DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...Stefano Maccaglia
My presentation at DCC 2016 in Wien.
Abstract: With the integration of strategies and tools so far seen in APT attacks, cybercriminals have become much more dangerous for the financial world.
This evolution has improved the attack mechanisms,but also it has widened the attack range.
Thus, today, cybercriminals can breach, with the appropriate sophistication and patience, even structures and environments far from their reach, just few years ago, such as ATM networks.
APT actors present a growing threat in today's technology landscape. APT attackers have significant funding, patient, sophisticated, and will target vulnerabilities in people and process as well as technology. RSA IR has operationalized techniques to detect and prevent adversarial activities based on Tools Techniques and Procedures (TTP's). Based on our experience I present an operational framework which aims to increase organizational security awareness through defense-in-depth. I have included an APT intrusion case study on a large company to help explain the detection techniques that helped to identify and mitigate organization impact.
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...Stefano Maccaglia
With the integration of strategies and tools so far seen in APT attacks, cybercriminals have become much more dangerous for the financial world.
This evolution has improved the attack mechanisms but also it has widened the attack range.
Thus, today, cybercriminals can breach, with the appropriate sophistication, and patience, even structures and environments until a short time ago far from their reach, such as ATM networks.
Today, attackers can infiltrate IT sector in a targeted manner with easily replicable actions that offer wide margin of movement as soon as the victim falls into their trap.
Spear phishing, watering hole attacks and targeted strategies are found in abundance in recent malicious activities to the detriment of the financial world. If these are assisted by customized Trojans, infostealer and advanced password dumpers the scenario became far more complicated for whoever is called to investigate and assist.
For this reason, the logic of investigation of such attacks must keep pace by incorporating recommendations and analysis models so far limited to cyber-espionage’s world.
DCC 2016 New strategies, old actors - APT and the evolution of Cybercrimina...Stefano Maccaglia
My presentation at DCC 2016 in Wien.
Abstract: With the integration of strategies and tools so far seen in APT attacks, cybercriminals have become much more dangerous for the financial world.
This evolution has improved the attack mechanisms,but also it has widened the attack range.
Thus, today, cybercriminals can breach, with the appropriate sophistication and patience, even structures and environments far from their reach, just few years ago, such as ATM networks.
APT actors present a growing threat in today's technology landscape. APT attackers have significant funding, patient, sophisticated, and will target vulnerabilities in people and process as well as technology. RSA IR has operationalized techniques to detect and prevent adversarial activities based on Tools Techniques and Procedures (TTP's). Based on our experience I present an operational framework which aims to increase organizational security awareness through defense-in-depth. I have included an APT intrusion case study on a large company to help explain the detection techniques that helped to identify and mitigate organization impact.
DCC 2016: New Strategies, Old Actors. APT and the Evolution of the Cybercrimi...Stefano Maccaglia
With the integration of strategies and tools so far seen in APT attacks, cybercriminals have become much more dangerous for the financial world.
This evolution has improved the attack mechanisms but also it has widened the attack range.
Thus, today, cybercriminals can breach, with the appropriate sophistication, and patience, even structures and environments until a short time ago far from their reach, such as ATM networks.
Today, attackers can infiltrate IT sector in a targeted manner with easily replicable actions that offer wide margin of movement as soon as the victim falls into their trap.
Spear phishing, watering hole attacks and targeted strategies are found in abundance in recent malicious activities to the detriment of the financial world. If these are assisted by customized Trojans, infostealer and advanced password dumpers the scenario became far more complicated for whoever is called to investigate and assist.
For this reason, the logic of investigation of such attacks must keep pace by incorporating recommendations and analysis models so far limited to cyber-espionage’s world.
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...HelpRansomware
Scopri come prevenire gli attacchi con le tecnologie di rilevamento ransomware. Ottieni le migliori pratiche sull’implementazione di un sistema di protezione.
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
In questo documento si vuole illustrare in maniera sintetica ma allo stesso tempo esaustiva le tecniche di attacco ad un sistema informatico e i metodi di difesa.
Per tecniche di Attacco si intende un insieme di metodi che sfruttano vulnerabilità dei sistemi che consentono ad un attaccante (Hacker / Cracker) di introdursi illecitamente in essi praticandone del dolo.
Per metodi di difesa invece si intende un insieme di tool tramite i quali è possibile una Riduzione del rischio di intrusione sui sistemi.
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Dopo una breve introduzione del progetto BackBox, illustreremo le caratteristiche principali di questa nuova versione della Distribuzione con particolare riferimento alla sezione “Mobile Analysis”.
Introdurremo tools e best practices per condurre penetration test su applicazioni Android.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
Stefano Chiccarelli, CEO di Quantum Leap, è stato invitato come relatore all’evento ICT Security 2012 tenutosi a Roma presentando l’intervento dal titolo L’ecosistema della scena “hacker”. L’intervento è stato incentrato sul fornire una panoramica rispetto a come è cambiato l’hacking negli ultimi 20 anni, e sulla “persistenza” delle minacce informatiche nel 2012. Sono stati inoltre approfonditi i temi riguardo a cosa veramente mette a rischio la sicurezza negli ambienti “enterprise”, portando degli esempi concreti di “attacchi” effettuati durante le attività di Penetration Test nelle aziende Italiane clienti di Quantum Leap. Lo scopo ultimo dell’intervento è stato quello di portare all’attenzione del pubblico il fenomeno relativo alle minacce persistenti non “avanzate”, che spesso rappresentano per le aziende un rischio concreto e sottovalutato alla portata di agenti di minaccia opportunistici o poco esperti.
With "Patch Tuesday" Microsoft usually addresses various security vulnerabilities and issues by providing patches and updates for their software products. However, for malicious actors, Patch Tuesday can be a valuable resource for identifying new exploits.
In time, noticing this mechanism in the cybercriminal ecosystem, we decided to adopt a similar approach to support our Red Team and our investigations.
In a nutshell we industrialized a process where our Threat Intel team harvest exploits linked with the Patch Tuesday from the dark web, while our team reverse engineer the updates looking for code we can use during our Red team activities.
The result is an extended set of potential exploits we can reliably integrate in our arsenal when we carry out the simulated attacks.
This improves the effectiveness of our Test and allow us to extend the options we have against the defense mechanisms of our customers.
By using the newly acquired knowledge about the vulnerabilities, the Red Team can test whether these systems can detect or prevent exploitation attempts.
In our session, we will present our process and some examples where our newly acquired knowledge and exploit allowed our team to better test our Customers cybersecurity posture.
Insert coin to continue - Ransomware in the gaming industry.pdfStefano Maccaglia
This deck premiered at Black Hat in Las Vegas in August.
He explains two cases referring to the world of online gaming, in particular betting and online casinos.
These companies show two faces, on the one hand a great competence and attention to the quality of the code and the security of their portals, but they do not seem to be sensitive to the application of the same level of controls for what concerns their staff. As always the devil is in the details and the ransomware gangs know it well.
More Related Content
Similar to Maccaglia - Cybercrime un approccio tecnologico e sociologico
Best Practice Per L’implementazione Di Tecnologie Avanzate Di Rilevamento Ran...HelpRansomware
Scopri come prevenire gli attacchi con le tecnologie di rilevamento ransomware. Ottieni le migliori pratiche sull’implementazione di un sistema di protezione.
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
In questo documento si vuole illustrare in maniera sintetica ma allo stesso tempo esaustiva le tecniche di attacco ad un sistema informatico e i metodi di difesa.
Per tecniche di Attacco si intende un insieme di metodi che sfruttano vulnerabilità dei sistemi che consentono ad un attaccante (Hacker / Cracker) di introdursi illecitamente in essi praticandone del dolo.
Per metodi di difesa invece si intende un insieme di tool tramite i quali è possibile una Riduzione del rischio di intrusione sui sistemi.
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
Progetto wiki promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Dopo una breve introduzione del progetto BackBox, illustreremo le caratteristiche principali di questa nuova versione della Distribuzione con particolare riferimento alla sezione “Mobile Analysis”.
Introdurremo tools e best practices per condurre penetration test su applicazioni Android.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
Stefano Chiccarelli, CEO di Quantum Leap, è stato invitato come relatore all’evento ICT Security 2012 tenutosi a Roma presentando l’intervento dal titolo L’ecosistema della scena “hacker”. L’intervento è stato incentrato sul fornire una panoramica rispetto a come è cambiato l’hacking negli ultimi 20 anni, e sulla “persistenza” delle minacce informatiche nel 2012. Sono stati inoltre approfonditi i temi riguardo a cosa veramente mette a rischio la sicurezza negli ambienti “enterprise”, portando degli esempi concreti di “attacchi” effettuati durante le attività di Penetration Test nelle aziende Italiane clienti di Quantum Leap. Lo scopo ultimo dell’intervento è stato quello di portare all’attenzione del pubblico il fenomeno relativo alle minacce persistenti non “avanzate”, che spesso rappresentano per le aziende un rischio concreto e sottovalutato alla portata di agenti di minaccia opportunistici o poco esperti.
With "Patch Tuesday" Microsoft usually addresses various security vulnerabilities and issues by providing patches and updates for their software products. However, for malicious actors, Patch Tuesday can be a valuable resource for identifying new exploits.
In time, noticing this mechanism in the cybercriminal ecosystem, we decided to adopt a similar approach to support our Red Team and our investigations.
In a nutshell we industrialized a process where our Threat Intel team harvest exploits linked with the Patch Tuesday from the dark web, while our team reverse engineer the updates looking for code we can use during our Red team activities.
The result is an extended set of potential exploits we can reliably integrate in our arsenal when we carry out the simulated attacks.
This improves the effectiveness of our Test and allow us to extend the options we have against the defense mechanisms of our customers.
By using the newly acquired knowledge about the vulnerabilities, the Red Team can test whether these systems can detect or prevent exploitation attempts.
In our session, we will present our process and some examples where our newly acquired knowledge and exploit allowed our team to better test our Customers cybersecurity posture.
Insert coin to continue - Ransomware in the gaming industry.pdfStefano Maccaglia
This deck premiered at Black Hat in Las Vegas in August.
He explains two cases referring to the world of online gaming, in particular betting and online casinos.
These companies show two faces, on the one hand a great competence and attention to the quality of the code and the security of their portals, but they do not seem to be sensitive to the application of the same level of controls for what concerns their staff. As always the devil is in the details and the ransomware gangs know it well.
Light, Dark and... a Sunburst... dissection of a very sophisticated attack.Stefano Maccaglia
The deck covers details about the Sunburst/Solorigate breach including some interesting threat intel paths we are currently evaluating to attribute the attack.
Oh... that's ransomware and... look behind you a three-headed MonkeyStefano Maccaglia
A funny presentation me and Marco Faggian held for ISACA seminar in November 2020 related to our investigation of some Ransomware cases... stay tuned... oh... look behind you a three-headed monkey!...
UN session about modern ICT threat landscape.
The session was aimed to introduce recent threats targeting UN agencies and some potential recommendations to improve detection, investigation and understanding of these threats and their goals.
On August 2017 a well established Corporation was hit by an advanced attacker. The techniques adopted to overcome security platforms and infrastructures showed a very dangerous and innovative attacker. This is the tale of the IR team hired to fight this advanced attacker, a tale of a team pushing all his resources and technical skills to overcome the threat and finally chase the Adder...
Maccaglia - Cybercrime un approccio tecnologico e sociologico
1. Tesi di laurea in Sociologia
CYBERCRIME:
un approccio tecnologico e sociologico all’analisi e alla prevenzione
Autore: Stefano Maccaglia Relatore:
Prof. Andrea Meloni
Correlatore
Prof.ssa Assunta Viteritti
2. Introduzione
Il mondo informatizzato ha garantito l’esplosione
delle comunicazioni, la globalizzazione, ma ha
generato problemi che divengono una vera
criticità.
Uno di questi è il crimine informatico:
«Cybercrime».
Il fenomeno ha travalicato le barriere
dell’informatica divenendo uno strumento di
coercizione, adottato in geopolitica e nel
commercio come pratica competitiva.
3. Il Progetto: l’obiettivo
Creare un agente software, basato su un algoritmo neurale, in grado di monitorare
i sistemi potenzialmente attaccabili (da malware e APT) e di segnalare la presenza di
una violazione o di una anomalia grazie all’analisi del comportamento dei processi
della macchina.
• Dall’Hacking al
Cybercrime
• Il Cybercrime nel
nuovo millennio
• Gli APT
Prospettiva
Storica
• L’analisi degli Hacker
• La «Teoria dei giochi»
• Gli studi più recenti
• Gli indicatori
sociologici
Prospettiva
Sociologica • Il progetto
• L’Intelligenza
Artificiale
• L’agente software
L’analisi tecnica
• La dimostrazione
• I possibili scenari di
applicazione
Risultati
4. Lo spionaggio e la nascita degli APT
Nell’ultimo decennio il Cybercrime è divento uno strumento utile per quei
governi che vogliono ridurre il loro ritardo tecnologico a spese dei paesi più
ricchi.
Per questo sono nati i primi gruppi di Cybercriminali a servizio di istituzioni
governative e con esse sono nati i primi «hack» che hanno come obiettivo il
furto di informazioni «riutilizzabili» in prospettiva politica o industriale.
Queste comunità ricevono, in cambio per il loro supporto, denaro e libertà
d’azione.
5. Introduzione: APT in azione
In questa logica può essere letta l’irreggimentazione, a servizio delle imprese
nazionali, dei gruppi hacker cinesi, che ha portato alla nascita di quello che ora
chiamiamo il «fenomeno APT»: sistematico attacco di aziende pubbliche e private
in tutto il mondo ad opera delle «crew cinesi», iraniane, coreane, russe, brasiliane,
ecc… mosse da interessi afferenti allo spionaggio industriale e militare e
sponsorizzate da strutture governative o para-governative.
6. Il Progetto: la sociologia
Ma è nella classificazione e nella “previsione” che si aprono gli scenari più
importanti per una costruttiva sinergia tra la sociologia e la Sicurezza introducendo
una chiave lettura essenziale per comprendere le dinamiche e il ciclo di vita del
software malizioso: il “riuso” .
Nel mondo del crimine informatico, e degli APT, questa pratica è fondamentale.
I criminali, nella maggior parte dei casi, non sviluppano i software che usano, ma li
acquistano o li richiedono a sviluppatori conniventi che li programmano seguendo
le indicazioni dei propri “clienti”.
7. Il Progetto: l’agente software
L’agente di monitoraggio è un piccolo componente software che installato sulla
macchina da sottoporre a controllo, controllerà l’esecuzione di ogni nuovo
processo a partire dalla sua esecuzione.
L’agente opererà il monitoraggio forzando l’iniezione (Injection) dei suoi
componenti ad ogni caricamento di ogni nuovo processo copiandosi all’interno
delle aree di memoria assegnate al nuovo processo dal Sistema.
8. Il Progetto: il meccanismo di iniezione dell’agente
Ogni nuova applicazione che viene eseguita richiede risorse
(memoria ed elaborazione), ma prima che queste risorse
possano essere rese disponibili, il mio agente si «inserisce» e
analizza se la richiesta e le sue istruzioni sono «sospette». Nel
frattempo l’agente blocca temporaneamente il processo (con
la funzione «sleep»).
Le istruzioni collezionate vengono passate alla rete neurale,
che in base alla sua «esperienza» definisce se l’insieme di
queste istruzioni mostra un profilo «malizioso» o «legittimo».
La classificazione operata dalla rete neurale viene inoltrata
all’agente che attua così una opportuna azione e alla Console
per tenere traccia dell’evento.
10. Una dimostrazione dell’agente
Applicazione dell’agente per contrastare un malware che verrà lanciato in una
macchina sottoposta a monitoraggio.
La dimostrazione mostrerà da un lato cosa accade nel sistema vittima e dall’altro
cosa viene segnalato alla Console dell’operatore, ovvero allo strumento di
gestione pensato per raccogliere gli allarmi e le attività registrate dai vari agenti.
Bidirectional
Encrypted
Communication
HINT Console
Log Server
HINT
(Agente Software)
11. L’operatore riceve l’alert e
può decidere se accettare la
classificazione o rifiutarla
L’agente blocca il
malware, lo classifica e
invia l’alert alla Console
Una dimostrazione dell’agente
Nel nostro caso lanceremo un eseguibile malizioso sulla macchina A, una macchina Windows 7
virtualizzata. La console girerà in un’altra macchina Windows 7 che comunica con la prima
attraverso una comunicazione cifrata bidirezionale.
Bidirectional
Encrypted
Communication
HINT Console
Log Server
HINT
(Agente Software)
A
B
Il malware crea il suo
processo e chiede
risorse al Sistema
1
2 3
In base all’azione dell’operatore il processo potrà essere terminato, liberato o ulteriormente
analizzato attraverso il dump della sua memoria per successivi approfondimenti.
12. Il Progetto: il modello di Rete Neurale usato
La rete neurale scelta è un modello Multilayer Feedforward di tipo adattativo
focalizzata sulla "Pattern Recognition" per la Classificazione.
In genere, questo tipo di Sistemi consiste di quattro unità funzionali:
Un data set “Estrattore” (per selezionare e misurare le proprietà
rappresentative di dati di ingresso grezzi in una forma ridotta).
Uno Spider. Un meccanismo di ricerca di stringhe per confrontare un
modello di input con i modelli di riferimento utilizzando una misura di
distanza.
Un Training Set di riferimento (contro cui il pattern di input viene
confrontato),
Un Decisore (per prendere la decisione finale su quale modello di
riferimento è il più vicino al modello di ingresso).
16. Perché è rilevante la ricerca sociologica in questo campo
Ancoraggio dei meccanismi di analisi e di “decisione” ai risultati dell’analisi
sociologica, in particolare a quelle della “teoria dei giochi” della “razionalità
limitata».
La teoria dei giochi stata molto utile a sviluppare le classi analitiche e gli indicatori
per la profilazione degli avversari.
Ha per oggetto lo studio matematico di qualunque situazione che comporti un
conflitto d'interessi, con l'intento di indicare le scelte ottimali o le decisioni che, sotto
opportune condizioni, possano portare all'esito desiderato.
17. Perché è rilevante la ricerca sociologica in questo campo
Analizzare un attacco informatico significa analizzare l’azione di attori che si
confrontano su di un terreno dove le regole e le condizioni del gioco sono
predeterminate, così come è predeterminabile l’obiettivo che essi si pongono: il
furto di dati.
Apparentemente, un attacco informatico può presentarsi in forma molto caotica
e complessa. L’attaccante può adottare azioni che a volte non sembrano coerenti
con la finalità ultima.
In realtà, come si è dimostrato in molti casi, questi attacchi hanno il fine di
“sviare l’attenzione” del personale preposto alla sicurezza dal vero obiettivo
dell’attaccante, come dimostrato da B.Brenner (Akamai).
18. Conclusioni
In futuro sarà possibile, istruendo opportunamente l’agente, sviluppare una
routine di classificazione che possa non solo individuare il malware, ma anche
il gruppo di attaccanti ad esso collegati a valle del collezionamento degli
indicatori di compromissione specifici dell’attacco (in gergo chiamati IOCs,
ovvero Indicatori di Compromissione).
Bisognerà integrare all’agente un ulteriore spider che, partendo dagli indicatori
forniti dallo studio sociologico sulla profilazione, possa collegare l’attacco con lo
specifico gruppo di attaccanti che lo adottano o che lo hanno sviluppato.
La profilazione è una delle chiavi di maggiore interesse nei moderni studi sugli
attacchi informatici, ma fino ad ora, in mancanza di un agente in grado di
raccogliere informazioni sulla programmazione e di registrare la dinamica
dell’attacco, questo tipo di studi è stato limitato dal costo, in termini di tempo e
risorse, richiesto per svolgere questa analisi manualmente.