Panoramica
Information Operations Condition (INFOCON) è un sistema a livello di minaccia negli Stati Uniti simile a quello di DEFCON o FPCON. INFOCON è un sistema di difesa basato principalmente sullo stato dei sistemi informativi ed è un metodo utilizzato dai militari per difendersi da un attacco di rete informatica.
La struttura del sistema
Il livello INFOCON è infine deciso dal Comandante del Comando strategico degli Stati Uniti (CDRUSSTRATCOM). Il sistema si estende su tutti i sistemi informativi del Dipartimento della Difesa sulla rete di routing del protocollo Internet non classificato (NIPRNET) e sulla rete di router del protocollo Internet segreto (SIPRNET).
Una direttiva “Solo per uso ufficiale” del 2006 descrive il sistema INFOCON come:
. . . tra le responsabilità, i processi e le procedure, si applica Non classificati Internet Protocollo di Routing di Rete (NIPRNET) e Secret Internet Protocol Router Network (SIPRNET) sistemi sotto la supervisione del Joint Chiefs of Staff e tutti DoD attività all’interno unificata comandi, servizio militare, e DoD Agenzie, così come il non-DoD NetOps COI (NetOps CONOPS, Comune Concetto di Operazioni per Global Information Grid NetOps). È eseguito da comandanti unificati e di servizio, comandanti di base/pos /camp/station/vessel e direttori di agenzia con autorità sui sistemi informativi e sulle reti (operative e/o di supporto) (di seguito collettivamente denominati “comandanti”).1
La stessa direttiva descrive il sistema come ” un quadro all’interno del quale il comandante USSTRATCOM (CDRUSSTRATCOM), i comandanti regionali, i capi di servizio, i comandanti di base/post/camp/station/vessel o i direttori di agenzia possono aumentare la disponibilità misurabile delle loro reti per soddisfare le priorità operative.”2
Livelli di minaccia INFOCON
Ci sono cinque livelli di INFOCON, che recentemente sono cambiati per correlare più strettamente ai livelli DEFCON. Lo sono:
- INFOCON 5 è caratterizzato da NetOps di routine, normale prontezza dei sistemi informativi e delle reti che possono essere sostenuti indefinitamente. Le reti di informazione sono pienamente operative in una condizione di base nota con politiche standard di garanzia delle informazioni in atto e applicate. Durante INFOCON 5, gli amministratori di sistema e di rete creeranno e manterranno una linea di base istantanea di ciascun server e workstation in una configurazione nota e svilupperanno processi per aggiornare tale linea di base per le modifiche autorizzate.
- INFOCON 4 aumenta la prontezza NetOps, in preparazione per operazioni o esercizi, con un impatto limitato per l’utente finale. Gli amministratori di sistema e di rete stabiliranno un ritmo operativo per convalidare la buona immagine nota di una rete di informazioni rispetto allo stato corrente e identificare le modifiche non autorizzate. Inoltre, i profili utente e gli account vengono esaminati e vengono effettuati controlli per gli account dormienti. Aumentando la frequenza di questo processo di convalida, lo stato di una rete di informazioni viene confermato come inalterato (cioè buono) o determinato a essere compromesso. Questo livello di prontezza può o non può essere caratterizzato da un maggiore controllo dell’intelligence e da misure di sicurezza rafforzate (blocco delle porte, aumento delle scansioni) dei sistemi informativi e delle reti. L’impatto per gli utenti finali è trascurabile.
- INFOCON 3 aumenta ulteriormente la disponibilità di NetOps aumentando la frequenza di convalida della rete di informazioni e la sua configurazione corrispondente. L’impatto per gli utenti finali è minore.
- INFOCON 2 è una condizione di prontezza che richiede un ulteriore aumento della frequenza di convalida della rete di informazioni e della sua configurazione corrispondente. L’impatto sugli amministratori di sistema aumenterà rispetto a INFOCON 3 e richiederà un aumento della pre-pianificazione, della formazione del personale e dell’esercizio e del pre-posizionamento delle utility di ricostruzione del sistema. L’uso di attrezzature” hot spare ” può ridurre notevolmente i tempi di inattività consentendo la ricostruzione in parallelo. L’impatto per gli utenti finali potrebbe essere significativo per brevi periodi, che possono essere mitigati attraverso la formazione e la programmazione.
- INFOCON 1 è la condizione di massima prontezza e affronta le tecniche di intrusione che non possono essere identificate o sconfitte a livelli di prontezza più bassi (ad esempio, kernel root kit). Dovrebbe essere implementato solo in quei casi limitati in cui le misure di INFOCON 2 indicano ripetutamente attività anomale che non possono essere spiegate se non dalla presenza di queste tecniche di intrusione. Fino a quando non sono disponibili metodi di rilevamento più desiderabili, il metodo più efficace per garantire che il sistema non sia stato compromesso in questo modo è ricaricare il software del sistema operativo sui server dell’infrastruttura chiave (ad esempio, controller di dominio, server di Exchange, ecc.) da una linea di base accurata.
La ricostruzione deve essere estesa ad altri server come le risorse lo consentono e i livelli di rilevamento delle intrusioni indicano. Una volta che i confronti al basale non indicano più attività anomale, INFOCON 1 deve essere interrotto. L’impatto sugli amministratori di sistema sarà significativo e richiederà un aumento della pre-pianificazione, della formazione del personale e dell’esercizio e del pre-posizionamento delle utility di ricostruzione del sistema. L’uso di attrezzature” hot spare ” può ridurre notevolmente i tempi di inattività consentendo la ricostruzione in parallelo. L’impatto per gli utenti finali potrebbe essere significativo per brevi periodi, che possono essere mitigati attraverso la formazione e la programmazione.3