Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
Nov 23, 2017 Marco Schiaffino Approfondimenti, Prodotto, Scenario, Software, Tecnologia 0
Nel mondo della sicurezza informatica viviamo spesso ondate di entusiasmo per tecnologie e strumenti che segnano vere pietre miliari nell’evoluzione delle strategie di lotta al cyber-crimine. Quella del momento è il machine learning, cioè l’uso di sistemi di auto-apprendimento che consentono di migliorare le capacità di rilevamento dei malware sconosciuti o che sfruttano exploit zero-day.
Un tema affrontato da Bitdefender in un incontro tenutosi settimana scorsa a Milano, in cui la società di sicurezza ha delineato il panorama della sicurezza partendo dal cambio di paradigma che le aziende dovranno affrontare nel prossimo futuro.
Il punto di partenza è il “solito” GDPR, ma visto in una prospettiva decisamente diversa da quella che siamo abituati a considerare. “L’introduzione della nuova normativa imporrà un cambiamento nel modo in cui si guarda alla sicurezza” ha spiegato Denis Cassinerio, Regional Sales Director di Bitdefender.
“Il primo passo è considerare che i dati sono asset importanti” ha esordito Cassinerio, che poi è andato molto oltre, ricordando che l’impatto del cyber-crimine e della pirateria informatica sulla nostra società oggigiorno può essere devastante.
“Un attacco globale potrebbe portare a un danno potenziale che il Fondo Monetario Internazionale ha stimato in 53 miliardi di dollari” ha sottolineato.
Ma non è solo una questione di soldi: “Anche se l’89% degli attacchi ha motivazioni finanziarie, chi gestisce dati personali deve rendersi conto che proteggere i dati non è un semplice obbligo giuridico, significa garantire l’esercizio dei diritti e la protezione delle libertà”.
Se è necessario un cambio di prospettiva che possiamo definire “filosofico”, un salto di qualità simile deve avvenire anche sul piano pratico, soprattutto in un panorama che ha visto un aumento del 29% degli attacchi informatici rispetto al 2016.
Anche perché gli attacchi non stanno solo aumentando, ma stanno “cambiando pelle” molto rapidamente. “Nel 2018 possiamo aspettarci un aumento di fenomeni che fino a qualche anno fa consideravamo marginali” spiega Liviu Arsene, Senior E-Threat Analyst di Bitdefender.
Qualche esempio? Secondo l’analista dell’azienda rumena nel corso dell’anno prossimo potremmo assistere a ulteriori “leak” di exploit come quelli legati alla vicenda degli Shadow Brokers, che hanno posto le premesse per gli attacchi con WannaCry e NotPetya, così come un aumento di malware in grado di colpire i sistemi macOS.
Sotto un profilo più tecnico, Arsene segnala la probabile diffusione del fenomeno di quello che definisce “polymorphis as a service”.
“L’utilizzo del polimorfismo nei malware (la modifica del codice per rendere più difficilmente individuabile il malware – ndr) per il momento è appannaggio di pochi attori nel panorama del cyber-crimine, ma rischia di diventare qualcosa di accessibile a tutti attraverso l’uso di strumenti forniti come servizio nei bassifondi del Web”.
Ed è qui che entra in gioco il machine learning. “L’analisi dei malware sotto il profilo del comportamento è un argine efficace a questo tipo di tecniche di offuscamento” prosegue Arsene.
Una logica che è anche alla base delle tecnologie Hypervisor Introspection sviluppate da Bitdefender (ne abbiamo parlato in questo articolo) che puntano esattamente a identificare le potenziali minacce prescindendo dal classico sistema delle signature.
“I classici malware che arrivano sui sistemi sotto forma di file stanno lasciando il posto a tecniche di attacco meno prevedibili” spiega. Come nel caso degli attacchi fileless (residenti in memoria) che ormai rappresentano il 14% del totale.
Non solo: gli attacchi più sofisticati (i cosiddetti Advanced Persistent Threats o APT) vengono sempre più spesso portati attraverso PowerShell e strumenti open source, che sono difficilmente rilevabili perché non necessariamente dannosi.
Il machine learning, in questo senso, è uno strumento prezioso per affrontare attacchi “non convenzionali”, ma il suo utilizzo richiede qualche accorgimento.
“L’uso del machine learning richiede una taratura accurata” spiega Arsene. “In caso contrario si rischia di essere travolti da un’ondata di falsi positivi”.
Insomma: non dobbiamo pensare al machine learning come a uno strumento singolo, ma come a un ecosistema composto da più moduli (il sistema di Bitdefender si basa su 48 brevetti registrati e altri 28 in via di registrazione) che “collaborano” per arrivare all’individuazione delle minacce.
Qualche esempio pratico? Uno dei più suggestivi è quello che analizza gli URL a cui è indirizzato e il traffico e individua quelli che possono essere generati dai malware che cercano di offuscare il collegamento ai server Command and Control.
“Sappiamo che i pirati informatici utilizzano sistemi che modificano continuamente gli indirizzi a cui i trojan si collegano per renderne più difficile l’individuazione” spiega Arsene. “Queste URL hanno una struttura caratteristica e rilevarle permette di accendere un campanello di allarme che poi permette un approfondimento con altri strumenti”.
Una logica simile vale per l’analisi dei packer. “Le tecniche usate per nascondere il codice malevolo all’interno di un file si somigliano molto e, spesso, i pirati informatici usano lo stesso anche per differenti malware. Utilizzare il packer come indice di pericolosità consente di migliorare il rilevamento”.
Il machine learning, però, consente anche di adottare approcci decisamente inusuali, ad esempio per quanto riguarda il rilevamento dei cosiddetti “greyware”, i programmi potenzialmente indesiderati. “Uno dei nostri moduli di machine learning esamina il testo nelle condizioni di utilizzo del software alla ricerca di frasi o espressioni utilizzate da questo genere di programmi e consente così di segnalarne la potenziale pericolosità”.
Il tutto, ci tiene a precisare l’analista di Bitdefender, all’interno di un sistema flessibile battezzato Tunable Machine Learning. Un sistema in pratica, che consente di fissare delle policy variabili a seconda del segmento di rete o del tipo di servizi che si vogliono proteggere. In questo modo è possibile tarare il livello di “paranoia” dei controlli e ottimizzare la protezione dove serve. Detto così sembra quasi semplice…
Nov 12, 2024 0
Ott 08, 2024 0
Ott 02, 2024 0
Ago 02, 2024 0
Nov 21, 2024 0
Nov 14, 2024 0
Nov 13, 2024 0
Nov 11, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...Nov 15, 2024 0
La sicurezza dei toolkit ML continua a essere minacciata...