Cisco ha recentemente annunciato il termine "intent-based networking" in un comunicato stampa che spinge sull'idea che le reti debbano essere più intuitive. Un elemento di questa intuizione è che le reti devono essere più sicure senza richiedere un lavoro pesante da parte dei professionisti della sicurezza di rete locali. Una parte importante di questa strategia è rappresentata da Cisco ETA:
" Encrypted Traffic Analytics di Cisco risolve una sfida per la sicurezza di rete che in precedenza si pensava fosse irrisolvibile", ha dichiarato David Goeckeler, Senior Vice President e General Manager di Networking and Security. "ETA utilizza la cyber intelligence Talos di Cisco per rilevare le firme di attacco conosciute anche nel traffico criptato, contribuendo a garantire la sicurezza pur mantenendo la privacy".
Sono sempre incuriosito (e spesso divertito) dall'affermazione che un problema irrisolvibile è stato risolto. Quindi, analizziamo come viene costruito Cisco ETA:
- Prelevare molti campioni malware già classificati in famiglie di malware ed etichettati in modo da riflettere tale classificazione.
- Eseguire ciascuno di essi in una sandbox per 5 minuti.
- Catturare il traffico emesso dai campioni
- Isolare le sessioni crittografate TLS tra il traffico
- Estrarre le informazioni su queste sessioni dai loro handshake TLS: c'è un Client Hello inviato dal client al server e un Server Hello (che include un certificato del server) con cui il server risponde.
- Estrarre informazioni sul flusso e riflusso dei dati (dimensioni dei pacchetti, ritardi tra i pacchetti, byte presenti nei pacchetti, ecc.
- Prendete le caratteristiche da (5) e (6) e usatele per addestrare un modello per creare mappature da questi dati alle famiglie di malware in (1)
Accogliamo con favore i passi compiuti da Cisco per integrare l'estrazione dei metadati in modo nativo nella rete e ci complimentiamo per gli sforzi compiuti per applicare l'apprendimento automatico al rilevamento delle minacce. Si tratta di un aspetto che abbiamo implementato nelle reti dei clienti per anni e abbiamo visto i vantaggi che può offrire se fatto bene (e male, dato che abbiamo sicuramente avuto i nostri inciampi lungo il percorso). Forse non è una sorpresa - questa è roba difficile - ma i primi passi di Cisco in questo settore sono un po' sottotono.
Le tecniche di selezione delle caratteristiche e di apprendimento automatico impiegate in Cisco ETA presentano indubbiamente alcuni approcci innovativi. Ma l'idea generale di utilizzare i metadati di sessione per creare firme precise per le comunicazioni malware sembra un ritorno al passato, riportandoci al rilascio del primo IDS basato sulle firme, nel 1995 circa. Supponendo che abbia successo con l'attuale generazione di malware, ci vorrà poco tempo perché gli sviluppatori malware modifichino le loro comunicazioni crittografate in modo semplice per eludere questa forma di rilevamento. Le modifiche che gli aggressori apporterebbero sono piuttosto ovvie:
- Utilizzate le forme standard di criptovaluta corrente anche se non avete bisogno delle protezioni da essa offerte.
- Non fate in modo che il vostro certificato abbia un aspetto palesemente negativo (suggerimento: copiate un certificato standard da un sito web popolare e usatelo come modello per il vostro certificato).
- Randomizzare il traffico all'interno della connessione TLS inserendo periodicamente del traffico extra e variando i tempi di comunicazione e le dimensioni delle richieste e delle risposte.
E poi ricomincia il gioco del gatto e del topo. Solo che ora Cisco dovrà raccogliere grandi volumi di campioni nel tentativo di riqualificare l'ETA. E a quel punto gli aggressori potranno rapidamente romperlo di nuovo.
A differenza della maggior parte delle applicazioni di apprendimento automatico, la sicurezza informatica implica l'incontro con un avversario intelligente che si adatta alle capacità del difensore. Per questo motivo, la nostra applicazione dell'apprendimento automatico ai metadati estratti dalla rete si concentra sulla ricerca di modelli di comportamento duraturi che richiederebbero cambiamenti fondamentali nelle metodologie di attacco per essere contrastati.
Un esempio è l'Accesso remoto esterno, un modello che Vectra ha fornito più di due anni fa per individuare il modello fondamentale di controllo dei sistemi da parte di persone esterne alla rete. Funziona indipendentemente dallo strumento dell'attaccante e dal fatto che il traffico sia o meno crittografato. L'anno scorso, quando ShadowBrokers ha diffuso il RAT nOpen, il modello Vectra ha rilevato i tentativi di utilizzarlo senza che fosse necessaria alcuna modifica. È emerso che inventare metodologie di attacco completamente nuove è molto più difficile che modificare modelli di comunicazione superficiali.
Anche l'implementazione dell'ETA non sarà semplice o economica. L'ETA richiederà l'aggiornamento di nuovi switch di rete o l'implementazione di sensori di flusso. Gli switch sono un pilastro delle entrate e un generatore di profitti per Cisco, quindi legare le nuove funzionalità di sicurezza agli switch non è una sorpresa. Gli aggiornamenti richiedono tempo e sono dirompenti, e in questo caso tutti quei soldi probabilmente produrranno funzionalità di sicurezza del livello degli anni '90.
Se desiderate un'alternativa in grado di ridurre di 29 volte il carico di lavoro delle operazioni di sicurezza a una frazione del costo dell'aggiornamento di uno switch, contattateci per una demo.