I 3 passi per una cybersecurity all’avanguardia: analizzare il passato, testare il presente e prevedere il futuro. Qualsiasi altro elemento = un riempitivo

Quando il passato viene studiato con attenzione, è possibile tracciare un quadro dettagliato e preciso del presente. In questo contesto, la mente analitica di un esperto (o meglio, di molti esperti) può mettere in guardia, o addirittura prevedere, il futuro. È proprio così che noi di Kaspesky siamo spesso in grado di indovinare prevedere con precisione quale sarà l’evoluzione nel breve termine del “male digitale”. Questo è anche il modo in cui ci teniamo aggiornati sulle ultime tendenze nel campo dei cyber-attacchi; l’essere sempre aggiornati ci permette di sviluppare tempestivamente le tecnologie necessarie nella lotta contro i “cyber-male”, che come sappiamo è sempre in agguato. Durante il processo di previsione del male cibernetico, a volte ci siamo sbagliati: alcuni tipi di minacce cibernetiche sono piuttosto difficili da prevedere, ma questi casi sono sempre stati l’eccezione alla regola. Infatti, il più delle volte abbiamo centrato il bersaglio.

Quindi come gestiamo questo processo? Sono solo i nerd barbuti e super cervelloni a fare tutte queste analisi e profezie informatiche? In realtà, no. Molti passaggi sono automatizzati. E questo va apprezzato: un essere umano, per quanto intelligente, non può competere con la potenza di calcolo, gli algoritmi, i robot e l’apprendimento automatico intelligenza artificiale di oggi. L’uomo intelligente è ancora necessario, naturalmente; ma perché fare tutto il lavoro pesante da solo?

Oggi, in questo post, vi parlerò proprio di questo duro lavoro. Un lavoro duro, tecnologico e scientifico che ci permette di prevedere il futuro (senza cartomanzia alla Baba Vanga:).

Per cominciare, vi parlerò dell’evoluzione della nostra Threat Intelligence Platform (TIP).

La suddividerò proprio come nel titolo: come analizziamo il passato, testiamo il presente e prevediamo il futuro senza la sfera di cristallo


Analizzare il passato

Quando abbiamo iniziato a sviluppare questo servizio, nel 2016, i suoi primi strumenti riguardavano l’analisi del passato. Si trattava (e si tratta tuttora) dei Threat-Data Feeds. Come suggerisce il nome, si tratta di feed di dati relativi a minacce già note: indicatori di attacco, indirizzi di siti web di malware, indirizzi di centri di controllo di botnet e molto altro ancora. È possibile iscriversi per ricevere aggiornamenti in tempo reale.

Un passo in avanti rispetto ai feed, sono i nostri report dettagliati sulle minacce. Alcuni esempi sono: i report analitici sulle minacce APT riguardanti attacchi mirati e i gruppi di hacker; il Crimeware Intelligence Reporting, che descrive le nuove varianti di programmi dannosi; e l’ICS TI Reporting che analizza le nuove minacce contro i sistemi di controllo industriale.

E dato che difficilmente elimineremo i dati raccolti nell’ultimi 25 anni, ora abbiamo petabyte sillybytes millemilabytes di dati immagazzinati che riguardano queste minacce. Sembra un peccato tenerli sotto chiave, quindi abbiamo deciso di dare ai clienti (chiaramente stiamo parlando di società/imprese e dei relativi dipartimenti IT/sicurezza informatica) la possibilità di effettuare ricerche all’interno del nostro database. È così che è nato il nostro servizio noto come Threat Lookup, una sorta di Google Threats. Ed è già utilizzato da centinaia di aziende conosciute e stimate di tutto il mondo.

Testare il presente

Adesso, logicamente, passiamo dal passato al presente…

Immaginate che questa mattina abbiate trovato un file sospetto all’interno della vostra rete aziendale e che abbiate bisogno di analizzarlo immediatamente. Ciò significa che la vostra piattaforma di Threat Intelligence (TI) deve fornire strumenti di analisi, o per dirla con le parole di Fatboy Slim, “proprio qui, proprio ora”.

Prima di tutto, è necessario effettuare un’analisi statica del codice. Abbiamo già affrontato questa questione fin dall’inizio, quando abbiamo iniziato con i metodi classici dell’antivirus (hash, euristica) che nel corso degli anni si sono trasformati in un sistema all’avanguardia per l’attribuzione delle minacce. Oggi questo sistema è in grado di individuare l’origine di un malware anche se si tratta di una versione ampiamente riscritta di un malware già noto.

Il fatto è che alcuni “geni” (elementi distintivi del codice) sono come una specie di firma dell’hacker e quindi rimangono immutabili. Sono proprio questi “geni” a essere individuati dal nostro Threat Attribution Engine che è stato addestrato a riconoscere le centinaia di milioni di geni, sia cattivi che buoni, che abbiamo accumulato negli ultimi 25 anni. Il risultato è che siamo in grado di mettere in relazione le nuove minacce informatiche con gli autori noti.

Sembra di essere ancora nel passato? Allora inseriamo il file sospetto nella nostra Cloud Sandbox. Si tratta letteralmente di un’analisi dinamica “in continua transformazione” di un file durante la sua esecuzione, e in un ambiente isolato. A giudicare dal solo codice, potrebbe sembrare del tutto innocente. Tuttavia, se lo si esegue nella sandbox, oh-oh…. la cosa cambia: sta cercando di criptare qualcosa! Chi l’avrebbe mai detto? Dopotutto, è un elemento dannoso come tanti!

Ora la domanda è: da dove viene questo codice dannoso? Conviene osservare quello che lo circonda per vedere se c’è qualcos’altro in agguato? Avete indovinato: sì, dovremmo…

A questo scopo, consultiamo il nostro Research Graph dove vengono visualizzate le interazioni del file analizzato con altri oggetti: domini con cui ha interagito, file che ha caricato (o che lo hanno caricato) e anche la sua relazione con altre minacce e indicatori presenti nel nostro database. Il cliente può cercare su Internet questi indicatori per assicurarsi che non sia stato tralasciato nulla e che i criminali informatici siano stati espulsi.

Prevedere il futuro

Abbiamo dunque utilizzato la conoscenza del passato per studiare qualcosa che si stava verificando nel presente. Che dire invece del futuro? Certo, il futuro non è ancora arrivato, ma possiamo già intravedere i primi segni di come sarà. Parliamo di elementi deboli presenti della protezione dell’infrastruttura, vulnerabilità del software e nelle impostazioni, e potenziali punti di ingresso per i cyber-attacchi. ê possibile monitorizzare e osservare questi punti attraverso i nostro report (Threat Intelligence Reporting – funzionano con sottoscrizione di un abbonamento). In essi vengono descritti in dettaglio quali gruppi di hacker esistono sul pianeta e, soprattutto, quali strumenti utilizzano, come li utilizzano e per quali obiettivi (ovvero, scopriamo le loro TTP – tattiche, tecniche e procedure). Sapendo tutto questo, ci si può preparare molto meglio per proteggersi da potenziali attacchi futuri.

Tuttavia, i metodi dei cyber-criminali possono essere diversi a seconda dei contesti e i nostri clienti ci chiedono spesso ulteriori dati su come determinate tecniche di attacco possano essere applicate in situazioni specifiche che possono essere tipiche per un determinato cliente. Ora è possibile ottenere tali consulenze grazie al nostro servizio Ask the Analyst, attraverso il quale avrete a vostra disposizione un analista in tempo reale.

Il secondo tipo di segnale che ci può aiutare a leggere il futuro è rappresentato dalle attività sospette in agguato su Internet e che utilizzano i dati di un’azienda. Tali attività possono essere considerate come un segno di pianificazione di un attacco. Ed è proprio a questi segnali sul futuro che è dedicato il nostro servizio di Digital Footprint Intelligence (DFI).

Funziona nel seguente modo: con l’aiuto di robot dedicati, un team di esperti elabora un “ritratto digitale” di una determinata azienda e poi traccia il modo in cui questi dati potrebbero essere utilizzati su Internet, prevedendo così possibili attacchi futuri.

Ad esempio, qualcuno registra un dominio che assomiglia molto a quello di una determinata azienda (ad esempio, con solo una lettera diversa o con un trattino aggiunto da qualche parte) e lancia un sito con questo indirizzo che assomiglia molto all'”originale”. Il servizio DFI vi avvertirà dei siti di phishing e il nostro Takedown Service vi aiuterà a bloccare rapidamente il sito falso.

Inoltre, nella nuova versione del nostro portale TI abbiamo introdotto una funzione di ricerca su Internet specializzata. In questo modo, ciò che si trovava prima nel nostro database interno delle minacce è ora integrato con dati freschi provenienti da open source controllate, tra cui media di sicurezza informatica, forum di information security e blog di esperti.

Infine, il nostro TIP può essere utilizzato per realizzare ricerche negli angoli più oscuri del web (Dark Web, Deep Web). È possibile verificare se i dati di una determinata azienda sono stati rubati, vedere se ci sono conversazioni su eventuali vulnerabilità presenti nelle infrastrutture di un’azienda e controllare altri segnali che possono riguardare la preparazione di attacchi. E i malvagi del “dark/deep web” pensavano di essere irrintracciabili? Come no!!

Ma forse starete pensando: “lo strumento può identificare un futuro hacker in base alla sua condotta da adolescente?”. Oppure: “può dire come l’amministratore di sistema X organizzerà le fughe di dati dell’azienda Y tra tre anni?!”. O qualcosa del genere. Ovviamente la risposta è no. Quello che possiamo fare è fornire agli utenti della nostra piattaforma analitica le informazioni più importanti sulle minacce che possono realisticamente incontrare: da chi e perché possono essere attaccati, come possono essere realizzati tali attacchi e come possono proteggersi da essi.

Ecco quindi che la cybersecurity si transforma in una macchina del tempo, con passato, presente e futuro tutti insieme! Ma nonostante il tocco fantascientifico, spero che ora capiate che si tratta tutt’altro che di fantascienza. Non Vanga, non Sauron, non uno sciamano, non un indovino, non astrologia, non magia. Solo scienza e tecnologia, al 100%.

Chi avrebbe mai pensato di dover analizzare il passato, testare il presente e prevedere il futuro per una cybersecurity 2022 all’avanguardia? Noi l’abbiamo fatto, lo facciamo e lo continueremo a fare. Con Kaspersky Threat Intelligence ora è possibile!

LEGGI I COMMENTI 0
Scrivi un commento