Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Perché è normale rimanere delusi dall'ETA di Cisco

26 giugno 2017
Oliver Tavakoli
Chief Technology Officer
Perché è normale rimanere delusi dall'ETA di Cisco

Cisco ha recentemente annunciato il termine "rete basata sull'intento" in un comunicato stampa che promuove l'idea che le reti debbano essere più intuitive. Un elemento di tale intuizione è che le reti devono essere più sicure senza richiedere un grande impegno da parte dei professionisti della sicurezza delle reti locali. Una parte importante di tale strategia è Cisco ETA:

"La soluzione Encrypted Traffic Analytics di Cisco risolve una sfida di sicurezza della rete che prima era considerata irrisolvibile", ha affermato David Goeckeler, vicepresidente senior e direttore generale del reparto Networking and Security. "ETA utilizza la cyber intelligence Talos di Cisco per rilevare le firme di attacchi noti anche nel traffico crittografato, contribuendo a garantire la sicurezza e preservando al contempo la privacy".

Sono sempre incuriosito (e spesso divertito) dall'affermazione che un problema irrisolvibile sia stato risolto. Quindi, approfondiamo come è strutturato Cisco ETA:

  • Prendi molti malware già classificati in malware ed etichettati in modo da riflettere tale classificazione.
  • Esegui ciascuno in una sandbox per 5 minuti
  • Cattura il traffico emesso dai campioni
  • Isolare le sessioni crittografate TLS dal traffico
  • Estrai le informazioni relative a queste sessioni dai loro handshake TLS: c'è un Client Hello inviato dal client al server e un Server Hello (che include un certificato server) con cui il server risponde.
  • Estrai informazioni sul flusso e riflusso dei dati (dimensione dei pacchetti, ritardi tra i pacchetti, byte presenti nei pacchetti, ecc.) nella sessione.
  • Prendi le caratteristiche da (5) e (6) e utilizzale per addestrare un modello che crei mappature da questi dati alle famiglie di malware (1).

Accogliamo con favore le iniziative intraprese da Cisco per integrare l'estrazione dei metadati in modo nativo nella rete e applaudiamo i loro sforzi nell'applicare l'apprendimento automatico per rilevare le minacce. Si tratta di qualcosa che abbiamo implementato nelle reti dei clienti per anni e abbiamo visto i vantaggi che può offrire se fatto nel modo giusto (e anche in quello sbagliato, dato che abbiamo sicuramente avuto delle difficoltà lungo il percorso). Forse non sorprende, dato che si tratta di una materia complessa, che i primi passi di Cisco in questo campo siano un po' deludenti.

Indubbiamente, Cisco ETA presenta alcuni approcci innovativi nella selezione delle caratteristiche e nelle tecniche di apprendimento automatico. Tuttavia, l'idea generale di utilizzare i metadati delle sessioni per creare firme precise per malware sembra un passo indietro, che ci riporta al rilascio del primo IDS basato su firme, intorno al 1995. Supponendo che abbia successo con l'attuale generazione di malware, malware impiegheranno poco tempo a modificare le loro comunicazioni crittografate in modi semplici che eludono questa forma di rilevamento. Le modifiche che gli aggressori apporterebbero sono piuttosto ovvie:

  • Utilizza le forme standard delle criptovalute attuali anche se non hai bisogno delle protezioni che esse offrono.
  • Non rendere il tuo certificato palesemente scadente (suggerimento: copia un certificato standard da un sito web popolare e utilizzalo come modello per il tuo certificato).
  • Randomizza il traffico all'interno della tua connessione TLS inserendo periodicamente traffico aggiuntivo e variando i tempi di comunicazione e le dimensioni delle richieste e delle risposte.

E così ricomincia il gioco del gatto e del topo. Solo che ora Cisco dovrà raccogliere grandi quantità di campioni per cercare di addestrare nuovamente l'ETA. E poi gli aggressori potranno nuovamente violarlo in poco tempo.

A differenza della maggior parte delle applicazioni di apprendimento automatico, la sicurezza informatica implica un confronto con un avversario intelligente che si adatterà alle capacità del difensore. Per questo motivo, la nostra applicazione dell'apprendimento automatico ai metadati estratti dalla rete si concentra sull'individuazione di modelli di comportamento duraturi che richiederebbero cambiamenti fondamentali nelle metodologie degli aggressori per poter essere contrastati.

Un esempio è External Remote Access, un modello che Vectra ha lanciato oltre due anni fa per individuare il modello fondamentale con cui gli esseri umani controllano i sistemi dall'esterno della rete. Funziona indipendentemente dallo strumento utilizzato dall'autore dell'attacco e dal fatto che il traffico sia crittografato o meno. L'anno scorso, quando ShadowBrokers ha divulgato nOpen RAT, il modello Vectra ha rilevato i tentativi di utilizzarlo senza che fossero necessarie modifiche. A quanto pare, inventare metodologie di attacco completamente nuove è molto più difficile che modificare modelli di comunicazione superficiali.

L'implementazione dell'ETA non sarà né semplice né economica. L'ETA richiederà un aggiornamento ai nuovi switch di rete o l'implementazione di sensori di flusso. Gli switch sono una fonte di reddito fondamentale e un generatore di profitti per Cisco, quindi non sorprende che le nuove funzionalità di sicurezza siano legate allo switching. Gli aggiornamenti richiedono tempo e sono dirompenti e, in questo caso, tutto quel denaro probabilmente garantirà funzionalità di sicurezza pari a quelle degli anni '90.

Se desiderate un'alternativa in grado di ridurre di 29 volte il carico di lavoro delle operazioni di sicurezza a un costo molto inferiore rispetto all'aggiornamento di uno switch, contattateci per una demo.

Domande frequenti