Ignorare il divario nella sicurezza informatica
All'interno di questa lacuna, gli aggressori hanno un enorme vantaggio rispetto ai tradizionali prodotti di sicurezza basati sulla prevenzione. Sebbene gli strumenti e le tecniche di prevenzione siano oggi ampiamente utilizzati, i criminali informatici riescono regolarmente a superarli utilizzando metodi di attacco complessi e intelligenti.
Gli attacchi informatici non sono più semplici operazioni di furto guidate da malware preprogrammati. Sono controllati da esseri umani altamente qualificati, creativi e intelligenti. Il coordinamento continuo consente a un aggressore umano di apprendere progressivamente maggiori informazioni sulla rete bersaglio, adattarsi a qualsiasi misura difensiva e portare avanti l'attacco nel tempo.
Mentre gli attacchi hanno compiuto un salto evolutivo in termini di complessità, le difese di sicurezza non hanno fatto altrettanto. Le difese sono sopraffatte dal tentativo di individuare le minacce utilizzando firme di pattern matching veloci di minacce e malware noti.
Con l'evolversi delle minacce, che sono diventate più intelligenti e sofisticate nel tempo, la sicurezza tradizionale continua a dipendere da valutazioni affrettate basate su informazioni incomplete.
La sicurezza tradizionale continua a dipendere da valutazioni affrettate basate su informazioni incomplete.
Oggi questo squilibrio offre agli aggressori un vantaggio significativo. Per stare al passo, le organizzazioni hanno bisogno di un approccio più intelligente alla sicurezza: una nuova classe di sicurezza in grado di apprendere, evolversi e pensare.
Questo documento illustra i requisiti di una nuova metodologia che identifica le minacce sulla base delle conoscenze acquisite in passato e del contesto locale, collegando poi gli eventi nel tempo per rivelare la progressione di un attacco.
La sfida della firma
Le difese di sicurezza hanno cercato di stare al passo utilizzando un numero sempre maggiore di firme e fornendole in modo sempre più rapido. Le firme sono alla base della tecnologia di sicurezza tradizionale e vengono scritte per identificare exploit, URL dannosi e malware noti.
Le firme consentono di identificare e bloccare rapidamente minacce note su larga scala. Tuttavia, il loro punto debole è che sono intrinsecamente riduttive: riducono una minaccia nota alla sua impronta digitale più semplice per fornire una risposta sì o no in pochi microsecondi ed evitare di rallentare il flusso del traffico delle applicazioni.
Questa attenzione riduttiva alle risposte immediate e semplici ha creato un vantaggio per gli aggressori disposti ad adattarsi. Le firme funzionano solo identificando una minaccia nota, e gli aggressori hanno imparato a eluderle utilizzando minacce nuove e sconosciute.
Il rapporto Verizon Data Breach Investigation Report 2015 illustra questa tendenza in modo molto dettagliato, indicando che il 70-90% del malware nelle violazioni dei dati era specifico dell'organizzazione che è stata infettata.
Ciò significa che ogni organizzazione avrebbe bisogno di una serie unica di firme per proteggersi, un requisito che non è scalabile. Ma se un aggressore utilizza una minaccia sconosciuta, o zero-day, non potrebbe esistere alcuna firma in grado di rilevarla. L'importanza e la facilità di eludere le firme non è sfuggita agli aggressori.
Sebbene gli aggressori siano in grado di stare al passo con le firme, è la persistenza dell'attacco in corso che ha davvero ribaltato la situazione. Una volta compromesse le difese esterne di un'organizzazione, gli aggressori possono mimetizzarsi nella rete, spiare progressivamente e diffondersi più in profondità fino a trovare risorse di alto valore da rubare o distruggere.
Questo processo coinvolge solitamente più host compromessi, una varietà di strumenti e malware, nonché il furto e l'uso improprio di credenziali utente valide. Il punto importante è che la minaccia stessa è continua, mentre gli aggressori evolvono le loro operazioni e si adattano nel tempo.
La minaccia è continua, mentre gli aggressori evolvono le loro operazioni e si adattano nel tempo.
La natura riduttiva delle firme che identificano le minacce a livello atomico è particolarmente inadeguata per riconoscere le reazioni chimiche più complesse che avvengono intorno a esse. Questo divario di intelligence è proprio il motivo per cui un nuovo modello di sicurezza per il rilevamento delle minacce è così fondamentale.
Il nuovo modello di rilevamento delle minacce
Il modello di rilevamento delle minacce più recente e avanzato non si limita a colmare le lacune delle tecnologie di sicurezza tradizionali. Elimina il vantaggio strategico di cui gli aggressori hanno goduto per troppo tempo.
Rilevamenti grossolani con una lunga durata di conservazione
I rilevamenti che utilizzano firme tradizionali diventano obsoleti quando gli aggressori si adattano passando a un nuovo dominio o aggiungendo alcuni bit al malware noto, malware le firme non corrispondano più. Ciò conferisce loro un vantaggio competitivo, in quanto anche le modifiche più banali consentono agli aggressori di essere sempre diversi passi avanti rispetto ai difensori.
Uno degli obiettivi principali del nuovo modello di rilevamento delle minacce è quello di fornire rilevamenti che rimangano validi per lunghi periodi di tempo. Ciò richiede il passaggio dal rilevamento delle impronte digitali di ogni singola istanza di una minaccia al riconoscimento delle caratteristiche fondamentali di attacco che ogni minaccia ha in comune.
Quando applicati al traffico a livello di pacchetto, la scienza dei dati e l'apprendimento automatico diventano strumenti estremamente potenti per identificare le caratteristiche fondamentali che distinguono le minacce dal traffico normale.
Concentrati sulle azioni e sui comportamenti degli aggressori
I modelli di rilevamento tradizionali cercano di individuare frammenti di codice exploit, campioni noti di malware domini dannosi. Ciò comporta il compito arduo di individuare e identificare costantemente un numero infinito di eventi dannosi. Si tratta di un'attività senza fine e gli aggressori sono sempre un passo avanti grazie all'utilizzo di nuovi exploit.
Per rompere questo circolo vizioso, il nuovo modello di rilevamento delle minacce sposta l'attenzione dal tentativo di individuare tutte le possibili minacce all'identificazione degli indicatori univoci dei comportamenti e delle azioni di attacco.
In altre parole, l'obiettivo passa dall'identificare cosa è una cosa all'identificare cosa fa quella cosa. Sebbene gli aggressori possano nascondere le loro minacce apportando lievi modifiche al malware acquistando un nuovo dominio, le azioni e gli obiettivi di un attacco sono sempre gli stessi.
Ad esempio, praticamente ogni attacco deve stabilire una qualche forma di comunicazione nascosta affinché il malintenzionato possa coordinare e gestire l'attacco. L'attacco deve anche diffondersi internamente, compromettere più dispositivi e credenziali interni e, infine, distruggere le risorse o sottrarle dalla rete.
Praticamente ogni attacco deve stabilire una qualche forma di comunicazione nascosta per coordinare e gestire l'attacco.
Concentrandosi sui comportamenti degli attacchi, i difensori possono combattere e vincere la guerra asimmetrica della sicurezza informatica, riportando i calcoli della sicurezza a loro favore. Invece di utilizzare migliaia di firme per individuare ogni variante di una minaccia, possono concentrarsi su poche decine di comportamenti chiave che gli aggressori devono mettere in atto per avere successo.
Riconoscere le minacce nel tempo
Una delle caratteristiche più riconoscibili delle moderne violazioni dei dati di rete è che si evolvono nel tempo. Questo approccio graduale e lento è diventato la procedura operativa standard per gli attacchi sofisticati, e per una buona ragione. La sicurezza tradizionale soffre di memoria a breve termine e di una forma di amnesia totale dopo la violazione.
La sicurezza tradizionale soffre di memoria a breve termine e di una forma di amnesia totale dopo la violazione.
Il nuovo modello di rilevamento delle minacce riconosce le minacce in tempo reale e identifica i segni di attacco che si evolvono nel tempo. L'uno non esclude l'altro. Ad esempio, piccole anomalie di temporizzazione e cadenze all'interno di una sessione di rete possono rivelare tunnel nascosti e strumenti di accesso remoto utilizzati dagli aggressori.
Al contrario, riconoscere quando le credenziali di un dipendente sono state compromesse può richiedere l'apprendimento dei comportamenti normali dell'utente nell'arco di giorni, settimane e mesi. Sebbene il lasso di tempo possa essere molto breve o molto lungo, entrambi i casi richiedono una profonda comprensione delle minacce in relazione al tempo.
Riconoscere gli attacchi, non solo le tecniche
Per fornire valore aggiunto, la sicurezza deve identificare i rischi aziendali reali per un'organizzazione e non limitarsi a fornire un elenco di avvisi. Ciò richiede che le soluzioni di sicurezza comprendano come i singoli eventi siano interconnessi e l'impatto che tali minacce hanno sulle risorse di un'organizzazione.
Ciò richiede una combinazione di contesto delle minacce e contesto organizzativo. La capacità di collegare i punti tra le fasi di un attacco è proprio ciò che distingue un attacco mirato dal flusso di minacce comuni che inondano quotidianamente le reti.
Rilevare le minacce con la scienza dei dati
Per soddisfare questi requisiti, è possibile applicare direttamente al traffico di rete le tecniche di data science e machine learning. Il nuovissimo modello di rilevamento delle minacce utilizza entrambe queste tecniche per rivelare in modo proattivo gli attacchi nascosti all'interno di una rete.
Perché utilizzare la scienza dei dati?
La scienza dei dati e l'apprendimento automatico sono diventati parole d'ordine nel settore, con una serie apparentemente infinita di affermazioni e applicazioni. È importante comprendere che si tratta semplicemente di strumenti e non di una panacea per tutti i problemi di sicurezza.
Per evitare il clamore pubblicitario, è essenziale comprendere esattamente cosa offrono questi approcci, in che modo si differenziano dagli altri approcci e quali sono i loro punti di forza e di debolezza.
La scienza dei dati rappresenta un cambiamento fondamentale nella sicurezza. A differenza di un approccio basato sulle firme che fornisce una mappatura 1 a 1 delle minacce alle contromisure, la scienza dei dati utilizza l'apprendimento collettivo di tutte le minacce osservate in passato per identificare in modo proattivo quelle nuove che non sono state ancora individuate.
Pensate a uno studente che apprende una nuova materia a scuola. Memorizzare le risposte di un test potrebbe consentirgli di superare l'esame, ma questo approccio non è efficace quando si tratta di imparare a risolvere un problema.
A lungo termine, è essenziale capire cosa, quando, perché e come. La conoscenza e l'intelligenza effettive sono molto più vantaggiose quando si valutano e risolvono nuovi problemi che non si sono mai presentati prima.
Si tratta di una distinzione di fondamentale importanza quando si utilizza la scienza dei dati per individuare le minacce. Affinché il modello tradizionale funzioni, tutte le risposte devono essere note in anticipo. Ad esempio, il dominio ACME.com ha mostrato comportamenti scorretti in passato, quindi è considerato dannoso.
La scienza dei dati si aspetta che le vengano poste domande concrete e applica l'apprendimento collettivo per valutare un'incognita.
In uno scenario diverso, ACME123.com non ha mai mostrato comportamenti anomali in passato, ma il traffico da e verso questo dominio mostra quattro comportamenti diversi, la cui combinazione è coerente con il comportamento di un attacco di tipo command-and-control.
Grazie alle conoscenze collettive sulle minacce raccolte dal mondo reale, è possibile identificare il dominio come dannoso in base al suo comportamento.
L'importanza dei dati diretti e di prima mano
I modelli di scienza dei dati dipendono naturalmente dalla qualità dei dati che analizzano, e questo è particolarmente vero nel campo della sicurezza informatica. È essenziale che le soluzioni di sicurezza informatica individuino le minacce nascoste che eludono i controlli tradizionali, e questo compito richiede un accesso diretto e immediato a tutto il traffico di rete.
La stragrande maggioranza degli approcci che utilizzano la scienza dei dati per rilevare le minacce eseguono il data mining su grandi database di registri degli eventi. Sebbene questo approccio possa individuare correlazioni tra i registri che in precedenza erano sfuggite, presenta alcune limitazioni preoccupanti.
I log sono una fonte secondaria di dati che riassumono brevemente un evento. Le informazioni che non sono presenti in un log vanno perse e non sono disponibili per l'analisi. Inoltre, i log sono efficaci solo quanto il sistema che li genera. Se un firewall o un dispositivo di sicurezza a monte non riesce a rilevare una minaccia, non ci sarà alcun log da analizzare.
I limiti dei dati di log sono sconcertanti. Il ruolo di una soluzione di sicurezza informatica è quello di rilevare le minacce che eludono i livelli di difesa standard. Rianalizzare i riepiloghi dei dispositivi che non sono già riusciti a rilevare una minaccia è poco logico.
Rianalizzare i registri dei dispositivi che non sono riusciti a rilevare una minaccia non è affatto logico.
NetFlow e altri riepiloghi di flusso presentano limitazioni simili. I dati di flusso monitorano e tracciano le prestazioni nell'infrastruttura di rete. Questi riepiloghi si limitano a tracciare la direzione e il volume del traffico di rete e non offrono la visibilità diretta e immediata necessaria per individuare minacce nascoste e altamente evasive.
I modelli di data science funzionano molto meglio quando vengono applicati a dati di qualità superiore. Anziché limitarsi a estrarre dati da fonti imperfette, il nuovo modello di rilevamento delle minacce applica la data science e l'apprendimento automatico al traffico di rete a livello di pacchetto.
Questo accesso diretto e immediato al traffico rappresenta uno stile completamente nuovo di rilevamento delle minacce. Anziché correlare gli eventi o apprendere semplici linee di base, il rilevamento avanzato delle minacce crea modelli in tempo reale che riconoscono i comportamenti del traffico dannoso.
Gli attacchi informatici sono in continua evoluzione. Tuttavia, mantenendo una visibilità diretta sul traffico, il nuovo modello di rilevamento delle minacce è in grado di adattarsi costantemente per identificare nuove tecniche e strategie di attacco. Ciò è in netto contrasto con i sistemi basati su log e flussi, che dipendono sempre da fonti di dati a monte.
Il ruolo dell'apprendimento automatico nella scienza dei dati
La popolarità e l'interesse per la scienza dei dati e l'apprendimento automatico hanno trasformato entrambi i termini in slogan accattivanti, rendendo difficile distinguerli l'uno dall'altro.
La scienza dei dati si occupa in modo approfondito dei molti modi in cui è possibile estrarre conoscenza dai dati. La sua prospettiva di ampio respiro abbraccia una vasta gamma di discipline che includono matematica, statistica, apprendimento automatico e una varietà di analisi, solo per citarne alcune.
È importante sottolineare che l'apprendimento automatico è un sottoinsieme della scienza dei dati. Il nuovo modello di rilevamento delle minacce sfrutta anche un'ampia gamma di tecniche di scienza dei dati che includono l'apprendimento automatico supervisionato e non supervisionato, modelli euristici matematici di rilevamento, modellizzazione statistica e analisi comportamentale.
L'apprendimento automatico consente al software di apprendere in modo iterativo dai dati e di adattarsi senza essere esplicitamente programmato. Nel contesto del rilevamento delle minacce, l'apprendimento automatico identifica e apprende i modelli di comportamento che rivelano un attacco.
Nel contesto del rilevamento delle minacce, l'apprendimento automatico identifica e apprende modelli di comportamento che rivelano un attacco.
Apprendimento automatico supervisionato e non supervisionato
Il rilevamento delle minacce richiede due tipi di set di dati di alto livello. Il primo è un insieme globale di esperienze che indica in che modo le minacce differiscono dal traffico normale o benigno. Il secondo è un insieme locale di esperienze che rivelano comportamenti insoliti o anomali in un ambiente particolare.
Il primo approccio rivela comportamenti che sono sempre dannosi, indipendentemente dalla rete in cui si verificano, mentre il secondo rivela minacce basate sul contesto locale. Entrambi sono fondamentali per rilevare le minacce e devono funzionare in modo cooperativo.
L'apprendimento automatico supervisionato affronta il primo approccio analizzando malware, minacce e tecniche di attacco noti. È guidato da ricercatori nel campo della sicurezza e data scientist che identificano comportamenti post-exploit fondamentali comuni a tutte le varianti. Questa analisi alimenta poi algoritmi che rilevano comportamenti dannosi sottostanti nel traffico di rete.
Sebbene l'intelligence globale sia estremamente utile, alcuni attacchi vengono rivelati solo sulla base della comprensione del contesto locale della rete bersaglio. L'apprendimento automatico non supervisionato si riferisce a modelli che riconoscono in modo proattivo ciò che è normale per una particolare rete e quando i comportamenti si discostano da tale norma.
Entrambi gli stili di apprendimento automatico sono essenziali e collaborano per rilevare minacce nascoste. Allo stesso modo, entrambi gli stili supportano algoritmi di rilevamento basati su informazioni osservate per periodi di tempo prolungati.
Anziché rilevare in pochi millisecondi sulla base di un singolo pacchetto o flusso di dati, il nuovo modello di rilevamento delle minacce apprende e identifica i modelli di comportamento degli attacchi in periodi che vanno da pochi secondi a settimane.
Conclusione
Il modello di rilevamento delle minacce più recente e avanzato combina un'ampia gamma di tecniche di intelligence e rilevamento leader del settore per individuare le minacce da tutte le angolazioni in tempo reale. Rappresenta una metodologia di rilevamento nuova, più efficace e altamente efficiente che sfrutta la scienza dei dati per rilevare le minacce che sfuggono ai modelli di sicurezza tradizionali.
Apprezzato da esperti e aziende in tutto il mondo
