Ciechi di fronte al gap della cybersicurezza
All'interno di questo divario, gli aggressori hanno un enorme vantaggio rispetto ai tradizionali prodotti di sicurezza basati sulla prevenzione. Sebbene gli strumenti e le tecniche di prevenzione siano oggi ampiamente utilizzati, i criminali informatici li superano abitualmente utilizzando metodi di attacco complessi e costruiti in modo intelligente.
Gli attacchi informatici non sono più semplici operazioni di smash-and-grab guidate da malware preprogrammati. Sono controllati da esseri umani altamente qualificati, creativi e intelligenti. Il coordinamento continuo consente a un attaccante umano di imparare progressivamente a conoscere meglio la rete bersaglio, di adattarsi a qualsiasi misura difensiva e di far progredire l'attacco nel tempo.
Mentre gli attacchi hanno compiuto un salto evolutivo in termini di complessità, le difese di sicurezza non lo hanno fatto. Le difese sono sovraccariche nel tentativo di individuare le minacce utilizzando firme veloci di pattern matching di minacce note e malware.
Mentre le minacce sono diventate più intelligenti e si sono evolute in modo sofisticato nel corso del tempo, la sicurezza tradizionale continua a dipendere dall'elaborazione di giudizi affrettati basati su informazioni incomplete.
La sicurezza tradizionale continua a dipendere da giudizi affrettati basati su informazioni incomplete.
Oggi questo squilibrio offre agli aggressori un vantaggio significativo. Per tenere il passo, le organizzazioni hanno bisogno di un approccio più intelligente alla sicurezza, una nuova classe di sicurezza in grado di imparare, evolvere e pensare.
Il presente documento illustra i requisiti di una nuova metodologia che identifica le minacce sulla base di ciò che è stato appreso dal passato e dal contesto locale, e poi collega gli eventi nel tempo per rivelare la progressione di un attacco.
La sfida della firma
Le difese di sicurezza hanno cercato di tenere il passo utilizzando un numero sempre maggiore di firme e fornendole sempre più velocemente. Le firme sono la base della tecnologia di sicurezza tradizionale e sono scritte per identificare gli exploit, gli URL dannosi e le malware note.
Le firme possono identificare e bloccare rapidamente le minacce conosciute su scala. Tuttavia, il loro punto debole è che sono intrinsecamente riduttive: riducono una minaccia nota alla sua impronta digitale più semplice, in modo da fornire un'unica risposta affermativa o negativa entro microsecondi per evitare di rallentare il flusso di traffico delle applicazioni.
Questa attenzione riduttiva alle risposte immediate e semplici ha creato un vantaggio per gli aggressori disposti ad adattarsi. Le firme funzionano solo con l'impronta digitale di una minaccia nota, e gli aggressori hanno imparato a evitare le firme utilizzando minacce nuove e sconosciute.
Il Verizon Data Breach Investigation Report 2015 illustra questa tendenza in modo molto dettagliato, indicando che il 70-90% delle malware utilizzate nelle violazioni di dati sono uniche per l'organizzazione infettata.
Ciò significa che ogni organizzazione avrebbe bisogno di una serie unica di firme per proteggersi, un requisito che non è scalabile. Ma se un aggressore utilizza una minaccia sconosciuta o zero-day, non esiste alcuna firma in grado di rilevarla. L'importanza e la facilità di evitare le firme non sono sfuggite agli aggressori.
Sebbene gli aggressori siano in grado di anticipare le firme, è la persistenza dell'attacco in corso che ha davvero cambiato le carte in tavola. Una volta compromesse le difese esterne di un'organizzazione, gli aggressori possono mimetizzarsi nella rete, spiare progressivamente e diffondersi in profondità fino a trovare risorse di alto valore da rubare o distruggere.
Questo processo coinvolge in genere più host compromessi, una varietà di strumenti e malware e il furto e l'uso improprio di credenziali utente valide. Il punto importante è che la minaccia in sé è continua, mentre gli aggressori evolvono le loro operazioni e si adattano nel tempo.
La minaccia stessa è continua, mentre gli aggressori evolvono le loro operazioni e si adattano nel tempo.
La natura riduttiva delle firme che identificano le minacce a livello atomico non è particolarmente adatta a riconoscere la chimica più complessa che le circonda. Questo gap di intelligence è proprio il motivo per cui un nuovo modello di sicurezza per il rilevamento delle minacce è così vitale.
Il nuovo modello di rilevamento delle minacce
Il più recente e avanzato modello di rilevamento delle minacce non si limita a colmare le lacune delle tecnologie di sicurezza tradizionali. Blocca il vantaggio strategico di cui gli aggressori hanno goduto per troppo tempo.
Rilevamenti a grana grossa con una lunga durata di conservazione
I rilevamenti che utilizzano le firme tradizionali diventano obsoleti quando gli aggressori si adattano spostandosi in un nuovo dominio o aggiungendo alcuni bit al malware noto in modo che le firme non corrispondano più. Questo dà loro un vantaggio di prima mano, dove anche le modifiche più banali fanno sì che gli aggressori siano sempre un passo avanti rispetto ai difensori.
Uno degli obiettivi principali del nuovo modello di rilevamento delle minacce è quello di fornire rilevamenti che rimangano validi per lunghi periodi di tempo. Ciò richiede il passaggio dal rilevamento delle impronte digitali di ogni singola istanza di minaccia al riconoscimento delle caratteristiche fondamentali di attacco che ogni minaccia ha in comune.
Se applicate al traffico a livello di pacchetto, la scienza dei dati e l'apprendimento automatico diventano strumenti estremamente potenti per identificare le caratteristiche fondamentali che distinguono le minacce dal traffico normale.
Concentrarsi su azioni e comportamenti dell'aggressore
I modelli di rilevamento tradizionali cercano di trovare frammenti di codice di exploit, un campione noto di malware o un dominio dannoso. Questo porta a un lavoro intrattabile di ricerca e rilevamento costante delle impronte digitali di un numero infinito di eventi dannosi. Il compito è infinito e gli aggressori sono sempre un passo avanti utilizzando un nuovo exploit.
Per interrompere questo circolo vizioso, il nuovo modello di rilevamento delle minacce sposta l'attenzione dal tentativo di individuare tutti i possibili elementi negativi all'identificazione degli indicatori unici dei comportamenti e delle azioni di attacco.
In altre parole, l'obiettivo si sposta dall'identificazione di ciò che una cosa è, all'identificazione di ciò che la cosa fa. Anche se gli aggressori possono nascondere le loro minacce apportando lievi modifiche al malware o acquistando un nuovo dominio, le azioni e gli obiettivi di un attacco sono sempre gli stessi.
Ad esempio, praticamente ogni attacco deve stabilire una forma di comunicazione nascosta per consentire al malintenzionato di coordinare e gestire l'attacco. L'attacco deve inoltre diffondersi internamente, compromettere altri dispositivi e credenziali interne e, infine, distruggere le risorse o esfiltrare dalla rete.
Praticamente ogni attacco deve stabilire una forma di comunicazione nascosta per coordinare e gestire l'attacco.
Concentrandosi sui comportamenti di attacco, i difensori possono combattere e vincere la guerra asimmetrica della cybersicurezza spostando la matematica della sicurezza a loro favore. Invece di utilizzare migliaia di firme per individuare ogni variante di una minaccia, possono concentrarsi su poche decine di comportamenti chiave che gli aggressori devono eseguire per avere successo.
Riconoscere le minacce nel tempo
Una delle caratteristiche più riconoscibili delle moderne violazioni dei dati di rete è che si evolvono nel tempo. Questo approccio lento e poco incisivo è diventato una procedura operativa standard per gli attacchi più sofisticati, e per una buona ragione. La sicurezza tradizionale soffre di memoria a breve termine e di una forma di perfetta amnesia post violazione.
La sicurezza tradizionale soffre di memoria a breve termine e di una forma di perfetta amnesia post violazione.
Il nuovo modello di rilevamento delle minacce riconosce le minacce in tempo reale e identifica i segnali di attacco che si evolvono nel tempo. L'uno non esclude l'altro. Ad esempio, piccole anomalie temporali e cadenze all'interno di una sessione di rete possono rivelare tunnel nascosti e strumenti di accesso remoto utilizzati dagli aggressori.
Al contrario, riconoscere quando le credenziali di un dipendente sono state compromesse può richiedere l'apprendimento dei normali comportamenti dell'utente per un periodo di giorni, settimane e mesi. Anche se la scala temporale può essere molto piccola o molto lunga, in entrambi i casi è necessaria una comprensione approfondita delle minacce in relazione al tempo.
Riconoscere gli attacchi, non solo le tecniche
Per fornire valore, la sicurezza deve identificare i rischi aziendali reali per un'organizzazione e non limitarsi a fornire un elenco di avvisi. Ciò richiede che le soluzioni di sicurezza comprendano come i singoli eventi siano interconnessi e l'impatto che tali minacce hanno sugli asset di un'organizzazione.
Ciò richiede una combinazione di contesto della minaccia e contesto organizzativo. La capacità di collegare i punti tra le fasi di un attacco è proprio ciò che distingue un attacco mirato dal flusso di minacce di base che inondano le reti quotidianamente.
Rilevare le minacce con la scienza dei dati
Per soddisfare questi requisiti, le tecniche di data science e machine learning possono essere applicate direttamente al traffico di rete. Il più recente modello di rilevamento delle minacce utilizza entrambe per rivelare in modo proattivo gli attacchi nascosti all'interno di una rete.
Perché usare la scienza dei dati?
La scienza dei dati e l'apprendimento automatico sono diventate parole d'ordine nel settore, con una serie apparentemente infinita di affermazioni e applicazioni. È importante capire che si tratta semplicemente di strumenti e non di una panacea per ogni problema di sicurezza.
Per evitare il clamore del marketing, è essenziale capire esattamente cosa portano questi approcci, in che modo si differenziano da altri approcci e quali sono i loro punti di forza e di debolezza.
La scienza dei dati rappresenta un cambiamento fondamentale nella sicurezza. A differenza di un approccio basato sulle firme, che fornisce una mappatura 1 a 1 delle minacce e delle contromisure, la scienza dei dati utilizza l'apprendimento collettivo di tutte le minacce osservate in passato per identificare in modo proattivo quelle nuove che non sono state viste prima.
Pensate a uno studente che impara una nuova materia a scuola. Memorizzare le risposte di un test può portare alla sufficienza, ma questo approccio non è all'altezza quando si tratta di imparare a risolvere un problema.
A lungo termine, è essenziale capire cosa, quando, perché e come. La conoscenza e l'intelligenza reale sono molto più vantaggiose quando si valutano e si risolvono nuovi problemi mai incontrati prima.
Si tratta di una distinzione di fondamentale importanza quando si utilizza la scienza dei dati per rilevare le minacce. Perché il modello tradizionale funzioni, tutte le risposte devono essere note in anticipo. Ad esempio, il dominio ACME.com è stato visto comportarsi male in passato, quindi è cattivo.
La scienza dei dati si aspetta che vengano poste domande reali e applica l'apprendimento collettivo per valutare un'incognita.
In uno scenario diverso, ACME123.com non è mai stato visto comportarsi male in passato, ma il traffico da e verso questo dominio mostra quattro comportamenti diversi, la cui combinazione è coerente con il comportamento di un attacco command-and-control.
Dalla conoscenza collettiva delle minacce raccolte dal mondo reale, è possibile identificare il dominio come cattivo in base al suo comportamento.
L'importanza dei dati diretti e di prima mano
I modelli di scienza dei dati dipendono naturalmente dalla qualità dei dati che analizzano, e questo è particolarmente vero nel campo della cybersecurity. Per le soluzioni di cybersecurity è essenziale individuare le minacce furtive che sfuggono ai controlli tradizionali, e questo lavoro richiede un accesso diretto e di prima mano a tutto il traffico di rete.
La maggior parte degli approcci che utilizzano la scienza dei dati per rilevare le minacce eseguono il data mining su grandi database di registri di eventi. Sebbene questo approccio possa trovare correlazioni tra i registri che in precedenza non erano state rilevate, presenta alcuni limiti preoccupanti.
I log sono una fonte secondaria di dati che riassumono brevemente un evento. Le informazioni non contenute in un registro vanno perse e non sono disponibili per l'analisi. Inoltre, i registri sono validi solo quanto il sistema che li genera. Se un firewall o un dispositivo di sicurezza a monte non riesce a rilevare una minaccia, non ci sarà alcun registro da analizzare.
I limiti dei dati di log sono sconcertanti. Il ruolo di una soluzione di cybersecurity è quello di rilevare le minacce che eludono i livelli standard di difesa. Analizzare nuovamente i riepiloghi dei dispositivi che hanno già fallito nel rilevare una minaccia non è affatto logico.
Analizzare nuovamente i registri di dispositivi che non sono riusciti a rilevare una minaccia non è affatto logico.
NetFlow e altri riepiloghi di flusso soffrono di limitazioni simili. I dati di flusso monitorano e tengono traccia delle prestazioni nell'impianto idraulico della rete. Questi riepiloghi si limitano a tracciare la direzione e il volume del traffico di rete e non hanno la visibilità diretta e di prima mano necessaria per individuare una minaccia nascosta e altamente evasiva.
I modelli della scienza dei dati funzionano molto meglio se applicati a dati di qualità superiore. Anziché limitarsi a estrarre i dati da fonti errate, il nuovo modello di rilevamento delle minacce applica la scienza dei dati e l'apprendimento automatico al traffico di rete a livello di pacchetto.
Questo accesso diretto e di prima mano al traffico rappresenta uno stile completamente nuovo di rilevamento delle minacce. Invece di correlare gli eventi o di imparare semplici linee di base, il rilevamento avanzato delle minacce costruisce modelli in tempo reale che riconoscono i comportamenti del traffico dannoso.
Gli attacchi informatici si evolvono sempre. Ma mantenendo la visibilità di prima mano sul traffico, il nuovo modello di rilevamento delle minacce può sempre adattarsi per identificare nuove tecniche e strategie di attacco. Questo è un netto contrasto con i sistemi basati sui log e sui flussi, che dipendono sempre da fonti di dati a monte.
Il ruolo dell'apprendimento automatico nella scienza dei dati
La popolarità e l'interesse per la scienza dei dati e l'apprendimento automatico hanno trasformato entrambi i termini in frasi ad effetto, rendendo difficile distinguere l'uno dall'altro.
La scienza dei dati si occupa dei molti modi in cui è possibile estrarre conoscenza dai dati. La sua vasta prospettiva abbraccia un'ampia serie di discipline che includono la matematica, la statistica, l'apprendimento automatico e una serie di analisi, solo per citarne alcune.
È importante notare che l'apprendimento automatico è un sottoinsieme della scienza dei dati. Il nuovo modello di rilevamento delle minacce sfrutta anche un'ampia gamma di tecniche di scienza dei dati che includono l'apprendimento automatico supervisionato e non supervisionato, modelli euristici matematici di rilevamento, modellazione statistica e analisi comportamentale.
L'apprendimento automatico consente al software di imparare iterativamente dai dati e di adattarsi senza essere esplicitamente programmato. Nel contesto del rilevamento delle minacce, l'apprendimento automatico identifica e apprende modelli di comportamento che rivelano un attacco.
Nel contesto del rilevamento delle minacce, l'apprendimento automatico identifica e apprende modelli di comportamento che rivelano un attacco.
Apprendimento automatico supervisionato e non supervisionato
L'individuazione delle minacce richiede due tipi di serie di dati di alto livello. Il primo è un insieme globale di esperienze che indica come le minacce differiscono dal traffico normale o benigno. Il secondo è un insieme locale di esperienze che rivelano comportamenti insoliti o anomali in un particolare ambiente.
Il primo approccio rivela i comportamenti che sono sempre negativi, indipendentemente dalla rete in cui si verificano, mentre il secondo rivela le minacce in base al contesto locale. Entrambi sono fondamentali per rilevare le minacce e devono lavorare in modo cooperativo.
L'apprendimento automatico supervisionato affronta il primo approccio analizzando malware, minacce e tecniche di attacco note. È guidato da ricercatori di sicurezza e data scientist che identificano i comportamenti fondamentali post-exploit che sono coerenti tra tutte le varianti. Questa analisi alimenta poi gli algoritmi che rilevano i comportamenti dannosi sottostanti nel traffico di rete.
Sebbene l'intelligence globale sia estremamente utile, alcuni attacchi vengono rivelati solo grazie alla comprensione del contesto locale della rete target. L'apprendimento automatico non supervisionato si riferisce a modelli che riconoscono in modo proattivo ciò che è normale per una particolare rete e quando i comportamenti si discostano da tale norma.
Entrambi gli stili di apprendimento automatico sono essenziali e lavorano insieme per rilevare le minacce nascoste. Allo stesso modo, entrambi gli stili supportano algoritmi di rilevamento basati su informazioni osservate per lunghi periodi di tempo.
Invece di rilevare in pochi millisecondi sulla base di un singolo pacchetto o flusso di dati, il nuovo modello di rilevamento delle minacce apprende e identifica i modelli di comportamento degli attacchi su periodi che vanno dai secondi alle settimane.
Conclusione
Il modello di rilevamento delle minacce più recente e avanzato combina un'ampia gamma di tecniche di intelligence e di rilevamento leader del settore per individuare le minacce da tutte le angolazioni in tempo reale. Rappresenta una nuova metodologia di rilevamento, più efficace e altamente competente, che sfrutta la scienza dei dati per individuare le minacce che non vengono rilevate dai modelli di sicurezza tradizionali.
Fiducia da parte di esperti e aziende di tutto il mondo
