Atti Convegno Cyber Crime Conference 2018 – Gianni Baroni, Cyber Academy Italia

Automation, Machine Learning & Deception Technology: l’innovazione contro il Cyber Crime

Buongiorno sono Gianni Baroni del Gruppo Daman, una realtà che esiste sul mercato italiano dal 2003 e che ha la missione di offrire alle grandi aziende italiane prodotti che abbiano caratteristiche innovative.

Parliamo di innovazione in termini di maggiore efficienza ed efficacia, e comunque di risoluzione di problemi al momento non indirizzabili con altri prodotti già presenti sul nostro mercato.

Oggi oltre a rappresentare il Gruppo Daman, sono qui anche come AD di Cyber Academy Italia, una joint venture con la società israeliana CSG, che si prefigge lo scopo di portare sul mercato delle grandi aziende italiane programmi di formazione avanzata in ambito Cyber per gli specialisti, ma anche per i non specialisti; in quest’ultimo caso ci riferiamo a programmi formativi di Cyber Security Awareness, e quindi di sviluppo della consapevolezza nell’uso delle tecnologie.

Con la prima slide volevo lanciare una provocazione, e cioè quella che nella guerra tra attaccanti e difensori, l’attaccante, in questa slide rappresentato dal concetto di Red Team, vince sempre, perché è ormai scontato che gli attaccanti riescano a penetrare le difese. Questa provocazione vuole quindi fornire un’evidenza di come in questa guerra asimmetrica i vecchi modelli, basati sulle difese esterne non sono più determinanti per il successo dei difensori.

Il Cyber Crime adotta strategie sempre più innovative e questa innovazione è un grande pericolo, perché i nostri sistemi, quelli che dobbiamo proteggere, stanno diventando sempre più complessi e interconnessi, e i perimetri diventano sempre più labili. Dobbiamo quindi essere pronti a reagire ad attacchi sempre più sofisticati e spesso non conosciuti, prendendo in concreta considerazione la possibilità che il nemico sia già dentro i nostri sistemi e che quindi la violazione sia già avvenuta.

Per fare questo abbiamo diverse strade da seguire, ma per prima cosa dobbiamo ridurre i tempi di reazione tenendo conto che lavoriamo a risorse finite. Dobbiamo fare in modo che il tempo dei nostri collaboratori, dei nostri specialisti, degli operatori del SOC venga speso al meglio, e che sia focalizzato sulla necessità di neutralizzare per quanto possibile le minacce che riceviamo in continuazione, e non su operazioni banali e ripetitive.

Per questo è necessario investire sull’automazione, per ridurre tutte le attività ripetitive che portano via attenzione dalle reali minacce.

Penso che in questa platea ci siano molto persone che hanno quotidianamente a che fare con il SOC e possano quindi rendersi conto di come gran parte del tempo di un operatore del SOC venga impiegato nel ripetere operazioni, che sono sì necessarie per individuare le minacce, ma che potrebbero essere automatizzate, liberando tempo utile da impiegare su azioni che richiedono capacità di analisi che al momento solo un uomo può fare.

Dobbiamo inoltre orchestrare e rendere sinergiche tutte le componenti che compongono le nostre infrastrutture di sicurezza, perché nel corso del tempo ci siamo dotati di tecnologie e sistemi sempre più sofisticati e dobbiamo riuscire a farli lavorare insieme, a farli parlare, evitando ad esempio di impiegare persone per fare copie di IP Address da una tecnologia ad un’altra.

Dobbiamo cercare di apprendere e quindi utilizzare le esperienze del passato, facendo in modo che quando un operatore o un’analista abbiano affrontato e superato un attacco, quell’attività diventi un patrimonio comune di conoscenza a vantaggio di altri operatori che potrebbero vivere la stessa esperienza, e quindi una volta riconosciuto l’attacco, si renda disponibile automaticamente l’insieme di attività necessarie a contrastarlo.

Dobbiamo profilare i comportamenti tipici dei nostri utenti, perché se un hacker dovesse entrare nella nostra rete sotto mentite spoglie, dopo aver opportunamente sottratto le vere credenziali di accesso, abbiamo l’opportunità di realizzare che si tratta di un hacker, analizzando i suoi comportamenti, che differiranno dal comportamento “usuale” dell’utente reale.

Una volta che l’attaccante è entrato, dobbiamo anche cercare di “prendere tempo”, magari con una strategia che tende a distrarlo e ad attrarlo verso falsi obiettivi, che funzionano da trappole.

Questo modo innovativo di procedere è supportato da tecnologie moderne, e oggi ho pensato di presentarne alcune, tra le più interessanti sotto il profilo dell’innovazione:

  • La prima è DEMISTO ENTERPRISE una tecnologia a supporto delle attività del SOC, che mette in collegamento le diverse tecnologie di sicurezza, automatizzando le attività ripetitive, consentendo all’operatore di focalizzarsi sulle attività importanti, quelle che richiedono le sue competenze per arrivare ad una soluzione. Evitiamo quindi che l’operatore debba perdere il suo tempo, leggendosi migliaia di email sospette, che arrivano nella casella aziendale deputata a questo scopo, per individuare se qualcuna di queste possa essere potenzialmente pericolosa. Un’attività così improba che alla fine non la fa nessuno e le mail continuano ad accumularsi nella casella. E’ quindi necessario automatizzare i processi, e questa è una delle funzioni più importanti di Demisto, cosa che consente agli operatori del SOC di concentrarsi sulle attività a maggior valore aggiunto. Oltre alle funzioni di automazione, Demisto propone anche funzioni di Machine Learning, riutilizzando l’esperienza del passato per velocizzare la ricerca e l’applicazione di procedure di superamento degli attacchi.
  • La seconda è PREMPT, un altro oggetto software che in modo automatico va a monitorare il comportamento degli utenti e lo profila, così poi da rilevare eventuali anomalie che potrebbero evidenziare delle violazioni della sicurezza. Per fare un esempio, se un determinato utente, che è solito accedere al sistema CRM dai locali dell’ufficio, improvvisamente tenta un collegamento in VPN da un bar di Bangkok, Prempt rileva l’anomalia e invia all’utente un token di conferma. Quindi si tratta di una reazione ad un comportamento anomalo che però non blocca l’attività e impatta sulla produttività degli utenti, ma mette in campo azioni che servono a verificare la liceità del comportamento.
  • La terza è CYMMETRIA, una tecnologia di “deception” e quindi di inganno che interviene quando l’attacco ha avuto successo, e l’attaccante è dentro i nostri sistemi, con lo scopo di attirarlo dentro una trappola e neutralizzarne il potenziale offensivo. Per fare questo usa il meccanismo delle Breadcrumbs, ossia delle “briciole di pane”, e quindi di false tracce da seguire fino a condurre l’attaccante in un finto server che agisce da trappola. Di fatto si tratta di una nuova generazione di Honey Pot, più semplici da configurare e “distribuire” e con un sistema molto sofisticato di inganno, come quello delle Breadcrumbs. Inoltre, Cymmetria produce notifiche verso gli strumenti di sicurezza, corredati da una documentazione che descrive le modalità operative usate dall’attaccante, che aiutano ad identificare con precisione la reale natura dell’attacco e accelerano la sua definitiva risoluzione.
  • La quarta è MINERVA, una sorta di seconda generazione di sistemi antivirus. Una tecnologia che parte dal presupposto che l’antivirus non è riuscito a neutralizzare il rischio (utilizzando l’approccio tradizionale basato sulle firme e quindi sulla conoscenza pregressa delle caratteristiche dell’attacco in corso) e il malware è penetrato nei sistemi. In questo caso Minerva va ad influenzare il comportamento del malware, intercettando le sue chiamate di verifica e simulando la presenza di un ambiente ostile e quindi di fatto bloccando il malware nella sua fase iniziale di diffusione.

Tutte queste sono tecnologie innovative, che aumentano l’efficienza e l’efficacia delle Infrastrutture di sicurezza, delle quali non possiamo fare a meno, perché se è vero che dalla parte degli attaccanti si continua ad innovare è necessario che anche i difensori si mantengano al passo.

Ma a fianco delle tecnologie ci sono gli uomini e credo sia chiaro a tutti quanti che è importante e decisivo in questa sfida il cosiddetto Human Factor. Da questo punto di vista Cyber Academy Italia propone un nutrito catalogo di corsi avanzati per specialisti e propone anche un programma di “skill transformation”. Questo programma è costituito da una serie di corsi in grado di trasformare degli specialisti che operano all’interno delle Infrastrutture, in esperti di sicurezza informatica in grado di operare in ambito Cyber. Questo programma nasce per indirizzare un problema che riguarda tutte le organizzazioni, e cioè una carenza di generale di competenze in ambito Cyber, e quindi persone pronte per supportare la crescita delle richieste in questo specifico ambito. Pronte ad inserirsi ad esempio nelle strutture di SOC o di SERT e contribuire alla Cyber Defence.

Ma un altro problema che siamo andati ad indirizzare è quello della preparazione del personale non specialistico e quindi degli utenti delle tecnologie digitali. Per quello abbiamo sviluppato una linea di prodotti, chiamata Cyber Guru, che va ad indirizzare questa particolare esigenza, che passa sotto il nome di Cyber Security Awareness. Perché possiamo dotarci di tutte le migliori tecnologie del mondo, ma poi c’è l’utente che clicca sulla mail di Phishing oppure raccoglie la chiavetta USB allo stadio e la inserisce nel pc aziendale e apre le porte al malware. Per fronteggiare questo problema, dobbiamo fare in modo che questi comportamenti mutino ed è proprio questo il ruolo della Cyber Security Awareness, la quale ha l’obiettivo di aumentare la consapevolezza dell’utente finale rispetto ai rischi di sicurezza, modificandone i comportamenti.

Questa cosa che a parole sembra particolarmente facile e banale, e che oggi genera interesse in tutte le organizzazioni, è più complessa e sofisticata di quello che sembra.

Diffondere questo tipo di competenza su tutta la popolazione aziendale produce un effort notevole e quindi nessuno può permettersi il lusso di farla male e di non produrre i risultati sperati. Noi abbiamo a disposizione pochi minuti a settimana di attenzione da parte di dipendenti e collaboratori che sono concentrati su altre attività, e dobbiamo essere certi che in questo breve spazio di tempo, siamo in grado di modificare le loro attitudini e i loro comportamenti.

Del resto il contenuto tecnologico di un piattaforma di questo tipo può risultare estremamente banale, tanto che questa platea troverebbe questi argomenti noiosi e addirittura scontati, ma ricordiamo che si tratta di temi destinati a una platea di non specialisti e quindi sarà necessario sfruttare al massimo la loro attenzione per imprimere un cambiamento nei comportamenti. Se i contenuti sono banali, è necessario però che questi contenuti siano esposti all’interno di una piattaforma estremamente efficace, una piattaforma che ci garantisca il successo dell’iniziativa.

Per supportare questo percorso di evoluzione del personale non specialistico dobbiamo procedere in alcune direzioni.

  • Cyber Guru Phishing, un sistema di Anti-Phishing Learning Automation, e quindi un sistema che consente di ridurre concretamente il rischio di subire un attacco Phishing, attraverso un processo di apprendimento che mira ad allenare le doti di prontezza e reattività. Spesso incontriamo clienti che hanno effettuato delle simulazioni e che hanno rilevato un tasso di click-rate di un certo tipo, senza che questo produca alcun risultato efficace. Sono in grado di dire ad esempio che il tasso di click sul messaggio ingannevole è stato del 35%, un numero che di per sé non dice nulla, perché per poter interpretare il vero fattore di rischio dobbiamo prendere in considerazione ulteriori parametri e indicatori. Cosa fa quindi Cyber Guru Phishing? Cyber Guru Phishing manda una serie di mail nel corso del tempo, con difficoltà via via crescenti, utilizzando una un sistema di Machine Learning che adatta questo programma sulla base della specifica reattività del singolo utente. Si tratta di un vero e proprio programma di allenamento che non si limita a fare una fotografia della situazione, ma che punta a ridurre il rischio, allenando le persone a identificare pericoli sempre più sofisticati e ingannevoli. Il sistema ovviamente mi fornisce una visibilità su come il rischio va diminuendo con il progredire del programma, e questo anche perché, ogni volta che un utente clicca su un link “ingannevole” finisce in una pagina dove riceve brevi ed efficaci contenuti formativi. Quindi nel tempo l’azienda potrà apprezzare il trend di miglioramento, andando ad identificare anche i cosiddetti “Serial Clickers”, quelli che necessiteranno di un contenuto formativo supplementare e più approfondito.
  • Cyber Guru Enterprise, un corso online tutto fruibile attraverso una connessione Web Browser, il quale ha una durata di 12 mesi ed è strutturato in moduli formativi che vengono rilasciati con la frequenza di uno al mese. Perché 12 mesi? E perché un solo modulo formativo al mese? Perché vogliamo che questa più che una formazione standard sia un percorso di allenamento che permetta di assimilare informazioni con una giusta gradualità nel tempo e senza impattare con la produttività dell’organizzazione. Gli utenti vengono raggruppati in team e vengono quindi coinvolti in una sorta di competizione virtuosa che li stimola a proseguire. Il loro percorso viene infatti valorizzato con dei punti, che vanno ad incrementare la classifica del proprio team e con la conquista di coppe e medaglie virtuali. Tutto questo per evitare l’abbandono e per stimolare le persone a proseguire nel tempo. La piattaforma gira su cloud, è utilizzabile sia da PC sia da mobile e usa i modelli di user experience più avanzati perché il corso deve essere facile da fruire.

Gianni Baroni, Cyber Academy Italia

 

Condividi sui Social Network:

Articoli simili