aprile 1, 2016

Il quadro generale

La scorsa primavera (nel 2015) abbiamo scoperto Duqu 2.0, un’operazione di cyberspionaggio professionale e costosa, probabilmente finanziata dallo stato. L’abbiamo identificata quando stavamo testando la versione beta della piattaforma Kaspersky Anti Targeted Attack (KATA), la nostra soluzione che difende dagli attacchi mirati sofisticati come Duqu 2.0.

E ora, un anno dopo, posso finalmente annunciare che… Hurrà!! Abbiamo finalmente lanciato il prodotto e siamo pronti per la battaglia!

Kaspersky Anti-Targeted Attack Platform

Ma permettetemi di tornare un attimo indietro e di raccontarvi come siamo arrivati a questo punto, perché ci interessano le operazioni di cyberspionaggio finanziate dallo stato e perché abbiamo deciso di creare una specifica protezione per combatterlo.

(Per coloro che preferiscono andare direttamente al grano, cliccate qui)

“I buon vecchi tempi”, parole che si pronunciano molto spesso come ad indicare che una volta tutto era migliore. La musica era migliore, la società era più giusta, le strade erano più sicure, le birre avevano un sapore più buono e così via. In certi casi, forse, dovremmo ammettere che le cose erano davvero migliori. Per esempio, in passato, era più facile catturare i cybercriminali.

Naturalmente a quei tempi, io non la pensavo così. Lavoravamo 25 ore al giorno, 8 giorni alla settimana, dando caccia agli scrittori di virus e al loro fenomenale indice di riproduzione. Ogni mese (e qualche volta anche più spesso) c’erano delle epidemie di worm globali e vivevamo nella sensazione che tutto potesse peggiorare ulteriormente, ma ci sbagliavamo di grosso…

All’inizio di questo secolo i virus venivano scritti principalmente da studenti e cyber-hooligan. Non avevano né l’intenzione, né le capacità per creare qualcosa di serio, quindi le epidemie di cui erano responsabili venivano spazzate via in pochi giorni, spesso usando solo metodi proattivi. Spesso non avevano nemmeno la voglia di creare qualcosa di più nefasto; lo facevano per divertimento fino a quando non si sono stancati di Doom e Duke Nukem 🙂

A metà degli anni 2000 abbiamo visto come Internet ha iniziato a generare molti soldi: compaiono nuove tecnologie che si collegano a tutto, dalle centrali energetiche agli MP3. Anche i gruppi cyber-criminali professionisti si sono gettati nella mischia, visto i grandi introiti che Internet può offrire, e dietro di loro i servizi di cyber-intelligence, anch’essi molto interessati alle nuove possibilità che la tecnologia può mettere loro a disposizione. Questi gruppi avevano la voglia, i mezzi e il know how per creare malware davveeeeeero complessi e realizzare attacchi mooooolto sofisticati, e difficili da localizzare.

Più o meno verso questo stesso periodo… “l’antivirus muore”: i tradizionali metodi di protezione non potevano mantenere i comuni livelli di sicurezza. Poi è iniziata una sorta di lotta cibernetica (una versione moderna dell’eterno modello di potere basato sulla violenza). I cyberattacchi sono diventati più selettivi/individualizzati rispetto ai target che venivano scelti, più furtivi e molto più avanzati.

Nel frattempo l’AV basico si è evoluto (in quel momento ben lontano dal potersi considerare un antivirus vero e proprio) in un complesso, sistema multi-componente multi-protezione, dotato di ogni sorta di tecnologie protettive. Nello stesso tempo i sistemi di sicurezza aziendali avanzati hanno iniziato ad includere un arsenale di difesa sempre più formidabile per controllare i perimetri e individuare le intrusioni.

Comunque, quell’approccio, non importa quanto ragguardevole potesse apparire, aveva un piccolo ma critico lato negativo per le grandi aziende: non può far molto per individuare i principali attacchi mirati professionali, quelli che usano malware unici usati appositamente per l’ingegneria sociale e gli zero-day. Malware che non vengono percepiti dalle tecnologie di sicurezza.

Sto parlando di attacchi che vengono attentamente pianificati con molti mesi d’anticipo se non anni, realizzati con budget infiniti e, in alcuni casi, appoggiati dallo stato. Attacchi come questi possono a volte rimanere inosservati per molti anni; per esempio, l’operazione Equation è stata scoperta nel 2014 e affonda le sue radici nel lontano 1996!

Le banche, i governi, le infrastrutture critiche, le industrie, decine di migliaia di grandi imprese appartenenti a diversi campi e con diverse forme di titolarità (basicamente la base dell’ordine e dell’economia mondiale), tutte queste entità risultano essere altamente vulnerabili a questi attacchi professionali. E la richiesta di dati, soldi, proprietà intellettuale è alta e in continuo aumento.

Quindi cosa possiamo fare? Accettare queste minacce contemporanee come parte inevitabile della vita moderna? Arrendersi alla lotta contro gli attacchi mirati?

Assolutamente no.

Tutto quello che può essere attaccato (non importa quanto sofisticato sia) può essere protetto in grande misura se si investe tempo, sforzi e ricerca nella protezione. Non esisterà mai la protezione totale al 100%, ma esistono protezioni massimali, che rendono gli attacchi economicamente poco convenienti da portare avanti: barriere così forti da far arrendere gli aggressori perché devono impiegare troppe risorse per poterle abbattere, quindi desistono e decidono di attaccare vittime meno protette. Naturalmente ci sono eccezioni, specialmente quando ci troviamo di fronte ad attacchi con motivi politici disegnati per colpire specifiche vittime. Tali attacchi verranno tenacemente perseguiti fino alla fine, una fine vittoriosa per gli hacker. Non c’è ragione per smettere di opporre resistenza.

Ok, ora chiudiamo con la lezione sul contesto storico…

… e passiamo alla cura raccomandata dal dottore a questa malattia (gli attacchi avanzati mirati), ovvero la nostra nuova piattaforma Kaspersky Anti Targeted Attack (KATA).

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7

 

Quindi esattamente che cos`è KATA, come funziona e quando costa?

Prima di tutto un po’ di anatomia degli attacchi mirati…

Un attacco mirato è sempre personalizzato: è fatto su misura per una specifica azienda o individuo.

I criminali responsabili di un attacco mirato iniziano la loro opera raccogliendo scrupolosamente informazioni sui loro target nei più piccoli dettagli. Il successo di un attacco dipende dalla completezza di questo dossier e quasi nella stessa misura dal budget dell’operazione. Tutti i soggetti scelti nell’operazione vengono studiati e analizzati: il loro stile di vita, le famiglie, gli hobby e così via. Anche la rete aziendale viene costruita attentamente. E sulla base di tutte le informazioni raccolte viene selezionato un attacco strategico.

Poi (i) la rete viene penetrata via acceso remoto (in modo silenzioso) con il massimo dei privilegi. Dopodiché, (ii) i nodi delle infrastrutture critiche vengono compromessi. E infine, (iii) “si sganciano le bombe”: si rubano o si distruggono i dati, si distruggono i processi o qualsiasi altra cosa in base all’obiettivo dell’attacco. Un’altra cosa importante è coprire le tracce di modo che non si venga a sapere chi è il responsabile.

Il perché, la durata delle varie fasi di preparazione ed esecuzione, gli attacchi vettoriali, le tecnologie di penetrazione e il malware stesso, tutto questo è personalizzato. Ma non importa quanto individuale sia un attacco, avrà sempre il suo tallone d’Achille. Un attacco lascia sempre delle piccole tracce, nonostante siano quasi invisibili (attività di rete, certi comportamenti dei file e altri oggetti, ecc), emergono delle anomalie e si osservano delle attività di rete anormali. Quindi osservando il panorama dall’alto quadro generale (il quadro generale si forma a partire da diverse risorse attorno alla rete) è possibile individuare un attacco informatico.

Per raccogliere tutti i dati sulle anomalie e sulla creazione di questo quadro generale, KATA usa dei sensori, degli speciali e-agents, che analizzano continuamente il traffico IP/web/email oltre a tutti gli eventi della workstation e dei server.

Per esempio, intercettiamo il traffico IP (HTTPs, FTP, DNS) usando TAP/SPAN; il sensore web è integrato nel server proxy via ICAP e il sensore mail viene incluso al server email via POP3 (S). Gli agenti sono davvero leggeri (stiamo parlando di circa 15 megabyte per Windows) e sono compatibili con altri software di sicurezza avendo un impatto minimo sia sulla rete che sulle risorse endpoint.

Tutti i dati raccolti (oggetti e metadata) vengono poi trasferiti al centro analisi (Analysis Center) per essere processati; si utilizzano vari metodi (sandbox, AV scanning e regole YARA, il controllo dei file e la reputazione delle URL, lo scanner delle vulnerabilità, ecc.) e l’archivio. Inoltre, è possibile collegare il sistema alla nostra cloud KSN o salvarle a livello interno (creando una copia interna di Kaspersky Private Security Network).

Una volta che il quadro completo è stato assemblato, è tempo di passare alla fase successiva! KATA rivela un’attività sospetta e informa gli amministratori e il SIEM (Sistema di Gestione delle Informazioni e degli eventi di Sicurezza, come Splunk, Qradar, ArcSight) circa tutto quello che trova. Quanto più il sistema lavora, maggiore sarà il numero dei dati accumulati sulla rete e la sua efficienza dato che i comportamenti atipici saranno facili da individuare.

Maggiori informazioni su KATA qui.

Ah giusto… quanto costa?

Beh, non c’è una solo risposta a questa domanda. Il prezzo del servizio dipende da una dozzina di fattori, tra cui la dimensione e la tipologia della rete aziendale, come la soluzione viene configurata e quanti servizi vengono usati. Una cosa è sicura: il costo non è nulla se comparato ai danni che la soluzione può prevenire.

 

LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video