immagine-preview

Mar 1, 2018

Yoroi Annual Report: gli attacchi arrivano principalmente dalle email. Intervista a Marco Ramilli

Il Cybersecurity Annual Report frutto di analisi su fonti di dati reali e non OSINT e CLOSINT fa emergere che l'Italia non è più attaccata di altri Paesi e che ancora troppe minacce evitano le difese perimetrali con tecniche di evasione

In occasione dell’uscita del primo report annuale di Yoroi azienda di Cyber Defence, parte di MAM srl, abbiamo intervistato Marco Ramilli, CTO dell’azienda e fondatore, per commentare specificità e risultati emersi come frutto di tutta l’attività operativa di analisi e difesa che l’azienda persegue.

L’intervista

Quanti sono numericamente i dati campionati dal sistema di intelligence Yoroi?

I dati possono essere ricondotti a tre macro aree: la Digital Surveillance, la Threat Intelligence e i dati di mitigazione.

Nella Digital Surveillance (l’attivita’ di supervisione e controllo digitale n.d.r.), tutti i dati sono prelevati nel Dark Web (parte del web accessibile mediante software e accessi autorizzativi, formato da dark nets, reti oscure, spesso usate per compravendita di malware e strumenti digitali fraudolenti n.d.r.) attraverso attività di scraping (una tecnica informatica per prelevare dati dal web n.d.r.) e parliamo di un ordine di centinaia di giga di dati di testo compresso. Non ho un numero puntuale da rilasciare ad oggi. Un sottoinsieme di questi dati è stato utilizzato per l’osservazione relativa ai data leak, le sottrazioni fraudolente di dati, pari a 17.882.460 domini unici. Su tali domini è stata fatta una analisi di InfoLeak da cui risulta che 289.799 sono domini Italiani. Per questi sono state individuate 557.745.863 account (username e password) di cui 11.376.170 relativi ad aziende italiane.

I dati della threat Intelligence (le analisi effettuate sulle minacce informatiche n.d.r.) sono provenienti da IP, HASH, DOMAIN (indirizzi internet, insiemi di caratteri frutto di funzioni matematiche e domini web n.d.r.)  individuati all’interno di attività e dati relativi ad attacchi informatici.  Ad oggi questo numero lo condividiamo in home page per mantenerlo costantemente aggiornato poiché varia di giorno in giorno. Infine, i dati di mitigazione utilizzati per effettuare il report, sono provenienti dalle attività di analisi che hanno luogo in occasione di un incidente e/o un presunto incidente (la mitigazione consente di rifurre i danni di un attacco informatico n.d.r.). In effetti, per effettuare il report sono stati presi in considerazione tutti e soli i dati gestiti, ovvero analizzati e classificati, da un analista Yoroi e/o da analisti dei partners di Yoroi, ma è proprio questo il valore intrinseco dei dati: si tratta di informazioni su attacchi realmente accaduti e gestiti, per ognuno dei quali c’è un potenziale ticket di classificazione associato. Ad oggi produciamo dalle 900 ai 1200 analisi su base mensile (30 giorni).

 

Perché è importante che i dati su cui si basa il report non siano dati di tipo OSINT e CLOSINT?

Sempre più spesso dati OSINT (Open Source INTelligence, ovvero dati derivati da fonti aperte, come il web n.d.r.)  e CLOSINT (CLOse to be OSINT n.d.r.) ricadono nelle casistiche di falsi positivi, poiché non vengono validati né post-processati al fine di favorire la velocità di informazione a discapito della qualità di informazione. Ad esempio, se un Malware esegue un “drop” del suo payload da un indirizzo IP e/o se un server effettua specifiche azioni di spamming, insomma se avvengono azioni malevole sulla rete, gli indirizzi IP di questi “attori” vengono percepiti da reti di HoneyPots (sistemi trappola che permettono di analizzare le minacce da cui vengono attaccati n.d.r.) ed inseriti automaticamente in dati condivisi e pubblici (appunto dati di tipo OSINT). Ma se tali IP appartengono ad un pooling (pool di dati, ovvero un set n.d.r.), più ampio come per esempio indirizzi appartenenti a DropBox e/o a server di posta Microsoft, questi non possono essere considerati come “malevoli” in assoluto, in quanto essi servono svariate utenze DropBox e/o molte caselle di posta elettronica. Considerare tali IP malevoli significherebbe rallentare l’analisi e/o generare una marea di falsi positivi.  Per questo motivo i dati di OSINT possono essere considerati in uno scenario generale, al fine di definire trends di alto livello, bloccare server C2 (Command&Control n.d.r.) conosciuti e/o condividere hash malevoli, ma non possono essere considerati per effettuare azioni di enforcement (letteralmente rafforzamento n.d.r.) nella difesa di “Tutti i giorni”. Quindi riassumendo, avere reports basati su singoli dati OSINT/CLOSINT limita molto l’utilità del report stesso in termine di azione difensive nel quotidiano, mentre risulta essere molto utile in scenari generali e su considerazioni di carattere globale.

 

Poiché i dati che arrivano dalle sonde GENKU disseminate nelle reti clienti, ci può spiegare come siano confrontati e normalizzati mediante la cloud threat inteligence centrale ?

Al netto della osservazione sui data leaks, dove i dati sono internazionali e non necessariamente dipendenti dalla visibilità di Yoroi, tutti gli altri dati sono basati su “situazioni” reali e quindi gestiti direttamente o indirettamente da Yoroi. Ovviamente Yoroi può gestire solo i propri clienti e per questo i dati dipendono dal parco clienti di Yoroi che oggi si avvicina alle 48000 utenze e  sono distribuiti in varie fasce di Business descritte nel report. Per ognuna di queste fasce nel report è possibile trovare considerazioni specifiche sulle minacce legate a quelle tipologie.  Ovviamente i dati sono “normalizzati” per evitare che i clienti “grandi” influenzino le statistiche.

 

L'Italia non sembra essere più “mirata” rispetto ad altri Paesi

Cosa evidenziano i risultati, ovvero sui grandi numeri cosa si può osservare?

Sui nostri numeri “italiani” possiamo osservare che: a seguito di un data breach una azienda italiana non è più esposta rispetto ad una azienda “non italiana”. Quindi per quanto riguarda la “fuga di informazioni”, ovvero specificatamente di accounts), l’Italia non sembra essere più “mirata” rispetto ad altri paesi.

I sistemi perimetrali quali Firewall, Anti Virus, Proxyes, e gli altri apparati di tipo standard non riescono a coprire nel breve tempo, le minacce più comuni. I ransomware “evadono” (usano tecniche di evasione cioè evitano n.d.r.) tali sistemi per il 58% delle volte, i Trojan riescono ad evadere per il 23% ed i generici Dropper riescono ad evadere per il 13% dei casi.

Il principale percorso di attacco risulta essere l’email per l’89% dei casi, mentre solo l’11% una infezione è dovuta ad un download , invece il principale vettore di attacco risulta essere per il 61% dei casi file Office (estensioni “.docx”, “.pptx”, “.xlsx”) mentre il 23% è costituito da script. Ancora presenti file eseguibili, soprattutto in organizzazioni metalmeccaniche. Solo 1% riguarda file di estensione “.pdf”, grazie alla pesantissima campagna di bug fixing adottata da ADOBE a partire dal 2015.

 

Usualmente gli attacchi vengono riutilizzati tra vari settori di business. L’attaccante effettua questa azione per massimizzare il suo profitto riutilizzando lo stesso codice modificato e/o gli stessi indirizzi email e/o testo. In campo Bancario e in campo automobilistico tuttavia questa regola non vale  e infatti non sembrano insistere le stesse minacce, ma al contrario si osservano minacce specifiche, non condivise tra diverse categorie di businesses.

Osserviamo anche molte scansioni “opportunistiche”, che vengono ora effettuate attraverso rete TOR, al fine di anonimizzare il piu possibile l’indirizzo originale. Questa accortezza era assente, in termine statistici e non puntualmente, fino a qualche anno fa. Questo evidenzia una maggiore attenzione alla “privacy” da parte degli attaccanti.

 

Se la contrapposizione fra “guardie” e “ladri” si evolve sempre sulle stesse 3 direttrici: malware, sfruttamento di vulnerabilità, tecniche di attacco, cosa suggeriresti ai difensori?

Il mio principale consiglio è quello di appoggiarsi ad entità esterne come per esempio SOC remoti e analisti fuori dalla propria organizzazione. Questo perchè “SOC” esterni o team esterni hanno l’opportunità di individuare, analizzare e classificare minacce dirette a molteplici organizzazioni differenti e quindi di incontrare e studiare  differenti metodi di attacco aumentando notevolmente la propria competenza in termini di conoscenza delle minacce e di capacita di mitigazione. Infatti, un SOC puramente interno vede solo le minacce relative alla propria organizzazione e quando le minacce cambiano, si ha un tempo di “follow-up” più elevato rispetto a chi controlla il cambiamento quotidianamente e in modo maggiormente distribuito.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter