CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)
IoC
Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti:
- Essere una Pubblica Amministrazione;
- Accreditarsi presso il CERT-AGID;
- Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID.
Mentre i primi due requisiti resteranno invariati in quanto essere una Pubblica Amministrazione e, di conseguenza, dimostrarlo tramite accreditamento è necessario per ovvie ragioni, il terzo requisito, a partire da oggi, non è più indispensabile poichè il CERT-AGID offrirà anche la possibilità di scaricare gli Indicatori in formato testuale grezzo o come EasyList, direttamente tramite una apposita URL.
Perchè questa scelta?
MISP e CNTI sono strumenti avanzati di Threat Intelligence ma per alcune Amministrazioni può essere sufficiente disporre di un flusso di Indicatori in formato grezzo da utilizzare per innalzare la protezione delle proprie macchine in maniera semplice, magari anche tramite un firewall di rete.
Non si tratta di un cambio di modalità di erogazione del servizio ma di un servizio aggiuntivo in favore delle Pubbliche Amministrazioni.
Il CERT-AGID continuerà comunque ad erogare il servizio di IoC tramite i classici canali offerti via MISP e CNTI alle Pubbliche Amministrazioni accreditate.
Come accedere al flusso di IoC testuali?
È sufficiente seguire le indicazioni riportate nella guida alla procedura di accreditamento.
L’Amministrazione riceverà gli URL da utilizzare nella configurazione del firewall.
Sarà inoltre possibile richiedere la lista di IoC in formato EasyList per l’uso con gli AdBlocker più diffusi. Ovviamente è sempre preferibile l’utilizzo tramite un firewall (di rete o nelle singole macchine).
Sottolineiamo che il flusso di questi Indicatori è mirato a censire principalmente le campagne in azione nello scenario nazionale.