Security

Darktrace – Il caso Antigena

Ottobre 12, 2017Dicembre 18, 2018
Darktrace – Il caso Antigena

La Cyber-Security più efficace imita il corpo umano: il caso di Darktrace Antigena
Quando tutte le difese più logiche da adottare sono state adeguatamente prese in considerazione, ma ancora si teme di essere soggetti ad attacchi informatici è perché altre componenti entrano in gioco.
L’intelligenza umana può infatti essere applicata per realizzare minacce sofisticate, ben al di là di quello che le macchine possono immaginare. E in effetti, il motivo principale per cui gli attacchi informatici crescono di numero ogni anno non è certo lo sviluppo della tecnologia, ma piuttosto l’applicazione di un numero sempre maggiore di individui alle pratiche oscure della penetrazione e degli attacchi hacker.

Un dato, in particolare, deve far riflettere: la diffusione di minacce digitali avviene soprattutto attraverso le email che non rappresentano certamente un fenomeno di alta tecnologia. Ciò significa che la creatività umana si sta applicando là dove la tecnologia non fornisce ulteriori spunti per la diffusione globale della malvagità informatica.
Ecco allora che ad intelligenza è possibile rispondere con altrettanta intelligenza, sia umana che artificiale. Ed è esattamente questa la risposta di Darktrace, azienda creata da matematici dell’Università di Cambridge, che ha ideato Antigena, un sistema in grado di funzionare da antigene organico al sistema informativo aziendale e di rispondere, non solo alle minacce, ma anche ad ogni intervento anomalo all’interno del sistema stesso che potrebbe portare ad una violazione degli equilibri di sicurezza.

Il concetto dell’antigene è molto semplice ed imita il funzionamento del corpo umano: non si aspetta che la minaccia crei un danno, ma si agisce prima che ciò accada, andando a scoprire che cosa lo sta causando ed intervenendo sulle reali cause. E soprattutto, così come avviene nel corpo umano, la ricerca delle minacce ha a che fare anche con l’interno dell’organismo dove se ne possono annidare di ancora più subdole da identificare. Come il comportamento degli esseri umani che per colpa o per dolo possono contribuire a diffondere danni informatici o causarli direttamente.
In base a questo semplice principio, sono stati elaborati quattro corollari che regolano l’approccio di Darktrace Antigena alla cyber-security:

  1. È impossibile salvaguardare pienamente l’impresa. La maggior parte dei clienti probabilmente è già stata colpita almeno parzialmente.
  2. Costruire difese ancora più alte è inutile. Chi attacca lo fa sapendo che esistono muri sempre più importanti.
  3. Le minacce non sono solamente esterne. Quelle interne possono causare gravi danni e la perdita di dati e di proprietà intellettuale, per negligenza oppure per intento maligno.
  4. Le minacce diventano più sofisticate ed evolvono rapidamente. È una corsa agli armamenti e quando un’azienda deve difendersi contro un attacco “zero day” oppure una APT, non si ha molto tempo. Non c’è abbastanza tempo per affidarsi a patching ed aggiornamenti anche perché gli attacchi contro cui Darktrace difende non hanno firme e non esistono regole che li descrivono finché sono in corso.

 

E come accade per il corpo umano, prima o poi qualche batterio o virus entra in contatto con il nostro organismo e cerca di violarlo, generando un comportamento insolito. Proprio l’anomalia del comportamento rispetto alla norma è alla base dei meccanismi di controllo di Darktrace Antigena.
La capacità di Darktrace Antigena di rilevare anomalie nel comportamento, in tempo reale, senza supposizioni a priori, permette alla piattaforma di scoprire un attacco emergente a vari punti dello svolgimento dello stesso, a cominciare dalla tappa di preparazione.

  1. Quando viene infettata la prima macchina, Darktrace rileva il collegamento dell’attaccante verso il suo centro di comando e di controllo. Non è infatti probabile che i dipendenti dell’azienda abbiano comunicato con questo centro (un server virtuale) in precedenza, quindi lo stesso viene registrato come un collegamento insolito.
  2. Durante la tappa di ricognizione, l’attaccante comincia a guardarsi intorno dentro la rete. Darktrace vede che la macchina infettata compie un gran numero di collegamenti insoliti e li giudica anomali rispetto al comportamento normale del dispositivo e dell’utente. Per esempio, un assistente dell’amministrazione non compirebbe normalmente “port scan” su diverse macchine.
  3. Gli attaccanti trovano informazioni interessanti e scaricano uno strumento per l’accesso remoto. Darktrace rileva le conseguenze di questo strumento, incluso un grande flusso di dati asimmetrico; queste conseguenze vengono registrate come anomale, basandosi sull’attività normale dell’azienda.
  4. Un grande volume di dati si dirige verso l’esterno della rete e può generare sottrazione di informazioni preziose.
  5. Mentre l’attaccante aumenta i suoi diritti fino al livello di amministratore di sistema, Darktrace rileva l’attività insolita degli utenti. Per esempio, l’amministratore di sistema può essere collegato a varie macchine alla volta e in vari luoghi. Darktrace scopre il comportamento anomalo e una immediata telefonata all’amministratore di sistema conferma che le sue credenziali sono state sottratte. L’attività, a quel momento, può essere diventata anomala anche a livello dell’impresa intera.
  6. A questo punto l’attacco è molto avanzato. Darktrace avrebbe scoperto il trasferimento anomalo dei dati mentre l’infrastruttura della rete veniva usata per arrivare ad altre organizzazioni che erano state prese di mira.

 

Ecco dunque che, con le minacce esistenti oggi e provenienti da tutto il pianeta, è necessario affrontare il tema della sicurezza informatica con grande serietà. Ed ecco che vengono in nostro soccorso sistemi come Darktrace Antigena che cercano di applicare i principi che il nostro organismo applica da diversi milioni di anni, sotto forme diverse.

Con Darktrace Antigena si ha a disposizione un vero e proprio arsenale di intercettazione dei virus e di difesa intelligente del perimetro aziendale. Il sistema interpreta tutti i dati di comportamento all’interno della rete da parte dei dispositivi dell’impresa e degli esseri umani per fornire loro un punteggio di affidabilità. L’analisi delle anomalie consente dunque di intervenire tempestivamente.

Per ulteriori informazioni e per provare la soluzione scrivici a info@atinet.it, verrai contattato per un approfondimento tecnico