dei rischi con l'obiettivo di migliorare la sicurezza dei prodotti.

I responsabili aziendali e i product manager considerano i PSIRT importanti per una serie di motivi. Un PSIRT efficace aiuta perlomeno a garantire una maggiore qualità dei prodotti e un minor numero di aggiornamenti per l'applicazione delle patch alla sicurezza. Questi risultati non solo mantengono bassi i costi, ma aiutano anche a rafforzare l'immagine del brand in termini di sicurezza dei suoi prodotti.

Un problema più significativo è la crescente consapevolezza che i singoli prodotti tecnologici possono essere le principali fonti di esposizione ai rischi per i clienti. Il produttore di un dispositivo IoT, ad esempio, probabilmente non vorrebbe che il suo dispositivo fosse la causa della violazione dei dati di un cliente. Un incidente di questo tipo può risultare imbarazzante e costoso da gestire, specialmente se il produttore del dispositivo è impreparato e costretto a trovare una soluzione dopo che si è verificata la violazione. Se il produttore del dispositivo dispone di un PSIRT, potrebbe evitare completamente il rischio o almeno tenersi pronto a reagire al problema in modo immediato ed efficace.

Un PSIRT è un team, quindi i suoi componenti più importanti sono le persone. I membri di un team PSIRT devono disporre di conoscenze e competenze in diversi aspetti della cybersecurity, , come la sicurezza delle applicazioni, la sicurezza open source e così via. In una grande azienda, il PSIRT potrebbe essere un team dedicato a tempo pieno, mentre in un'organizzazione più piccola, il PSIRT potrebbe comprendere un piccolo team di dipendenti a tempo pieno, che si allarga per includere persone che lavorano in altre parti dell'organizzazione, ma che sono disponibili ad assistere nella risposta agli incidenti o nell'analisi delle vulnerabilità in base alle necessità.

Il responsabile del PSIRT è una persona molto importante per il successo del suo team. Oltre a essere un ottimo manager, deve, infatti, essere competente nella creazione di policy, processi e procedure tali da consentire al PSIRT di svolgere il proprio lavoro, deve essere un buon comunicatore e deve essere abile a gestire le complicate dinamiche organizzative che riguardano la sicurezza dei prodotti.

Inoltre, il team PSIRT deve avere contatti con altri reparti, come l'ufficio legale e il reparto di conformità. I produttori di sistemi avionici, ad esempio, sono soggetti alle normative dell'FAA relative alla divulgazione delle vulnerabilità nei loro prodotti. Il PSIRT svolge un ruolo fondamentale in questo settore della conformità. Il PSIRT è anche in contatto con il gruppo addetto alle comunicazioni dell'azienda, ad esempio, con il team delle pubbliche relazioni per quanto riguarda la divulgazione pubblica dei problemi di sicurezza o le dichiarazioni sugli incidenti di sicurezza presso i clienti.

Un PSIRT ben gestito si basa sulle policy e sulle procedure stabilite. Come un CSIRT, un PSIRT tenta sempre di riprodurre le vulnerabilità in un ambiente sicuro, quindi, in base alla gravità percepita delle vulnerabilità e alle stime del loro impatto sui prodotti, il PSIRT può scegliere di informare i dirigenti. Se i dirigenti decidono di divulgare le vulnerabilità, il PSIRT collabora con le parti interessate per annunciarle.

Il team, quindi, stabilisce un modo per mitigare le vulnerabilità e avvia il processo di mitigazione, creando un piano di mitigazione in collaborazione con i team addetti alla gestione dei prodotti, che sono responsabili dell'immissione dei prodotti sul mercato.

In alcuni casi, l'azienda può essere informata su una vulnerabilità da una terza parte. In tal caso, il PSIRT deve valutare la vulnerabilità e fornire consigli su come rispondere. Ad esempio, se un dispositivo utilizza una determinata versione del sistema operativo Linux e un team di ricerca dei bug trova un exploit in quella versione di Linux, il PSIRT deve elaborare un piano per gestire l'exploit e comunicarlo ai clienti.

Anche se i CSIRT e i PSIRT hanno strutture e processi operativi simili, i rispettivi obiettivi sono completamente diversi. Il compito del CSIRT è aiutare a mantenere l'azienda sicura, difendendo le reti, le applicazioni e i dati di cui dispone dai criminali. Il PSIRT, al contrario, si basa sulla sicurezza dei prodotti dell'azienda.

Le best practice per la creazione di un PSIRT efficace stanno emergendo in tutte le aziende tecnologiche. Alcune di esse riguardano il personale e la struttura organizzativa, ad esempio, evitare di assumere il PSIRT come team autonomo, ma piuttosto creare il team distribuendo i suoi membri in diversi gruppi, come i team addetti al controllo qualità (QA), alle operazioni di sicurezza e allo sviluppo dei programmi software.

Un PSIRT ha bisogno di un budget e di strumenti adeguati per svolgere il proprio lavoro. Non è una buona idea supporre che il PSIRT sia in grado di gestire qualsiasi tecnologia utilizzata dagli altri team. Ad esempio, un PSIRT ha bisogno delle risorse IT necessarie per creare ambienti di test isolati. In molti casi, il PSIRT dovrà procurarsi attrezzature specializzate.

Istruire le parti interessate è una best practice anche per il PSIRT. Non tutti i dipendenti e i manager dispongono di una conoscenza intuitiva sulla sicurezza dei prodotti. I risultati migliori derivano dalla conoscenza e dall'acquisizione da parte di persone competenti della missione del PSIRT. I workshop di formazione sono il naturale risultato di un'altra best practice: La documentazione delle policy e dei processi del PSIRT.

Altre best practice pertinenti includono:

• Segnalare ai gruppi‌ esterni: ‌collaborate con entità esterne che monitorano le vulnerabilità che interessano il prodotto in questione, quindi potreste avere a che fare con persone che vogliono trovare i problemi nascosti in un prodotto. La situazione potrebbe non essere molto divertente, ma è un ottimo modo per individuare i difetti che influiscono sulla sicurezza.
• Automatizzare la condivisione delle informazioni‌: sensibilizzate automaticamente gli altri gruppi dell'azienda sulle vulnerabilità non appena vengono individuate. Queste parti interessate possono condividere idee sulla mitigazione e altre informazioni utili.
• Prestare attenzione alle fonti pubbliche di vulnerabilità e dati sulle minacce: ‌effettuate la sottoscrizione aIl'ISAC (Information Sharing and Analysis Center) e agli archivi come GitHub.

Quando viene identificata una vulnerabilità, la responsabilità principale di un PSIRT è lavorare sulla mitigazione immediata e garantire all'organizzazione di rispondere in modo efficace alla minaccia. Questo processo prevede un'analisi dettagliata della vulnerabilità, determinandone l'impatto sui prodotti dell'azienda e avviando le operazioni di mitigazione.

Il processo di mitigazione è guidato da standard di sicurezza consolidati come l'ISO/IEC 30111, che delinea le best practice per la gestione delle vulnerabilità di sicurezza in prodotti e servizi. Questi standard internazionali garantiscono alle organizzazioni di mantenere un approccio coerente ed efficiente alla gestione delle vulnerabilità, garantendo che i problemi di sicurezza vengano risolti prima che possano essere sfruttati dai criminali informatici.

Un PSIRT lavorerà anche a stretto contatto con altri team interni, come lo sviluppo e il controllo qualità, per garantire che patch o correzioni vengano sviluppate e testate rapidamente. Nei casi in cui una vulnerabilità non può essere completamente risolta nell'immediato, vengono implementate alcune strategie di mitigazione temporanee, come modifiche alla configurazione o aggiornamenti delle impostazioni di sicurezza, ‌per ridurre il rischio di sfruttamento.

Una volta completata la mitigazione, i PSIRT, di solito, pubblicano i relativi rapporti o avvisi di vulnerabilità pubblici per informare clienti e partner sul problema di sicurezza riscontrato, fornendo chiare istruzioni su come applicare aggiornamenti o patch di sicurezza. Il team può anche coordinarsi con organismi esterni come i CERT (Computer Emergency Response Team) per condividere informazioni sulla vulnerabilità e garantire che venga affrontata in modo completo in tutto il settore.

Un componente chiave dell'efficacia di qualsiasi PSIRT è la capacità di collaborare in modo efficace con la comunità della sicurezza, inclusi ricercatori sulla sicurezza  ed esperti di terze parti che rilevano e segnalano le vulnerabilità. Questa collaborazione spesso implica l'uso di standard CVE (Common Vulnerability and Exposure), che forniscono un identificatore universale per le vulnerabilità e aiutano a semplificare la comunicazione tra ricercatori, organizzazioni e clienti.

I ricercatori sulla sicurezza svolgono un ruolo essenziale nell'identificazione dei difetti di sicurezza che potrebbero non essere evidenti durante il ciclo di sviluppo dei prodotti. Questi difetti, se non vengono rilevati, possono essere sfruttati da hacker o criminali informatici per scopi dannosi. Inviando i rapporti sulle vulnerabilità ai PSIRT, i ricercatori forniscono la prima linea di difesa per prevenire lo sfruttamento delle falle nella sicurezza di prodotti e servizi.

Per facilitare questi rapporti, i PSIRT utilizzano canali sicuri, come le chiavi PGP, per garantire la riservatezza delle informazioni scambiate. I rapporti inviati vengono quindi valutati e analizzati dal PSIRT, utilizzando strumenti come il CVSS (Common Vulnerability Scoring System) per dare priorità alle attività di mitigazione in base alla gravità delle vulnerabilità identificate. Promuovendo una relazione aperta e sicura con la più ampia comunità della sicurezza, i PSIRT possono migliorare la loro capacità di rispondere alle potenziali minacce e ai problemi di sicurezza, come i malware, in modo efficiente.