Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Il machine learning non è una bacchetta magica, però…
L’uso di sistemi di auto-apprendimento è davvero il santo Graal della sicurezza? Bitdefender: “ecco come lo usiamo”.
Nel mondo della sicurezza informatica viviamo spesso ondate di entusiasmo per tecnologie e strumenti che segnano vere pietre miliari nell’evoluzione delle strategie di lotta al cyber-crimine. Quella del momento è il machine learning, cioè l’uso di sistemi di auto-apprendimento che consentono di migliorare le capacità di rilevamento dei malware sconosciuti o che sfruttano exploit zero-day.
Un tema affrontato da Bitdefender in un incontro tenutosi settimana scorsa a Milano, in cui la società di sicurezza ha delineato il panorama della sicurezza partendo dal cambio di paradigma che le aziende dovranno affrontare nel prossimo futuro.
Il punto di partenza è il “solito” GDPR, ma visto in una prospettiva decisamente diversa da quella che siamo abituati a considerare. “L’introduzione della nuova normativa imporrà un cambiamento nel modo in cui si guarda alla sicurezza” ha spiegato Denis Cassinerio, Regional Sales Director di Bitdefender.
“Il primo passo è considerare che i dati sono asset importanti” ha esordito Cassinerio, che poi è andato molto oltre, ricordando che l’impatto del cyber-crimine e della pirateria informatica sulla nostra società oggigiorno può essere devastante.
“Un attacco globale potrebbe portare a un danno potenziale che il Fondo Monetario Internazionale ha stimato in 53 miliardi di dollari” ha sottolineato.
Anche dalle parti del Fondo Monetario Internazionale si stanno rendendo conto che la protezione delle infrastrutture informatiche è una priorità.
Ma non è solo una questione di soldi: “Anche se l’89% degli attacchi ha motivazioni finanziarie, chi gestisce dati personali deve rendersi conto che proteggere i dati non è un semplice obbligo giuridico, significa garantire l’esercizio dei diritti e la protezione delle libertà”.
Se è necessario un cambio di prospettiva che possiamo definire “filosofico”, un salto di qualità simile deve avvenire anche sul piano pratico, soprattutto in un panorama che ha visto un aumento del 29% degli attacchi informatici rispetto al 2016.
Anche perché gli attacchi non stanno solo aumentando, ma stanno “cambiando pelle” molto rapidamente. “Nel 2018 possiamo aspettarci un aumento di fenomeni che fino a qualche anno fa consideravamo marginali” spiega Liviu Arsene, Senior E-Threat Analyst di Bitdefender.
Qualche esempio? Secondo l’analista dell’azienda rumena nel corso dell’anno prossimo potremmo assistere a ulteriori “leak” di exploit come quelli legati alla vicenda degli Shadow Brokers, che hanno posto le premesse per gli attacchi con WannaCry e NotPetya, così come un aumento di malware in grado di colpire i sistemi macOS.
Sotto un profilo più tecnico, Arsene segnala la probabile diffusione del fenomeno di quello che definisce “polymorphis as a service”.
“L’utilizzo del polimorfismo nei malware (la modifica del codice per rendere più difficilmente individuabile il malware – ndr) per il momento è appannaggio di pochi attori nel panorama del cyber-crimine, ma rischia di diventare qualcosa di accessibile a tutti attraverso l’uso di strumenti forniti come servizio nei bassifondi del Web”.
Ed è qui che entra in gioco il machine learning. “L’analisi dei malware sotto il profilo del comportamento è un argine efficace a questo tipo di tecniche di offuscamento” prosegue Arsene.
Una logica che è anche alla base delle tecnologie Hypervisor Introspection sviluppate da Bitdefender (ne abbiamo parlato in questo articolo) che puntano esattamente a identificare le potenziali minacce prescindendo dal classico sistema delle signature.
“I classici malware che arrivano sui sistemi sotto forma di file stanno lasciando il posto a tecniche di attacco meno prevedibili” spiega. Come nel caso degli attacchi fileless (residenti in memoria) che ormai rappresentano il 14% del totale.
Non solo: gli attacchi più sofisticati (i cosiddetti Advanced Persistent Threats o APT) vengono sempre più spesso portati attraverso PowerShell e strumenti open source, che sono difficilmente rilevabili perché non necessariamente dannosi.
Il 49% degli attacchi non utilizzano malware tradizionali. L’uso delle signature diventa insufficiente.
Il machine learning, in questo senso, è uno strumento prezioso per affrontare attacchi “non convenzionali”, ma il suo utilizzo richiede qualche accorgimento.
“L’uso del machine learning richiede una taratura accurata” spiega Arsene. “In caso contrario si rischia di essere travolti da un’ondata di falsi positivi”.
Insomma: non dobbiamo pensare al machine learning come a uno strumento singolo, ma come a un ecosistema composto da più moduli (il sistema di Bitdefender si basa su 48 brevetti registrati e altri 28 in via di registrazione) che “collaborano” per arrivare all’individuazione delle minacce.
Qualche esempio pratico? Uno dei più suggestivi è quello che analizza gli URL a cui è indirizzato e il traffico e individua quelli che possono essere generati dai malware che cercano di offuscare il collegamento ai server Command and Control.
“Sappiamo che i pirati informatici utilizzano sistemi che modificano continuamente gli indirizzi a cui i trojan si collegano per renderne più difficile l’individuazione” spiega Arsene. “Queste URL hanno una struttura caratteristica e rilevarle permette di accendere un campanello di allarme che poi permette un approfondimento con altri strumenti”.
Arsene ha tenuto a precisare che il machine learning non è la soluzione per tutti i mali, ma deve fare parte di un ecosistema complesso che permetta di sfruttarne le potenzialità e superarne limiti.
Una logica simile vale per l’analisi dei packer. “Le tecniche usate per nascondere il codice malevolo all’interno di un file si somigliano molto e, spesso, i pirati informatici usano lo stesso anche per differenti malware. Utilizzare il packer come indice di pericolosità consente di migliorare il rilevamento”.
Il machine learning, però, consente anche di adottare approcci decisamente inusuali, ad esempio per quanto riguarda il rilevamento dei cosiddetti “greyware”, i programmi potenzialmente indesiderati. “Uno dei nostri moduli di machine learning esamina il testo nelle condizioni di utilizzo del software alla ricerca di frasi o espressioni utilizzate da questo genere di programmi e consente così di segnalarne la potenziale pericolosità”.
Il tutto, ci tiene a precisare l’analista di Bitdefender, all’interno di un sistema flessibile battezzato Tunable Machine Learning. Un sistema in pratica, che consente di fissare delle policy variabili a seconda del segmento di rete o del tipo di servizi che si vogliono proteggere. In questo modo è possibile tarare il livello di “paranoia” dei controlli e ottimizzare la protezione dove serve. Detto così sembra quasi semplice…
Condividi l'articolo
- APT, Bitdefender, Denis Cassinerio, fileless, Hypervisor Introspection, Liviu Arsene, machine learning, Marco Schiaffino
Amazon Key può essere bloccata con un attacco Wi-Fi
Android bersagliato dai pirati. Un nuovo malware ogni 9 secondi
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
