giugno 23, 2022

I 3 passi per una cybersecurity all’avanguardia: analizzare il passato, testare il presente e prevedere il futuro. Qualsiasi altro elemento = un riempitivo

Quando il passato viene studiato con attenzione, è possibile tracciare un quadro dettagliato e preciso del presente. In questo contesto, la mente analitica di un esperto (o meglio, di molti esperti) può mettere in guardia, o addirittura prevedere, il futuro. È proprio così che noi di Kaspesky siamo spesso in grado di indovinare prevedere con precisione quale sarà l’evoluzione nel breve termine del “male digitale”. Questo è anche il modo in cui ci teniamo aggiornati sulle ultime tendenze nel campo dei cyber-attacchi; l’essere sempre aggiornati ci permette di sviluppare tempestivamente le tecnologie necessarie nella lotta contro i “cyber-male”, che come sappiamo è sempre in agguato. Durante il processo di previsione del male cibernetico, a volte ci siamo sbagliati: alcuni tipi di minacce cibernetiche sono piuttosto difficili da prevedere, ma questi casi sono sempre stati l’eccezione alla regola. Infatti, il più delle volte abbiamo centrato il bersaglio.

Quindi come gestiamo questo processo? Sono solo i nerd barbuti e super cervelloni a fare tutte queste analisi e profezie informatiche? In realtà, no. Molti passaggi sono automatizzati. E questo va apprezzato: un essere umano, per quanto intelligente, non può competere con la potenza di calcolo, gli algoritmi, i robot e l’apprendimento automatico intelligenza artificiale di oggi. L’uomo intelligente è ancora necessario, naturalmente; ma perché fare tutto il lavoro pesante da solo?

Oggi, in questo post, vi parlerò proprio di questo duro lavoro. Un lavoro duro, tecnologico e scientifico che ci permette di prevedere il futuro (senza cartomanzia alla Baba Vanga:).

Per cominciare, vi parlerò dell’evoluzione della nostra Threat Intelligence Platform (TIP).

La suddividerò proprio come nel titolo: come analizziamo il passato, testiamo il presente e prevediamo il futuro senza la sfera di cristallo


Analizzare il passato

Quando abbiamo iniziato a sviluppare questo servizio, nel 2016, i suoi primi strumenti riguardavano l’analisi del passato. Si trattava (e si tratta tuttora) dei Threat-Data Feeds. Come suggerisce il nome, si tratta di feed di dati relativi a minacce già note: indicatori di attacco, indirizzi di siti web di malware, indirizzi di centri di controllo di botnet e molto altro ancora. È possibile iscriversi per ricevere aggiornamenti in tempo reale.

Un passo in avanti rispetto ai feed, sono i nostri report dettagliati sulle minacce. Alcuni esempi sono: i report analitici sulle minacce APT riguardanti attacchi mirati e i gruppi di hacker; il Crimeware Intelligence Reporting, che descrive le nuove varianti di programmi dannosi; e l’ICS TI Reporting che analizza le nuove minacce contro i sistemi di controllo industriale.

E dato che difficilmente elimineremo i dati raccolti nell’ultimi 25 anni, ora abbiamo petabyte sillybytes millemilabytes di dati immagazzinati che riguardano queste minacce. Sembra un peccato tenerli sotto chiave, quindi abbiamo deciso di dare ai clienti (chiaramente stiamo parlando di società/imprese e dei relativi dipartimenti IT/sicurezza informatica) la possibilità di effettuare ricerche all’interno del nostro database. È così che è nato il nostro servizio noto come Threat Lookup, una sorta di Google Threats. Ed è già utilizzato da centinaia di aziende conosciute e stimate di tutto il mondo.

Testare il presente

Adesso, logicamente, passiamo dal passato al presente…

Immaginate che questa mattina abbiate trovato un file sospetto all’interno della vostra rete aziendale e che abbiate bisogno di analizzarlo immediatamente. Ciò significa che la vostra piattaforma di Threat Intelligence (TI) deve fornire strumenti di analisi, o per dirla con le parole di Fatboy Slim, “proprio qui, proprio ora”.

Prima di tutto, è necessario effettuare un’analisi statica del codice. Abbiamo già affrontato questa questione fin dall’inizio, quando abbiamo iniziato con i metodi classici dell’antivirus (hash, euristica) che nel corso degli anni si sono trasformati in un sistema all’avanguardia per l’attribuzione delle minacce. Oggi questo sistema è in grado di individuare l’origine di un malware anche se si tratta di una versione ampiamente riscritta di un malware già noto.

Il fatto è che alcuni “geni” (elementi distintivi del codice) sono come una specie di firma dell’hacker e quindi rimangono immutabili. Sono proprio questi “geni” a essere individuati dal nostro Threat Attribution Engine che è stato addestrato a riconoscere le centinaia di milioni di geni, sia cattivi che buoni, che abbiamo accumulato negli ultimi 25 anni. Il risultato è che siamo in grado di mettere in relazione le nuove minacce informatiche con gli autori noti.

Sembra di essere ancora nel passato? Allora inseriamo il file sospetto nella nostra Cloud Sandbox. Si tratta letteralmente di un’analisi dinamica “in continua transformazione” di un file durante la sua esecuzione, e in un ambiente isolato. A giudicare dal solo codice, potrebbe sembrare del tutto innocente. Tuttavia, se lo si esegue nella sandbox, oh-oh…. la cosa cambia: sta cercando di criptare qualcosa! Chi l’avrebbe mai detto? Dopotutto, è un elemento dannoso come tanti!

Ora la domanda è: da dove viene questo codice dannoso? Conviene osservare quello che lo circonda per vedere se c’è qualcos’altro in agguato? Avete indovinato: sì, dovremmo…

A questo scopo, consultiamo il nostro Research Graph dove vengono visualizzate le interazioni del file analizzato con altri oggetti: domini con cui ha interagito, file che ha caricato (o che lo hanno caricato) e anche la sua relazione con altre minacce e indicatori presenti nel nostro database. Il cliente può cercare su Internet questi indicatori per assicurarsi che non sia stato tralasciato nulla e che i criminali informatici siano stati espulsi.

Prevedere il futuro

Abbiamo dunque utilizzato la conoscenza del passato per studiare qualcosa che si stava verificando nel presente. Che dire invece del futuro? Certo, il futuro non è ancora arrivato, ma possiamo già intravedere i primi segni di come sarà. Parliamo di elementi deboli presenti della protezione dell’infrastruttura, vulnerabilità del software e nelle impostazioni, e potenziali punti di ingresso per i cyber-attacchi. ê possibile monitorizzare e osservare questi punti attraverso i nostro report (Threat Intelligence Reporting – funzionano con sottoscrizione di un abbonamento). In essi vengono descritti in dettaglio quali gruppi di hacker esistono sul pianeta e, soprattutto, quali strumenti utilizzano, come li utilizzano e per quali obiettivi (ovvero, scopriamo le loro TTP – tattiche, tecniche e procedure). Sapendo tutto questo, ci si può preparare molto meglio per proteggersi da potenziali attacchi futuri.

Tuttavia, i metodi dei cyber-criminali possono essere diversi a seconda dei contesti e i nostri clienti ci chiedono spesso ulteriori dati su come determinate tecniche di attacco possano essere applicate in situazioni specifiche che possono essere tipiche per un determinato cliente. Ora è possibile ottenere tali consulenze grazie al nostro servizio Ask the Analyst, attraverso il quale avrete a vostra disposizione un analista in tempo reale.

Il secondo tipo di segnale che ci può aiutare a leggere il futuro è rappresentato dalle attività sospette in agguato su Internet e che utilizzano i dati di un’azienda. Tali attività possono essere considerate come un segno di pianificazione di un attacco. Ed è proprio a questi segnali sul futuro che è dedicato il nostro servizio di Digital Footprint Intelligence (DFI).

Funziona nel seguente modo: con l’aiuto di robot dedicati, un team di esperti elabora un “ritratto digitale” di una determinata azienda e poi traccia il modo in cui questi dati potrebbero essere utilizzati su Internet, prevedendo così possibili attacchi futuri.

Ad esempio, qualcuno registra un dominio che assomiglia molto a quello di una determinata azienda (ad esempio, con solo una lettera diversa o con un trattino aggiunto da qualche parte) e lancia un sito con questo indirizzo che assomiglia molto all'”originale”. Il servizio DFI vi avvertirà dei siti di phishing e il nostro Takedown Service vi aiuterà a bloccare rapidamente il sito falso.

Inoltre, nella nuova versione del nostro portale TI abbiamo introdotto una funzione di ricerca su Internet specializzata. In questo modo, ciò che si trovava prima nel nostro database interno delle minacce è ora integrato con dati freschi provenienti da open source controllate, tra cui media di sicurezza informatica, forum di information security e blog di esperti.

Infine, il nostro TIP può essere utilizzato per realizzare ricerche negli angoli più oscuri del web (Dark Web, Deep Web). È possibile verificare se i dati di una determinata azienda sono stati rubati, vedere se ci sono conversazioni su eventuali vulnerabilità presenti nelle infrastrutture di un’azienda e controllare altri segnali che possono riguardare la preparazione di attacchi. E i malvagi del “dark/deep web” pensavano di essere irrintracciabili? Come no!!

Ma forse starete pensando: “lo strumento può identificare un futuro hacker in base alla sua condotta da adolescente?”. Oppure: “può dire come l’amministratore di sistema X organizzerà le fughe di dati dell’azienda Y tra tre anni?!”. O qualcosa del genere. Ovviamente la risposta è no. Quello che possiamo fare è fornire agli utenti della nostra piattaforma analitica le informazioni più importanti sulle minacce che possono realisticamente incontrare: da chi e perché possono essere attaccati, come possono essere realizzati tali attacchi e come possono proteggersi da essi.

Ecco quindi che la cybersecurity si transforma in una macchina del tempo, con passato, presente e futuro tutti insieme! Ma nonostante il tocco fantascientifico, spero che ora capiate che si tratta tutt’altro che di fantascienza. Non Vanga, non Sauron, non uno sciamano, non un indovino, non astrologia, non magia. Solo scienza e tecnologia, al 100%.

Chi avrebbe mai pensato di dover analizzare il passato, testare il presente e prevedere il futuro per una cybersecurity 2022 all’avanguardia? Noi l’abbiamo fatto, lo facciamo e lo continueremo a fare. Con Kaspersky Threat Intelligence ora è possibile!

LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video