{"id":16088,"date":"2018-08-13T11:58:38","date_gmt":"2018-08-13T09:58:38","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16088"},"modified":"2019-11-22T11:01:26","modified_gmt":"2019-11-22T09:01:26","slug":"behavioral-model","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/behavioral-model\/16088\/","title":{"rendered":"Come sconfiggere i Voldemort della rete"},"content":{"rendered":"

Le fiabe e le storie fantasy hanno da sempre contribuito a demolire il mito dell\u2019invincibilit\u00e0 di loschi faccendieri e malfattori (quanto a noi, da pi\u00f9 di vent\u2019anni<\/a> <\/u>abbiamo fatto lo stesso, anche se nel cyberspazio<\/a>). Ogni Voldemort si affida alla protezione del suo diario, del suo anello, del suo serpente, del suo\u2026 beh, penso sappiate tutto degli Horcrux. E il successo della vostra battaglia contro i malfattori, siano essi personaggi delle fiabe o virtuali, dipende da due fattori chiave: la costanza e l\u2019intelligenza (vale a dire la tecnologia). Oggi vi racconter\u00f2 in che modo la costanza e l\u2019intelligenza, sommati alle reti neurali,\u00a0all\u2019apprendimento automatico<\/a><\/u>,\u00a0alla cloud<\/a> security<\/u>\u00a0e\u00a0alle conoscenze specifiche<\/a><\/u>\u00a0\u2014 parti integranti dei nostri prodotti \u2014 vi proteggeranno da potenziali cyberminacce future.<\/p>\n\n

\u00a0<\/p>\n

In realt\u00e0, ci siamo occupati di tecnologie di protezione contro cyberminacce future gi\u00e0\u00a0in passato<\/a><\/u>\u00a0(pi\u00f9 di una volta<\/a><\/u>,\u00a0molto pi\u00f9 di una volta<\/a><\/u>\u00a0e anche\u00a0per farci due risate<\/a>)<\/u>. La ragione per cui siamo cos\u00ec fissati al riguardo la potete ben immaginare.<\/p>\n

Il motivo \u00e8 dovuto al fatto che tali tecnologie sono esattamente ci\u00f2 che differenzia una protezione solida e robusta da \u00a0una finta intelligenza artificiale<\/a><\/u>\u00a0e da prodotti che utilizzano informazioni rubate per individuare i malware<\/a>. Identificare la sequenza dei codici utilizzando una firma conosciuta, dopo che il malware si \u00e8 gi\u00e0 introdotto nel sistema e ha iniziato a giocare brutti scherzi all\u2019utente, non serve a nessuno, equivale a pestare l\u2019acqua in un mortaio.<\/p>\n

Tuttavia, anticipare il modo di agire dei malfattori cybernetici, imparando a conoscere i punti deboli che loro gradiscono maggiormente e stendere delle reti invisibili in grado di effettuare una rilevazione veloce e automatica, \u00e8 una cosa che solo pochi operatori del settore sanno fare, triste ma vero. Un numero molto esiguo, in effetti, in base ai risultati\u00a0di test indipendenti<\/a><\/u>. WannaCry<\/a><\/u>, la pi\u00f9 grande epidemia del decennio, ne \u00e8 un tipico esempio: grazie alla tecnologia System Watcher<\/a><\/u>, i nostri prodotti hanno protetto i nostri utenti contro tale attacco informatico in maniera proattiva.<\/p>\n

Il punto chiave \u00e8 il seguente: Non \u00e8 possibile avere una protezione cos\u00ec estesa<\/em> contro minacce informatiche future. Non esiste emulatore o\u00a0sistema specifico di analisi di Big Data<\/a><\/u>\u00a0che sia in grado di coprire tutte le possibili minacce. Per fare ci\u00f2, le reti invisibili dovrebbero proteggere il pi\u00f9 possibile ogni livello e ogni canale, conservando traccia di tutte le attivit\u00e0 dell\u2019oggetto nel sistema per evitare che possano creare problemi, mantenendo l\u2019uso di risorse al minimo, zero \u201cfalsi positivi\u201d<\/a><\/u> e una compatibilit\u00e0 al 100% con le altre applicazioni per evitare la temuta schermata blu.<\/p>\n

D\u2019altronde, anche l\u2019industria dei malware continua a perfezionarsi. I malfattori cybernetici hanno insegnato alle loro creature (e continuano a farlo) come celarsi in modo efficace nel sistema. In poche parole, in che modo mutare la loro struttura e il loro comportamento, come modificare le modalit\u00e0 di azione ed agire lentamente, senza fretta (minimizzando l\u2019utilizzo delle risorse del computer, attivandosi in modo programmato senza dare nell\u2019occhio una volta introdotti nel pc, etc.) e, inoltre, come immergersi letteralmente nel sistema nascondendo le loro tracce e utilizzare metodi \u201cpuliti\u201d o quasi. Ma dove c\u2019\u00e8 un Lord Voldemort, ci sono sempre degli Horcrux \u00a0da distruggere per porre fine ai suoi propositi malvagi. La domanda \u00e8: dove trovarli?<\/p>\n

Qualche anno fa, i nostri prodotti avevano rafforzato il loro arsenale di tecnologie proattive per la protezione contro le minacce informatiche avanzate adottando un\u2019invenzione molto interessante (il brevetto RU2654151<\/a><\/u>). Tale brevetto utilizza un modello comportamentale di oggetti addestrati all\u2019 identificazione accurata di anomalie sospette all\u2019 interno del sistema, la localizzazione della fonte e l\u2019eliminazione anche del \u201cpi\u00f9 prudente\u201d dei worm.<\/p>\n

Come funziona?<\/p>\n

Ogni oggetto lascia delle tracce su un computer quando \u00e8 attivo. L\u2019utilizzo di hard disk, l\u2019accesso alle risorse di sistema, il trasferimento di file in rete: alla fine, in un modo o nell\u2019altro, ogni tipo di malware, anche il pi\u00f9 sofisticato, manifester\u00e0 la sua presenza e le tracce non potranno essere rimosse completamente. I tentativi di ripulire le tracce ne genereranno ulteriori e cos\u00ec via, ricorsivamente.<\/p>\n

In che modo possiamo capire quali tracce appartengano ad applicazioni legittime e quali a malware? E come assicurarsi che il pc non collassi a causa di una potenza di calcolo insufficiente? Ecco come fare.<\/p>\n

L\u2019antivirus raccoglie informazioni relative alle attivit\u00e0 delle applicazioni (comandi eseguiti, parametri, l\u2019accesso a risorse di sistema critiche, etc.) e le utilizza per costruire dei modelli comportamentali, individuare eventuali anomalie e calcolare il fattore di rischio. Ma ora vorrei che deste un\u2019occhiata al metodo utilizzato per raggiungere tale obiettivo. Ricordatevi che stiamo ricercando la velocit\u00e0 di esecuzione, non solo l\u2019affidabilit\u00e0. Qui entra in gioco la matematica o, pi\u00f9 specificatamente, i cosiddetti\u00a0digest<\/a><\/u> .<\/p>\n

Il modello comportamentale viene pacchettizzato al minimo, preservando, da un lato, la necessit\u00e0 di informazioni comportamentali approfondite relative all\u2019oggetto e senza richiedere, dall\u2019altro, risorse di sistema consistenti. Anche chi controlla e monitora strettamente le performance del computer non riuscirebbe a rilevare alcun segnale identificativo di tale tecnologia.<\/p>\n

Esempio (indicativo):<\/p>\n

Il calcolo del fattore di rischio si basa su quattro attributi esterni:<\/p>\n