In questo contesto, gli hacker godono di un enorme vantaggio rispetto ai tradizionali prodotti di sicurezza basati sulla prevenzione. Sebbene gli strumenti e le tecniche di prevenzione siano oggi ampiamente utilizzati, i criminali informatici riescono regolarmente a eluderli ricorrendo a metodi di attacco complessi e ingegnosamente concepiti.
Gli attacchi informatici non sono più semplici azioni di rapina mosse da malware preprogrammato. Sono invece orchestrati da persone altamente qualificate, creative e intelligenti. Il coordinamento costante consente all'autore dell'attacco di acquisire progressivamente maggiori informazioni sulla rete bersaglio, adattarsi alle misure difensive e far progredire l'attacco nel tempo.
Mentre gli attacchi hanno fatto un balzo in avanti in termini di complessità, le difese di sicurezza non hanno tenuto il passo. Le difese sono sopraffatte dal tentativo di individuare le minacce utilizzando firme basate sul riconoscimento rapido di modelli di minacce e malware noti.
Man mano che le minacce sono diventate più sofisticate e sofisticate nel corso del tempo, la sicurezza tradizionale continua a basarsi su valutazioni affrettate fondate su informazioni incomplete.
La sicurezza tradizionale continua a basarsi su valutazioni affrettate fondate su informazioni incomplete.
Oggi, questo squilibrio offre agli hacker un vantaggio significativo. Per stare al passo, le organizzazioni hanno bisogno di un approccio più intelligente alla sicurezza: una nuova generazione di soluzioni in grado di apprendere, evolversi e ragionare.
Il presente documento illustra i requisiti di una nuova metodologia che identifica le minacce sulla base delle esperienze passate e del contesto locale, per poi collegare gli eventi nel tempo al fine di rivelare l'evoluzione di un attacco.
La sfida della firma
I sistemi di difesa hanno cercato di stare al passo con i tempi utilizzando un numero sempre maggiore di firme e distribuendole con sempre maggiore rapidità. Le firme costituiscono il fondamento della tecnologia di sicurezza tradizionale e sono progettate per identificare vulnerabilità, URL dannosi e malware noti.
Le firme consentono di identificare e bloccare rapidamente le minacce note su larga scala. Tuttavia, il loro punto debole è che sono intrinsecamente riduttive: riducono una minaccia nota alla sua impronta digitale più semplice per fornire una risposta univoca (sì o no) in pochi microsecondi, evitando così di rallentare il flusso del traffico delle applicazioni.
Questa tendenza a concentrarsi esclusivamente su risposte immediate e semplici ha favorito gli hacker disposti ad adattarsi. Le firme funzionano solo identificando una minaccia già nota, e gli hacker hanno imparato a eluderle ricorrendo a minacce nuove e sconosciute.
Ciò significa che ogni organizzazione avrebbe bisogno di un insieme unico di firme per proteggersi – un requisito che non è scalabile. Ma se un hacker ricorre a una minaccia sconosciuta, o zero-day, non potrebbe esistere alcuna firma in grado di rilevarla. L'importanza e la facilità di aggirare le firme non sono sfuggite agli hacker.
Sebbene gli hacker riescano a stare un passo avanti rispetto alle firme antivirus, è proprio la persistenza dell’attacco in corso ad aver davvero ribaltato la situazione. Una volta compromesse le difese esterne di un’organizzazione, gli hacker possono infiltrarsi nella rete, spiare progressivamente e espandersi sempre più in profondità fino a individuare risorse di alto valore da rubare o distruggere.
Questo processo coinvolge solitamente più host compromessi, una varietà di strumenti e malware, nonché il furto e l'uso improprio di credenziali utente valide. Il punto fondamentale è che la minaccia stessa è in continua evoluzione, mentre gli autori degli attacchi perfezionano le loro operazioni e si adattano nel tempo.
La minaccia continua a persistere, mentre gli autori degli attacchi evolvono le loro operazioni e si adattano nel tempo.
La natura riduttiva delle firme che identificano le minacce a livello atomico si rivela particolarmente inadeguata a riconoscere i processi chimici più complessi che si svolgono intorno ad esse. È proprio questa lacuna informativa a rendere così fondamentale un nuovo modello di sicurezza per il rilevamento delle minacce.
Il nuovo modello di rilevamento delle minacce
Il modello di rilevamento delle minacce più recente e avanzato non si limita semplicemente a colmare le lacune delle tecnologie di sicurezza tradizionali. Esso annulla il vantaggio strategico di cui gli hacker hanno goduto per troppo tempo.
Rilevamenti a grana grossa con una lunga durata
I sistemi di rilevamento che utilizzano le firme tradizionali diventano obsoleti quando gli hacker si adattano spostandosi su un nuovo dominio o modificando leggermente malware già noto, malware le firme non lo riconoscano più. Ciò conferisce loro un vantaggio competitivo, per cui anche le modifiche più banali consentono agli hacker di mantenere un netto vantaggio sui difensori.
Uno degli obiettivi principali del nuovo modello di rilevamento delle minacce è quello di fornire rilevamenti che rimangano validi per lunghi periodi di tempo. Ciò richiede il passaggio dall'identificazione di ogni singola istanza di una minaccia al riconoscimento delle caratteristiche fondamentali dell'attacco che tutte le minacce hanno in comune.
Se applicati al traffico a livello di pacchetto, la scienza dei dati e l'apprendimento automatico diventano strumenti estremamente potenti per identificare le caratteristiche fondamentali che distinguono le minacce dal traffico normale.
Concentrarsi sulle azioni e sui comportamenti dell'aggressore
I modelli di rilevamento tradizionali cercano di individuare frammenti di codice di exploit, campioni noti di malware domini dannosi. Ciò comporta un compito arduo, che consiste nell'individuare e identificare costantemente un numero infinito di casi di attività dannose. Si tratta di un compito senza fine e gli autori degli attacchi mantengono sempre un vantaggio, ricorrendo a nuovi exploit.
Per rompere questo circolo vizioso, il nuovo modello di rilevamento delle minacce sposta l'attenzione dal tentativo di elencare tutte le possibili minacce all'identificazione degli indicatori specifici dei comportamenti e delle azioni di attacco.
In altre parole, l'obiettivo non è più quello di identificare la natura di un oggetto, ma di capire cosa fa. Sebbene gli hacker possano nascondere le loro minacce apportando lievi modifiche al malware acquistando un nuovo dominio, le azioni e gli obiettivi di un attacco rimangono sempre gli stessi.
Ad esempio, praticamente ogni attacco deve stabilire una qualche forma di comunicazione nascosta affinché l'autore dell'attacco possa coordinare e gestire l'operazione. L'attacco deve inoltre diffondersi all'interno dell'organizzazione, compromettere ulteriori dispositivi e credenziali interne e, infine, distruggere le risorse o sottrarle dalla rete.
Praticamente ogni attacco deve stabilire una qualche forma di comunicazione nascosta per poter coordinare e gestire l'attacco stesso.
Concentrandosi sui comportamenti degli attacchi, i difensori possono combattere e vincere la guerra asimmetrica della sicurezza informatica, riportando i rapporti di forza a loro favore. Anziché ricorrere a migliaia di firme per individuare ogni variante di una minaccia, possono concentrarsi su poche decine di comportamenti chiave che gli aggressori devono mettere in atto per avere successo.
Individuare le minacce nel tempo
Una delle caratteristiche più evidenti delle moderne violazioni dei dati di rete è che si evolvono nel tempo. Questo approccio graduale e protratto nel tempo è diventato la prassi standard per gli attacchi sofisticati, e a ragione. La sicurezza tradizionale soffre di una memoria a breve termine e di una sorta di amnesia totale una volta verificatasi la violazione.
La sicurezza tradizionale soffre di una memoria a breve termine e di una sorta di amnesia totale dopo una violazione.
Il nuovo modello di rilevamento delle minacce individua le minacce in tempo reale e identifica i segnali di attacco che si evolvono nel tempo. L'una cosa non esclude l'altra. Ad esempio, piccole anomalie temporali e variazioni di cadenza all'interno di una sessione di rete possono rivelare tunnel nascosti e strumenti di accesso remoto utilizzati dagli aggressori.
Al contrario, per capire quando le credenziali di un dipendente sono state compromesse può essere necessario osservare i suoi comportamenti abituali nell'arco di giorni, settimane o mesi. Sebbene il lasso di tempo possa essere molto breve o molto lungo, in entrambi i casi è necessaria una profonda comprensione delle minacce in relazione al fattore tempo.
Riconoscere gli attacchi, non solo le tecniche
Per offrire un valore aggiunto, la sicurezza deve individuare i rischi aziendali reali per un'organizzazione e non limitarsi a fornire un elenco di avvisi. Ciò richiede che le soluzioni di sicurezza siano in grado di comprendere come i singoli eventi siano interconnessi e quale impatto tali minacce abbiano sulle risorse dell'organizzazione.
Ciò richiede una combinazione tra il contesto delle minacce e quello organizzativo. La capacità di collegare tra loro le diverse fasi di un attacco è proprio ciò che distingue un attacco mirato dal flusso di minacce generiche che inondano quotidianamente le reti.
Individuare le minacce grazie alla scienza dei dati
Per soddisfare tali requisiti, è possibile applicare direttamente al traffico di rete le tecniche di data science e di machine learning. Il più recente modello di rilevamento delle minacce utilizza entrambe queste tecniche per individuare in modo proattivo gli attacchi nascosti all'interno di una rete.
Perché ricorrere alla scienza dei dati?
La scienza dei dati e l'apprendimento automatico sono diventati termini di moda nel settore, con una serie apparentemente infinita di promesse e applicazioni. È importante comprendere che si tratta semplicemente di strumenti e non di una panacea per ogni problema di sicurezza.
Per evitare il clamore pubblicitario, è fondamentale capire esattamente cosa offrono questi approcci, in che modo si differenziano dagli altri e quali sono i loro punti di forza e di debolezza.
La scienza dei dati rappresenta un cambiamento epocale nel campo della sicurezza. A differenza di un approccio basato sulle firme, che prevede una corrispondenza biunivoca tra minacce e contromisure, la scienza dei dati si avvale dell'apprendimento collettivo derivante da tutte le minacce osservate in passato per identificare in modo proattivo quelle nuove, mai rilevate prima.
Immaginatelo come uno studente che impara una nuova materia a scuola. Memorizzare le risposte di un compito in classe può consentire di ottenere una sufficienza, ma questo approccio non è efficace quando si tratta di imparare a risolvere un problema.
Nel lungo periodo, è fondamentale capire cosa, quando, perché e come. La conoscenza concreta e l'intelligenza sono di gran lunga più utili quando si tratta di valutare e risolvere nuovi problemi che non si sono mai presentati prima.
Si tratta di una distinzione di fondamentale importanza quando si utilizza la scienza dei dati per individuare le minacce. Affinché il modello tradizionale funzioni, tutte le risposte devono essere note in anticipo. Ad esempio, il dominio ACME.com ha mostrato comportamenti sospetti in passato, pertanto è considerato dannoso.
La scienza dei dati si aspetta che le vengano poste domande concrete e applica l'apprendimento collettivo per valutare l'ignoto.
In un altro scenario, ACME123.com non ha mai dato segni di comportamento anomalo in passato, ma il traffico da e verso questo dominio mostra quattro diversi modelli comportamentali, la cui combinazione è compatibile con il comportamento tipico di un attacco di tipo "command-and-control".
Grazie alle informazioni collettive sulle minacce raccolte nel mondo reale, è possibile identificare il dominio come dannoso sulla base del suo comportamento.
L'importanza dei dati diretti e di prima mano
I modelli di data science dipendono naturalmente dalla qualità dei dati che analizzano, e ciò è particolarmente vero nel campo della sicurezza informatica. Per le soluzioni di sicurezza informatica è fondamentale individuare le minacce nascoste che riescono a eludere i controlli tradizionali, e questo compito richiede un accesso diretto e in tempo reale a tutto il traffico di rete.
La stragrande maggioranza degli approcci che utilizzano la scienza dei dati per individuare le minacce si basa sull'estrazione di dati da grandi database di registri di eventi. Sebbene questo approccio possa individuare correlazioni tra i registri che in precedenza erano sfuggite, presenta alcuni limiti preoccupanti.
I log sono una fonte secondaria di dati che riassumono brevemente un evento. Le informazioni che non sono contenute in un log vanno perse e non sono disponibili per l'analisi. Inoltre, l'affidabilità dei log dipende interamente dal sistema che li genera. Se un firewall o un dispositivo di sicurezza a monte non riesce a rilevare una minaccia, non ci sarà alcun log da analizzare.
I limiti dei dati di log sono preoccupanti. Il ruolo di una soluzione di sicurezza informatica è quello di individuare le minacce che eludono i livelli di difesa standard. Rianalizzare i dati di riepilogo provenienti da dispositivi che non sono già riusciti a individuare una minaccia non è affatto logico.
Rianalizzare i registri dei dispositivi che non sono riusciti a rilevare una minaccia non ha molto senso.
NetFlow e altri riepiloghi dei flussi presentano limitazioni simili. I dati sui flussi monitorano e tracciano le prestazioni dell'infrastruttura di rete. Questi riepiloghi si limitano a tracciare la direzione e il volume del traffico di rete e non offrono la visibilità diretta e in prima persona necessaria per individuare una minaccia nascosta e altamente elusiva.
I modelli di data science offrono prestazioni nettamente migliori se applicati a dati di qualità superiore. Anziché limitarsi a estrarre dati da fonti inaffidabili, il nuovo modello di rilevamento delle minacce applica la data science e l'apprendimento automatico al traffico di rete a livello di pacchetto.
Questo accesso diretto e in prima persona al traffico rappresenta un approccio completamente nuovo al rilevamento delle minacce. Anziché correlare gli eventi o apprendere semplici modelli di riferimento, il rilevamento avanzato delle minacce crea modelli in tempo reale in grado di riconoscere i comportamenti del traffico dannoso.
Gli attacchi informatici sono in continua evoluzione. Tuttavia, grazie alla visibilità diretta sul traffico, il nuovo modello di rilevamento delle minacce è in grado di adattarsi costantemente per identificare nuove tecniche e strategie di attacco. Ciò rappresenta un netto contrasto rispetto ai sistemi basati su log e flussi, che dipendono sempre da fonti di dati a monte.
Il ruolo dell'apprendimento automatico nella scienza dei dati
La popolarità e l'interesse per la scienza dei dati e l'apprendimento automatico hanno trasformato entrambi i termini in slogan alla moda, rendendo difficile distinguerli l'uno dall'altro.
La scienza dei dati si occupa in generale dei molteplici modi in cui è possibile ricavare conoscenze dai dati. La sua prospettiva di ampio respiro abbraccia una vasta gamma di discipline, tra cui la matematica, la statistica, l'apprendimento automatico e una varietà di tecniche analitiche, solo per citarne alcune.
È importante sottolineare che l'apprendimento automatico è un sottoinsieme della scienza dei dati. Il nuovo modello di rilevamento delle minacce si avvale inoltre di un'ampia gamma di tecniche di scienza dei dati, tra cui l'apprendimento automatico supervisionato e non supervisionato, modelli euristici matematici di rilevamento, modellizzazione statistica e analisi comportamentale.
L'apprendimento automatico consente al software di apprendere in modo iterativo dai dati e di adattarsi senza essere esplicitamente programmato. Nel contesto dell'individuazione delle minacce, l'apprendimento automatico identifica e apprende modelli comportamentali che rivelano un attacco.
Nel contesto dell'individuazione delle minacce, l'apprendimento automatico identifica e apprende modelli comportamentali che rivelano un attacco.
Apprendimento automatico supervisionato e non supervisionato
Per individuare le minacce sono necessari due tipi di set di dati di alto livello. Il primo è un insieme globale di dati che indica in che modo le minacce si differenziano dal traffico normale o innocuo. Il secondo è un insieme locale di dati che rivela comportamenti insoliti o anomali in un determinato ambiente.
Il primo approccio individua comportamenti che sono sempre dannosi, indipendentemente dalla rete in cui si verificano, mentre il secondo individua le minacce in base al contesto locale. Entrambi sono fondamentali per individuare le minacce e devono operare in modo coordinato.
L'apprendimento automatico supervisionato affronta il primo approccio analizzando malware, minacce e tecniche di attacco già noti. È guidato da ricercatori nel campo della sicurezza e da data scientist che identificano i comportamenti fondamentali successivi all'esploit, comuni a tutte le varianti. Questa analisi alimenta poi gli algoritmi che rilevano i comportamenti dannosi sottostanti nel traffico di rete.
Sebbene le informazioni globali siano estremamente utili, alcuni attacchi possono essere individuati solo sulla base della comprensione del contesto locale della rete di destinazione. L'apprendimento automatico non supervisionato si riferisce a modelli in grado di riconoscere in modo proattivo quali siano i comportamenti normali per una determinata rete e quando questi si discostino da tale norma.
Entrambe le tipologie di apprendimento automatico sono fondamentali e collaborano per individuare le minacce nascoste. Allo stesso modo, entrambe supportano algoritmi di rilevamento basati su informazioni raccolte nel corso di lunghi periodi di tempo.
Anziché rilevare le minacce in pochi millisecondi sulla base di un singolo pacchetto o flusso di dati, il nuovo modello di rilevamento delle minacce apprende e identifica i modelli comportamentali degli attacchi su periodi che vanno da pochi secondi a diverse settimane.
Conclusione
Il modello di rilevamento delle minacce più recente e avanzato combina un'ampia gamma di tecniche di intelligence e rilevamento all'avanguardia nel settore per individuare le minacce da ogni angolazione in tempo reale. Si tratta di una metodologia di rilevamento innovativa, più efficace e altamente efficiente che sfrutta la scienza dei dati per individuare le minacce che sfuggono ai modelli di sicurezza tradizionali.
