Referenze / Referenze

SAS Institute srl.
Via Darwin 20/22
20143 Milano
Italia
>Tel 02 831 341 r.a.
Fax 02 581 136 40
www.sas.com/italy/success

Referenze

Printer-FriendlyPrinter-Friendly

Referenze

 

Investigare con occhi nuovi gli eventi di sicurezza per bloccare i cyber attacchi

Attacchi ai dispositivi mobili, malware ad hoc per sfruttare specifiche vulnerabilità, incremento esponenziale dell'attivismo antisistema: occorrono strategie mirate di contrasto per sventare gli attacchi sempre più sofisticati della cyber criminalità. I nuovi scenari di rischio e il valore aggiunto dei Visual Analytics. Stefano Brusotti, Responsabile Security Lab di Telecom Italia Information Technology

Stefano Brusotti

Security Lab, ovvero sicurezza, ricerca e sperimentazione. È proprio così?
Il nostro compito è quello di acquisire e sviluppare il know-how indispensabile per affrontare le sfide attuali della cyber security, in termini di comprensione degli scenari di rischio e di identificazione delle tecnologie più idonee a contrastare le minacce emergenti. Sul piano organizzativo, operiamo nell'ambito della Direzione Technical Security, cui è deputato un ventaglio di attività che spazia dall'innovazione con i laboratori di ricerca, dalle operation di security al risk management, fino all'ingegneria delle soluzioni di sicurezza da dispiegare nelle infrastrutture di Telecom Italia.

Quanto pesa l'innovazione e la ricerca nell'attività di Security Lab?
Una parte importante del nostro impegno è legata al presidio dell'innovazione tecnologica: sperimentare, progettare, fare scouting e benchmarking di nuove soluzioni, fare security testing delle tecnologie commerciali, dei terminali mobili e dei dispositivi da dispiegare in rete. A ciò si aggiunga la partecipazione ai gruppi di lavoro internazionali, ai progetti finanziati dalla Comunità Europea e agli enti di standardizzazione, che ci offre un punto di osservazione privilegiato sulle tecnologie emergenti e sulle strategie di difesa più efficaci.

Questo respiro internazionale dimostra l'attenzione crescente verso il tema della cyber security in tutti i paesi, specie con l'esplosione della sfera digitale. Qual è la sua esperienza?
Con la crescita esplosiva del traffico cellulare e la disponibilità di dispositivi sempre più performanti, l'interesse della criminalità informatica si sta oggi concentrando sul mondo del mobile. Soprattutto perché le transazioni economiche stanno progressivamente migrando proprio verso la rete mobile: smartphone e tablet, utilizzati talvolta come carte di credito/debito virtuali, nascondono al loro interno una quantità di informazioni personali estremamente appetibili per i cyber criminali.

Anche il tema del malware continua a essere di stretta attualità?
Fino al recente passato, la criminalità si rivolgeva prevalentemente a un fiorente mercato underground per l'acquisto delle rootkit necessarie alla creazione del malware. Si trattava, in qualche misura, di componenti standardizzati e quindi relativamente semplici da contrastare. Oggi, la tendenza in atto vede le organizzazioni criminali commissionare agli sviluppatori prodotti ad hoc, finalizzati a colpire precisi obiettivi, e per di più in grado di operare in modo subdolo e persistente, nel senso che possono essere latenti e manifestarsi solo a distanza di tempo dietro ordine degli "attaccanti."

È possibile stimare come ordine di grandezza i danni potenziali per le organizzazioni?
Alle minacce di cui ho parlato, vanno aggiunti i cosiddetti denial of service, che si inquadrano in un trend emergente di attivismo genericamente antisistema, quando non addirittura terroristico. Nel mondo digitale, cioè, gli attivisti occupano le piazze virtuali di Internet con tecniche di attacco che mirano a saturare le risorse di rete e di calcolo, rendendo indisponibili i servizi erogati dalle organizzazioni pubbliche e private. Qualche dato basterà a rendere conto delle dimensioni del fenomeno. Una ricerca di qualche mese fa mostra che alcune banche statunitensi colpite da un attacco mirato hanno registrato danni pari a 30mila dollari al minuto. Per parte nostra, lo scorso anno abbiamo rilevato e neutralizzato sulle reti di Telecom Italia attacchi di Denial of Service  di qualche decina diGbit al secondo. Valore che nei primi tre mesi di quest'anno è già triplicato.

Che fare di fronte a uno scenario così preoccupante?
La strategia messa in atto da Telecom Italia, di cui Security Lab rappresenta un tassello fondamentale, è incentrata sulla proattività: rilevare in modo precoce i trend emergenti e i segnali anticipatori delle minacce per predisporre le contromisure più idonee alla tipologia e all'entità dell'attacco. E una delle risorse più preziose è rappresentata dai Big Data. Da un lato, si tratta delle informazioni relative agli eventi di sicurezza che vengono generate dagli apparati dispiegati in rete e nei data center. Dall'altro si tratta dalle cosiddette fonti aperte, quella miniera inestimabile di informazioni presenti nella sfera digitale, dai siti web al social network, dalle chat ai blog, che è possibile sfruttare efficacemente per rilevare iniziative in preparazione, prevenire attacchi o scoprire vulnerabilità sconosciute.

Si tratta però di dati non strutturati. Questo può rappresentare un problema?
Quando parliamo di Open Source Intelligence, cioè della conoscenza ricavabile dalle fonti aperte, parliamo di informazioni fortemente destrutturate. In questo caso, la tecnologia abilitante è quella che consente di interfacciare sorgenti eterogenee per tipologie e formati applicando regole semantiche per discriminare l'informazione realmente pertinente. In ogni caso, che si trattino eventi strutturati o informazioni destrutturate, il tema di fondo è far emergere dalla mole dei Big Data fenomeni ancora sconosciuti, tendenze in via di consolidamento, indicazioni sulle future evoluzioni. Ed è in questo quadro che acquista tutto il suo valore il progetto che ci ha portato a investire sui Visual Analytics di SAS.

Visual Analytics come strumento per scoprire nuovi fenomeni?
Strumento che in prima istanza è destinato a complementare le logiche tradizionali di analisi. Ma che, soprattutto, permette agli analisti di investigare con occhi diversi le informazioni raccolte per scoprire nuove correlazioni, per caratterizzare fenomeni sconosciuti in passato e codificarli in modo che siano riconoscibili dagli strumenti tradizionali di sicurezza. Anche la scelta di SAS risponde a questa logica. Quando, nella fase di selezione, abbiamo proposto a SAS la challenge della Visual Analytics Community, sfida peraltro brillantemente superata, il nostro obiettivo non era tanto quello di testare la capacità della soluzione di scoprire in un miliardo di record l'evento 'zero' portatore di infezione, quanto di capire come le tecniche di analisi visuale fossero efficienti nel correlare i dati, seguirne le dinamiche temporali e visualizzare la propagazione dei fenomeni.

Qual è nella sua esperienza il valore aggiunto dell'aspetto 'visual'?
Rispetto a un torrenziale elenco di log, ritengo che l'immagine sia in grado di attivare meccanismi di stimolazione, di ragionamento e di analisi del tutto diversi. Quando l'analista, ad esempio, si trova a operare sui dati di log, applica tecniche di ricerca, di aggregazione e di correlazione all'interno di schemi mentali in qualche modo già precostituiti. E questi schemi possono risultare limitanti nell'esplorazione di fenomeni nuovi e ancora ignoti. Il fatto che l'analista possa rapidamente processare volumi consistenti di dati, cogliere a un colpo d'occhio le dinamiche di evoluzione e creare nuove correlazioni con un semplice click migliora notevolmente la capacità di investigazione del dato e riduce i tempi di scoperta e di mitigazione di nuove minacce.

Il progetto di cyber security è operativo? Con quali risultati?
Già da qualche mese stiamo applicando lo strumento nell'analisi di dati reali, con risultati estremamente incoraggianti. Proprio in relazione alle minacce di denial of service di cui parlavo, i Visual Analytics ci hanno permesso di discriminare i pacchetti forgiati ad arte per scatenare certi attacchi e di trovare in pochi minuti le soglie e i parametri di configurazione adatti per bloccarli. È questo il tipo di utilizzo che immaginiamo: processare in-memory enormi moli di dati e cogliere in modo visuale e  il più  rapidamente possibile le informazioni necessarie a configurare i sistemi per sventare potenziali minacce.

 

Articolo tratto da itasascom, 2/2014
Copyright © SAS Institute Inc. All Rights Reserved.

Copyright © SAS Institute Inc. All Rights Reserved.

Telecom Italia - Security Lab

Esigenza di Business:

Acquisire e sviluppare il know-how indispensabile per affrontare le sfide attuali della cyber security, in termini di comprensione degli scenari di rischio e di identificazione delle tecnologie più idonee a contrastare le minacce emergenti.

Benefits:
Capacità di investigare con occhi diversi le informazioni raccolte per scoprire nuove correlazioni, per caratterizzare fenomeni sconosciuti in passato e codificarli in modo che siano riconoscibili dagli strumenti tradizionali di sicurezza.

Il fatto che l'analista possa rapidamente processare volumi consistenti di dati, cogliere a colpo d'occhio le dinamiche di evoluzione e creare nuove correlazioni con un semplice click migliora notevolmente la capacità di investigazione del dato e riduce i tempi di scoperta e di mitigazione di nuove minacce.

Stefano Brusotti

Responsabile Security Lab, Telecom Italia Information Technology