Cyber-paleontologia: incredibile, vero? E i risultati ancora di più

5 Ott 2018

Ciao a tutti!

Iniziamo parafrasando un postulato filosofico piuttosto conosciuto: “È la professione degli uomini a determinare il loro essere sociale o è il loro essere sociale a determinare la loro professione?” Sembra che questa domanda (per meglio dire, il quesito originale) sia oggetto di acceso dibattito da oltre 150 anni. E, grazie alla nascita e alla diffusione di Internet, questo dibattito continuerà a esistere per altri 150 anni e oltre. Dal punto di vista personale, non ho uno schieramento preciso, anzi, per esperienza personale, opto per un dualismo tra professione ed esistenza, dal momento che un fattore influisce sull’altro, in tanti modi e in maniera costante.

Verso la fine degli anni Ottanta, è nata la virologia informatica in risposta alla crescente proliferazione di programmi dannosi. Avanzando velocemente di trent’anni, la virologia si è evoluta (o, per meglio dire, si è unita ad altri campi relazionati) in industria della cybersicurezza, che spesso influisce sullo sviluppo dell’esistenza Information Technology: grazie alla concorrenza inevitabile, sopravvivono quelle tecnologie dotate della miglior protezione.

Nei trent’anni trascorsi dagli anni Ottanta, noi in quanto aziende antivirus abbiamo ricevuto soprannomi di qualsiasi tipo, a volte anche abbastanza sgradevoli. Ma, secondo la mia umile opinione, il più accurato in questi ultimi anni è sicuramente quello di cyber paleontologi.

Il nostro settore ha imparato a combattere epidemie di massa, sia in modo proattivo (abbiamo protetto gli utenti, ad esempio, dalle grandi epidemie degli ultimi anni, WannaCry ed ExPetr) o come reazione a un evento (mediante l’analisi di minacce con dati su cloud e i tempestivi aggiornamenti). Tuttavia, quando si tratta di attacchi mirati, c’è ancora moltissima strada da fare per l’intero nostro settore: solo poche aziende hanno la maturità tecnica necessaria (e le risorse) per poter gestire questi attacchi e se aggiungiamo un incrollabile impegno a contrastare qualsiasi cybercriminale, indipendentemente da dove provenga o dalle sue motivazioni, allora rimane solo un’azienda in gioco, Kaspersky Lab naturalmente! (Tutto ciò mi ricorda una frase di Napoleon Hill: “sull’ultimo piolo, la scala per il successo non è mai affollata”) Non c’è da meravigliarsi se siamo soli (sull’ultimo piolo della scala), perché per mantenere questo impegno incrollabile di esporsi letteralmente a tutto e a tutti è di gran lunga più costoso rispetto al non farlo. E si incorre in moooolti più problemi per via degli ultimi avvenimenti geopolitici; tuttavia la nostra esperienza dimostra che è questa la strada giusta da percorrere, e gli utenti ci appoggiano investendo i propri soldi nei nostri prodotti.

Un’operazione di cyberspionaggio è in realtà un progetto molto complesso, costoso, che richiede tempo e tecnologie avanzate. Ovviamente, gli autori di tali operazioni si infastidiscono molto quando vengono acciuffati e molti di loro pensano di potersi sbarazzare degli sviluppatori “indesiderati” grazie a diversi metodi di manipolazione dei media. E ci anche altre teorie simili:

Ma sto divagando…

Queste operazioni di cyberspionaggio possono passare inosservate per anni, perché i loro creatori hanno molto a cuore il proprio investimento kit: attaccano solo pochi obiettivi accuratamente selezionati (niente attacchi di massa, più facili da individuare), testano l’attacco sui prodotti di sicurezza informatica più diffusi, cambiano velocemente le proprie tattiche se necessario e così via. Ovviamente è facile dedurre che molti degli attacchi mirati che sono stati individuati in realtà non sono altro che la punta dell’iceberg. E l’unico modo davvero efficace per smascherare questi attacchi è grazie alla cyber paleontologia, ovvero una raccolta di dati meticolosa e a lungo termine, dati  che servono per ottenere il quadro generale della situazione. Per fare ciò è necessaria la cooperazione di esperti di altre aziende, bisogna individuare e analizzare anomalie e, come risultato finale, sviluppare tecnologie di protezione adeguate.

Nel campo della cyber paleontologia ci sono due specializzazioni: le indagini ad hoc (dopo aver individuato, per caso o intenzionalmente, un’anomalia) e le indagini operative sistemiche (processo pianificato di analisi del panorama IT aziendale).

Gli evidenti vantaggi della cyber paleontologia operativa sono altamente apprezzati dalle grandi aziende (che siano aziende private o governative, obiettivo principale degli attacchi mirati. Tuttavia, non tutte le aziende hanno l’opportunità o l’abilità di svolgere operazioni di cyber paleontologia in proprio, perché gli esperti che se ne occupano non sono così tanti (si tratta di una specializzazione di nicchia) e ovviamente assumerli implica un costo importante.  E invece noi di Kaspersky abbiamo tanti di questi talenti a disposizione e in tutto il mondo (nomi di un certo rilievo e dall’incredibile esperienza). Per questo, grazie alla nostra forza in questo settore e per rispondere alla grande necessità sperimentata dalle aziende nostre clienti,  seguendo la legge della domanda e dell’offerta, abbiamo deciso di proporre un nuovo servizio sul mercato: Kaspersky Managed Protection.

Kaspersky Managed Protection, in sostanza, è il nostro modo di esternalizzare la cyber paleontologia.

Innanzitutto, il nostro servizio su cloud raccoglie i metadati dell’attività di rete e di sistema, che poi vengono aggiunti ai dati presenti su KSN. Il tutto viene poi analizzato sia dai nostri sistemi intelligenti, sia dai nostri cyber paleontologi esperti (il nostro ormai famoso approccio HuMachine).

Tornando alla raccolta di metadati, la cosa più interessante è che per Kaspersky Managed Protection non bisogna installare sensori extra per la raccolta dei metadati; il servizio funziona all’unisono con i prodotti già installati (in particolare, con Kaspersky Endpoint Security e Kaspersky Anti-Targeted Attack) e, in futuro, in teoria anche con i prodotti di altri sviluppatori, la cui telemetria rappresenta la base per le fasi “esame medico > diagnosi > prescrizione della cura”.

Ma è grazie all’unione con i dati di KSN che viene il bello.

Il servizio ottiene numerosi gygabite di telemetria grezza da diversi sensori: eventi del sistema operativo, comportamento dei processi e interazione con la rete, attività dei servizi di sistema e delle applicazioni, verdetti dei prodotti di sicurezza (compresi rilevamento di comportamenti insoliti, IDS, sandboxing, analisi di reputazione degli oggetti, regole di Yara (inizia a girarvi la testa, vero?). Ma se si fa tutto nel modo giusto, da tutto questo caos si ottengono tecniche che consentono alla fine di scoprire gli attacchi mirati.

In questa fase, per separare il grano dal loglio, utilizziamo la tecnologia brevettata di rilevamento su cloud, indagine ed eliminazione degli attacchi mirati. Innanzitutto, i dati telemetrici ottenuti vengono classificati automaticamente da KSN in base alla popolarità dell’oggetto identificato, l’appartenenza a questo o quel gruppo, somiglianze con minacce già conosciute e tanti altri parametri. In altre parole, mettiamo da parte il loglio e tutto ciò che invece è utile (differenti tipi di grano) viene classificato con tag speciali.

Queste tag sono processate mediante meccanismi collegati all’apprendimento automatico, che elabora ipotesi inerenti a potenziali attacchi informatici. Nel linguaggio dei cyber paleontologi, studiamo i frammenti emersi per trovare similitudini con i dinosauri che già conosciamo e cerchiamo anche combinazioni insolite di frammenti che potrebbero riguardare dinosauri non ancora noti alla scienza.

Il meccanismo di correlazione si affida a una moltitudine di informazioni per la costruzione di ipotesi. Durante i 21 anni di esistenza di Kaspersky Lab abbiamo raccolto un numero sufficiente di dati (facciamo i modesti) per creare queste ipotesi. Questi dati riguardano: deviazioni statistiche sospette dalla normale attività, tattiche, tecnologie e procedure dei diversi attacchi mirati, dati che estrapoliamo dalle indagini di crimini informatici a cui prendiamo parte.

Dopo aver raccolto le ipotesi, arriva il momento che il cervello del cyber paleontologo si mette al lavoro, un esperto in grado di fare cose che l’intelligenza artificiale sogna: verifica l’autenticità delle ipotesi presentate, analizza oggetti e azioni sospette, elimina falsi positivi, insegna ai robot che si occupano dell’apprendimento automatico e sviluppa regole per individuare nuove minacce. Un giorno tutto ciò che viene fatto manualmente da un cyber paleontologo sarà svolto in automatico: si tratta di un processo senza fine che converte l’esperienza in ricerca e la ricerca in servizi automatizzati.

Poco a poco, con l’aiuto di tecnologie all’avanguardia monitorate da esperti, si potranno trovare tracce, tra tonnellate di terra, di mostri attacchi mirati fino a ora sconosciuti. Più terra non analizzata riceve Kaspersky Managed Protection, e più scava indietro nel tempo, maggiore è la probabilità di “scoprire ciò che non è stato mai scoperto” e, di conseguenza, di risalire ad attacchi sconosciuti. Ciò che conta di più è che si tratta del metodo di protezione più efficace, in quanto solo nelle reti delle grandi aziende si trova quella terra non ancora analizzata che contiene frammenti di dinosauri.

Per concludere, vale la pena spendere qualche parola su come Kaspersky Managed Protection completa il nostro Security Operation Center (SOC), ovvero il centro di controllo degli incidenti di sicurezza.

Naturalmente, Kaspersky Managed Protection non sostituirà il SOC ma: (i) spingerà verso la sua creazione, in quanto risolve elegantemente un solo compito (e il più importante): scoprire gli attacchi, qualunque sia la loro complessità; (ii) può estendere le competenze di un SOC già esistente aggiungendo la cyber paleontologia e (iii) ultimo ma non meno importante: può essere un’opportunità di business extra per i MSSP, aggiungendo funzionalità scalabili di cyber paleontologia alle applicazioni di servizi. Quest’ultimo fattore credo costituirà il principale vettore di sviluppo per Kaspersky Managed Protection.