Cercare l’ago nel pagliaio. Introduzione a Astraea

Da qualche parte nel nostro ufficio, custodito con cura, c’è un grande “libro nero” che contiene tutti i dati aggiornati del Kaspersky Lab usati in atti pubblici: numero di impiegati e uffici, localizzazione degli uffici, volume di affari, ecc.  I dati che utilizziamo di più sono il numero giornaliero di nuovi programmimalware – o più semplicemente, malware. Questo dato è così popolare proprio in virtù della grande velocità con cui cambia. Infatti la sua crescita sorprende anche me: un anno fà i campioni di malware erano 70.000 – attenzione, al giorno! Nel Maggio del 2012 erano 125.000, e oggi addirittura 200.000, ovviamente al giorno! Non vi sto prendendo in giro cari amici: ogni giorno individuiamo, analizziamo e sviluppiamo nuovi sistemi per proteggervi da questo incredibile numero di malware!

Come ci riusciamo?
Grazie al know-how dei nostri esperti ed alla tecnologia sviluppata – sulla quale potrebbe essere stilato un altro grande “libro nero” con le voci di questo blog (si veda il tag tecnologia). Nel pubblicizzare la nostra tecnologia, qualcuno potrebbe chiedersi se non abbiamo paura che i nostri post vengano letti dal cybercrimine. Sebbene siamo un pò preoccupati, ci interessa di più che l’utente sia informato sul come lo proteggiamo, sui moventi dei “cyber furfanti” e sui trucchi che usano nelle loro truffe informatiche.

In ogni caso, oggi aggiungeremo un altro “capitolo” molto importante a questo “libro tecnologico”: la tecnologia Astrea. Questo è un elemento chiave del nostro Kaspersky Security Network– (nell’eventualità vi troviate ad aver bisogno di supporto su Kaspersky Security Network) che analizza automaticamente le notifiche dai computer protetti e contribuisce alla scoperta delle minacce sconosciute fino ad oggi.  Di fatto Astraea offre molti servizi – fondamentali per l’organizzazione della giornata lavorativa dei nostri analisti. Così, continuando in questo blog la tradizione dei post tecnologici, permettetemi di introdurvi l’argomento, passo per passo…

Iniziamo con un dato statistico fornito dalla BBB: più di 60 millioni. Questo è il numero di persone che oggi utilizza KSN (Kaspersky Security Network). E quando dico “utilizza”, intendo uno scambio costante di informazioni sul cloud rispetto ai files, le pagine web, gli eventi di sistema, le rilevazioni sospette e pericolose, che vengono identificati con il nome di “Ambiente epidemiologico di Internet”.

Analizzare l’intensità del flusso del Kaspersky Security Network in forma naturale è, come potete ben immaginare, praticamente impossibile. E’ come cercare un ago in un pagliaio. Tuttavia, allo stesso tempo, questo ago (molto importante) è lì dentro (o fuori?), da qualche parte. Vale dunque la pena cercarlo e la buona riuscita della ricerca è una questione di eccellenza in campo di software engineering.

Ne deriva che, processando il flusso nel modo appropriato, è possibile prendere due piccioni con una fava (in questo caso tre): (i) individuare malware velocemente, con efficacia e con il minimo sforzo; (ii) costruire una solida base statistica per mantenere il dito puntato sul malware e stare al passo con le tendenze nel campo dello sviluppo di nuovi virus; (iii) creare un sistema di sviluppo esperto che rilasci automaticamente dei rimedi in grado di mantenere i falsi positivi al minimo.

Così, eccolo qui! Ora conoscete i meccanismi di base di Astraea – un sistema per processare grandi volumi di dati attraverso i quali estrarre risultati specifici, come “big data” o l’autosearching (e trovare automaticamente l’ago nel pagliaio).  Ora, per darvi il colpo di grazia, altre cifre: ogni giorno più di 150 milioni di notifiche Kaspersky Security Network passano attraverso Astrea, tra queste vengono valutati 10 milioni di oggetti (file e siti web) !

Come funziona tutto questo?
Nella prima fase, aprendo una pagina del “libro” crowdsourcingAstrea riceve notifiche dai membri di Kaspersky Security Network circa i file e i siti sospetti. Tutti gli eventi sono analizzati automaticamente e classificati dal punto di vista dell’importanza (popolarità e diffusione) e della pericolosità. Il livello di pericolosità è calcolato sull sulla base del cambiamento dinamico del peso. Ciò significa che tra le notifiche e il sistema c’è sempre un feedback. La lista del peso oggi è caratterizzata da centinaia di criteri che sono regolati e rettificati dai nostri analisti, mantenendola sempre aggiornata. La lista è un importante strumento di conoscenza per gli analisti di sicurezza qualificati – un set di regole che ci dà una buona possibilità di individuare i malware.

Durante l’ultima fase, Astrea restituisce i calcoli di rating a Kaspersky Security Network, dove diventano accessibili a tutti gli utenti dei nostri prodotti. In questo modo la catena si chiude. Più il data base statistico è grande, più è probabile l’individuazione e l’eliminazione dei malwares.

Grazie alle statistiche sul comportamento dei malwares sul computer degli utenti, Astraea riconosce le caratteristiche del malware: assenza di firma digitale, presenza dell’autolunch, uso di certi “packer”, ecc. E quando Astraea inizia a ricevere notifiche che segnalano nuovi file malware, abbassa l’indice (o rating) di “garanzia” di questi file, rispetto a tutti i dati immagazzinati. Di conseguenza, quando l’indice dei files raggiunge un “punto critico”, il sistema li segnala come pericolosi, crea la firma necessaria e la trasferisce agli utenti via Kaspersky Security Network. Tutto in maniera automatica!
Allo stesso modo, il sistema realizza una ricerca preventiva di siti malware. Questo rileva fonti simili a quelle che precedentemente si erano rivelate host pericolosi e pagine false (che si spacciavano per vere). Anche in questo caso scattano diversi criteri: per esempio, la corrispondenza tra indirizzo e-mail o nome del proprietario, la data di registrazione della fonte, la presenza di file non affidabili nella host, ecc.

La cosa più importante è che il sistema non calcoli solo l’indice dei siti o dei files, ma li metta anche in correlazione tra loro per ottenere un verdetto più accurato. E’ logico dunque dedurre che un file scaricato da un sito segnalato come distribuitore di malware riceva un rating più basso di un file scaricato da un sito “pulito”. Non ci sarebbe bisogno di dirlo ma Astrea salva una cronologia completa sull’interazione con KSN, il che ci aiuta a reagire immediatamente di fronte alla diffusine di un virus, a localizzare la fonte primaria, nonché tracciare il suo sviluppo – sia nel tempo che nello spazio (in base al paese). Inoltre i dati possono essere usati per: (i) creare specifici report e analizzare le tendenze ad ogni livello di personalizzazione – diverse classifiche e “numeri 1” in base al paese, alla host, ai files, alle famiglie di malware, ecc… (oltre a report incrociati); (ii) prevedere lo sviluppo di attività di cybercrimine nei profili degli attacchi e in diversi ambiti; e (iii) prevedere il tempo di crescita di un determinato malware in base al suo comportamento e il profilo della piattaforma di attacco.

Ma c’è dell’altro!
Astraea è altresì un sistema di individuazione proattivo. Ovvero, può individuare non solo le minacce conosciute, ma anche le minacce in corso di pianificazione – che sono ancora nella mente degli ideatori del virus! Grazie al grande data base che ci informa sul comportamento del malware nel mondo reale, possiamo sviluppare modelli di comportamento e aggiungerli a Kaspersky Security Network. Al momento, il tempo di reazione ad una nuova minaccia è di 40 secondi; ma con un approccio proattivo potrebbe essere uguale a zero

Un altro lato positivo di Astrea: la minimizzazione dei falsi positivi.
Da un lato, il sistema lavora sia come un gigante data base statistico che come modello matematico altamente raffinato ed, insieme, permettono di mantenere al minimo il numero di falsi rilevamenti. Dal 2010, anno in cui Astrea ha rinforzato i suoi attacchi nella battaglia contro i virus, i nostri specialisti non ricordano nessun incidente particolarmente significativo.

Dall’altro lato, è stato aggiunto un meccanismo che controlla il fattore umano. Questo controlla automaticamente ogni volta che un analista cerca di aggiungere una nuova menzione alla black o white list.

Un paio di semplici esempi:
Il file “ABC” è sulla lista dei file puliti (white list) , ma improvvisamente Astraea riceve una notifica in cui si avvisa che i nostri prodotti sono stati infettati da un trojan. Il sistema trova una firma falsa, la identifica come “falso positivo” e inizia il processo di testing e correzione dell’individuazione.

Oppure: un analista di sicurezza, in un folle impeto di passione (o durante i postumi di una sbronza), aggiunge il file “XYZ” alla black list. Tuttavia il file era già sulla white list. Il sistema avverte l’analista che probabilmente ha lavorato (o bevuto) troppo la notte precedente e non gli permette di aggiungere la nuova menzione fino a che il conflitto non si sia risolto.

Di fatto, Astraea è, in linea generale, un sistema in continua espansione – e gli esempi relativi possono essere moltissimi.

Con Astraea quello che facciamo è scavare “in lungo e in largo”. Modernizziamo il modello matematico di analisi dei dati, aggiungiamo nuovi e rivalutati criteri, aggiungiamo nuove tecnologie per aumentare la velocità e la qualità dell’identificazione delle minacce e usiamo sistemi operativi adiacenti per costruire delle correlazioni complesse. In generale, i nostri piani, come sempre, sono ambizioni e difficili da raggiungere, ma non c’è nulla di male in questo. Da quando siamo in vetta alla lotta contro il “patent trollism”, stiamo incessantemente brevettando questi bocconi deliziosi. Oltre a questo, abbiamo minimizzato i “falsi positivi”avvisato della diffusione di virus e individuato con ampio anticipo le minacce sconosciute.

LEGGI I COMMENTI 0
Scrivi un commento
  • RT @a_greenberg: Stories about cyberwar used to start with hypotheticals: What if hackers blacked out cities? Crippled banks and ATMs acros…
    31 minuti fa