Un sistema di allerta precoce per i cyber-ranger (Adaptive Anomaly Control)

Molto probabilmente, se siete abituati a lavorare in ufficio, in questo momento è ancora piuttosto, o completamente vuoto, proprio come il nostro. Nel nostro quartier generale le uniche persone che vedrete di tanto in tanto sono le guardie di sicurezza, e l’unico rumore che sentirete sarà il ronzio dei sistemi di raffreddamento dei nostri pesanti server, dato che tutti sono collegati e lavorano da casa.

Non immaginereste mai che, invisibili, le nostre tecnologie, i nostri esperti e i nostri prodotti lavorano 24 ore su 24, 7 giorni su 7 per proteggere il mondo informatico, eppure è così. Tuttavia, nel frattempo i cybercriminali stanno escogitando nuovi trucchi. Meno male, quindi, che abbiamo un sistema di allerta precoce nella nostra collezione di tool per la protezione informatica. Ma ci arriverò tra un po’…

Il ruolo di un addetto/a alla sicurezza informatica assomiglia per certi versi a quello di una guardia forestale: per catturare i bracconieri (malware) e neutralizzare la minaccia che rappresentano per gli abitanti della foresta, è necessario prima di tutto trovarli. Certo, si potrebbe semplicemente aspettare che il fucile di un bracconiere spari e correre verso il luogo da cui proviene il suono, ma questo non esclude la possibilità che si arrivi troppo tardi e che l’unica cosa che si possa fare sia ripulire la scena.

Si potrebbe andare in paranoia: piazzare sensori e videocamere in tutta la foresta, ma poi ci si potrebbe ritrovare a reagire a qualsiasi fruscio che viene captato (e presto perdere il sonno, poi la testa). Ma quando ci si rende conto che i bracconieri hanno imparato a nascondersi davvero bene, anzi, a non lasciare alcuna traccia della loro presenza, allora diventa chiaro che l’aspetto più importante della sicurezza è la capacità di separare gli eventi sospetti da quelli regolari e innocui.

Sempre più spesso i cyber-bracconieri di oggi si mimetizzano con l’aiuto di strumenti e operazioni perfettamente legittime.

Alcuni esempi: l’apertura di un documento su Microsoft Office, la concessione dell’accesso remoto a un amministratore di sistema, il lancio di uno script su PowerShell e l’attivazione di un meccanismo di cifratura dei dati. Poi c’è la nuova ondata dei cosiddetti malware fileless, che lasciano letteralmente zero tracce su un disco rigido e che limitano seriamente l’efficacia degli approcci tradizionali alla protezione.

Esempi: (i) la minaccia Platinum ha utilizzato tecnologie fileless per penetrare nei computer di organizzazioni diplomatiche; e (ii) documenti di lavoro con payload dannoso sono stati utilizzati per infezioni tramite phishing nelle operazioni dell’APT DarkUniverse. Un altro esempio: il ransomware-encryptor fileless ‘Mailto’ (alias Netwalker) utilizza uno script PowerShell per caricare ilcodice dannoso direttamente nella memoria di processi di sistema affidabili.

Ora, se la protezione tradizionale non è all’altezza del compito, è possibile cercare di vietare agli utenti tutta una serie di operazioni e introdurre politiche severe sull’accesso e l’uso di software. Tuttavia, anche se così fosse, sia gli utenti che i criminali informatici alla fine troverebbero probabilmente il modo di aggirare i divieti (proprio come è sempre stato fatto anche per il divieto di bere alcolici).

Sarebbe molto meglio trovare una soluzione in grado di rilevare le anomalie nei processi standard e di informarne l’amministratore di sistema. Ma l’importante è che una tale soluzione sia in grado di imparare a determinare automaticamente in modo accurato il grado di “sospetto” dei processi in tutta la loro grande varietà, in modo da non tormentare l’amministratore di sistema con continue grida di “al lupo, al lupo!”

Bene, avete indovinato! Abbiamo una soluzione di questo tipo: si chiama Adaptive Anomaly Control, un servizio costruito su tre componenti principali: regole, statistiche ed eccezioni.

Le regole riguardano le applicazioni principali di lavoro, Windows Management Instrumentation, gli script standard e altri componenti, insieme a un elenco di attività “anomale”. Queste regole fanno parte della soluzione e non richiedono che l’amministratore le crei di nuovo.

Dopo l’attivazione, per circa due settimane il sistema studia i processi che si svolgono abitualmente in azienda, rileva gli scostamenti dalle regole standard (elabora statistiche) e crea una lista “personalizzata2 di eccezioni. Questo periodo di studio può essere completato, ad esempio, dall’amministratore di sistema che crea le proprie eccezioni per alcuni processi specifici, o dall’individuazione di un’anomalia imprevista. E la fase di studio può anche essere suddivisa a seconda delle divisioni aziendali in modo che, ad esempio, gli addetti alla contabilità non possano lanciare script Java, mentre gli addetti alla ricerca e sviluppo non possano accedere agli strumenti finanziari.

Il sistema segnala eventuali scostamenti dall’elenco delle eccezioni, indicando sia il particolare processo sospetto, sia il dispositivo su cui viene lanciato. Ad esempio, l’avvio di Windows Command Processor o di un host di applicazioni HTML da parte di uno script PowerShell da un’applicazione per ufficio o da una macchina virtuale è tecnicamente possibile, ma difficilmente è un’operazione consentita. O diciamo che se un file con un nome tipico di sistema viene salvato in una cartella che non è di sistema, potrebbe valere la pena di dare un’occhiata da vicino all’applicazione.

Inoltre, l’amministratore di sistema può bloccare un processo, o permetterlo, mantenendo l’utente informato. Inoltre, su richiesta, il periodo di osservazione di alcune regole può essere aumentato in modo da studiare più da vicino come saranno applicate in futuro.

“Allora perché è necessaria la protezione degli endpoint se il sistema funziona così bene?” chiederebbe la guardia forestale l’amministratore di sistema, scettico. Semplicemente perché il controllo adattivo dell’anomalia dovrebbe essere visto come un sistema di allerta precoce, limitandosi a indicare dove si sta svolgendo un’attività sospetta. In realtà contrastare la minaccia è compito di altri componenti chiave della protezione, come le soluzioni EDR.

E questa è la vostra premessa di base per l’Adaptive Anomaly Control, gente!

PS: Non ho usato il confronto con la guardia forestale per caso, perché le foreste (e le campagne selvagge) sono in cima ai miei pensieri in questo momento: devo iniziare a fare i bagagli per la mia spedizione estiva delle zoneselvagge di Altai. Avrò davvero bisogno di protezione individuale e di sistemi di allerta precoce!

LEGGI I COMMENTI 0
Scrivi un commento