Il passaggio dai virus alle armi cibernetiche, che evidenzia Roberto Baldoni direttore del Centro di Ricerca di Cyber Intelligence and Information Security dell’Università La Sapienza di Roma, non è di poco conto e la difesa deve essere organizzata sia a livello di aziende sia di stati: “La portata globale e la scala massiccia degli attacchi di oggi richiede infatti la conoscenza della situazione complessiva, che non può essere raggiunta dai sistemi locali e isolati di protezione entro i confini It delle singole organizzazioni”, ha commentato.
Esemplare il caso di Zeus: progettato in Ucraina, il malware è stato diffuso da organizzazioni “mulo” basate in Gran Bretagna, attraverso una intensa campagna di phishing (oltre 1,5 milioni di messaggi) destinata a infettare macchine con sistemi Windows, indirizzata principalmente a banche statunitensi. In questo, come in altri casi, si sono dovute fronteggiare organizzazioni di professionisti che lanciano campagne mirate capaci di produrre danni rilevanti per governi, aziende, banche, centrali nucleari, infrastrutture critiche. L’evoluzione mostra una precisione crescente nel colpire gli obiettivi e un’enorme capacità di fare danni (vedi figura più sotto). “Come il caso Zeus dimostra, è necessario condividere informazioni per comprendere attacchi distribuiti, che non possono essere rilevati rapidamente con le sole informazioni disponibili presso l’infrastruttura It di un singolo attore”, ha sottolineato Baldoni. Ciò impone la messa a punto di accordi, lo scambio di informazioni non sensibili sulla situazione, potendo ottenere così tutti vantaggi di un sistema di controllo globale come la mitigazione dei danni e una reazione rapida. Serve a questo scopo la creazione di Isac (Information Sharing and Analysis Center), entità affidabili del settore specifico che svolgano, tra le altre, funzioni come: la raccolta delle caratteristiche degli incidenti, delle minacce e delle vulnerabilità; l’analisi e la diffusione di avvisi e report degli incidenti; il supporto per capire gli impatti per il settore; lo scambio e la condivisione di informazioni su aspetti informatici e fisici delle minacce per difendere le infrastrutture critiche; fornire infine un supporto analitico ai governi e agli altri Isac. In futuro, basandosi su tecnologie quali Open Source Intelligence, High Performance Computing, la ricerca semantica e la teoria dei grafi (una tecnica che serve a descrivere ed analizzare le relazioni fra oggetti ed eventi) sarà possibile prevedere gli attacchi.
La terza Conferenza annuale sull’Information Warfare (vedi articolo a destra) è stata l’occasione per sapere come alcuni fornitori di soluzioni informatiche stanno affrontando il problema.
Figura 1 – Danni causati dalle cyber weaponFonte – Cis Sapienza
Ibm e la security intelligence
Ibm pubblica a livello semestrale X-Force Trend and Risk Report una valutazione annuale del panorama della sicurezza, basata sul monitoraggio in tempo reale di 15 miliardi di eventi ogni giorno, per quasi 4.000 clienti, in più di 130 paesi. È stata anche annunciata l’apertura di un Security Operations Center (Soc) a Breslavia, in Polonia, con l’obiettivo di proteggere ulteriormente le aziende dalle minacce. L’approccio Ibm, come ha ricordato Giovanni Todaro, Security systems leader, prevede la convergenza fra gli strumenti per la sicurezza e quelli di BI verso una security intelligence che possa consentire la gestione di informazioni ed eventi, la loro correlazione e analisi, la ricerca sulle minacce esterne. “La sicurezza è un problema complesso che va risolto affrontando le quattro dimensioni di cui si compone: le persone, i dati, le applicazioni, le infrastrutture – ha detto Todaro – Ibm le ha declinate con i diversi livelli di sicurezza, indicando quale dei propri strumenti di intelligence sia più idoneo nei diversi casi”.
Il percorso consigliato per prevenire le minacce e combatterle ha al primo posto l’analisi proattiva per anticipare gli attacchi, che si realizza utilizzando sistemi automatizzati e la focalizzazione sulla protezione delle risorse di maggior valore e sulle minacce più sofisticate. Ciò risponde all’esigenza di una risposta rapida che rappresenta un aspetto critico per il successo. “Secondo l’esperienza Ibm, è particolarmente efficace il continuo monitoraggio e l’analisi delle grandi quantità di dati che fluiscono attraverso la rete da sensori, sistemi di monitoraggio e altri dispositivi”, ha sottolineato Todaro, ricordando che la streaming analytics può fornire in pochi millisecondi indicazioni accurate su possibili minacce che potrebbero compromette i sistemi.
“È anche indispensabile mettere in atto un modello decisionale sulla base dell’atteggiamento verso il rischio. Una volta che l’attacco è in corso l’uomo non può più tenere il passo: è dunque necessario adottare in automatico decisioni precedentemente prese”, ha concluso il manager Ibm.
Almaviva: information security nel cyberspace
“Nel cyberspace non si può distinguere il concetto di sicurezza dal concetto di difesa e occorre introdurre il concetto di difesa-attiva, in una geografia che non si limita più esclusivamente al proprio territorio nazionale,”, ha ricordato Roberto Saracino, Cio di Almaviva.
L’approccio dell’azienda è quello dell’Information Security per il Cyberspace che, in ambito istituzionale, dovrebbe garantire il supporto alle agenzie governative, sia a livello nazionale sia su scala più estesa, nell’indirizzare le tematiche di CyberSecurity relative alle infrastrutture critiche per la difesa del paese. Per rispondere dal punto di vista tecnologico alle esigenze di Information Security, Almaviva mette a disposizione strumenti di intelligenza artificiale, capacità evolute di correlazione di eventi e tecnologie avanzate, con l’obiettivo di creare una visione unitaria e completa della postura di sicurezza necessaria a proteggere le infrastrutture che impattano su aspetti economici, sociali e politici dei paesi.
Inoltre, i laboratori di Almaviva sono impegnati nello sviluppo della tecnologia “Behavior Detection”, parte integrante della piattaforma di Information Security, che ha l’obiettivo di identificare i potenziali rischi attraverso l’analisi integrata del comportamento dei soggetti fornendo un quadro dei comportamenti che permette di scoprire quelli sospetti e potenzialmente malevoli.
La chiave della tecnologia di rilevamento dei comportamenti è l’abilità di identificare eventi sospetti e le entità ad essi legate nel tempo, separarli dagli eventi “normali” e arrivare al responsabile dell’illecito o del comportamento anomalo.
Fra le tecnologie alla base delle soluzioni, Saracino ricorda la link analysis, che individua relazioni nascoste tra entità interagenti, il sequence matching, che analizza nel tempo le sequenze delle attività alla ricerca di eventuali anomalie il text mining e il risk ranking per la riduzione dei falsi positivi.
