1. Intelligence: tecnologie e servizi
Antonio Berardi
Una visione evolutiva dell’intelligence dal punto di vista di un
system integrator ed un focus su Open Source Intelligence
2. 2
Cyber Spazio
Il mondo fisico e quello digitale
si stanno intersecando e sovrapponendo
a un ritmo senza precedenti
generando opportunità e minacce
Società vista come un
ecosistema complesso
multidimensionale di
sottosistemi fisico-digitali
interconnessi
Al Cyber Spazio sono
associate le vulnerabilità
delle applicazioni e dei
sistemi informatici che lo
compongono
Un attacco può danneggiare
un sistema socio-
economico e le
infrastrutture connesse
3. 3
Il contesto
La cyber difesa di un Paese e le
tecnologie di cyber security
dovranno progredire in un quadro
di cooperazione, che vede
protagoniste le forze armate
insieme ai vari settori pubblici e
privati.
Il settore militare è impegnato
nell'accrescimento delle capacità
operative e tecniche, e si stanno
affermando nuovi requisiti.
Scenariointernazionale
Integrazione nei programmi NATO/EDA
Adeguamento normative e dottrine
Ridefinizione strategie
Integrazioneecollaborazione
Cyber situational awareness
Piattaforme unificate(es. NCIRC)
Scambio informativo (es. NCIRC vs CERT-
UE)
Difesa
Dottrina in evoluzione ma focalizzata su difesa
CIOC ( Comando Interf. Operaz. Cibernetiche)
Infrastrutture ICT separate tra le Armi
Italia
Normativa: Quadro strategico & Piano nazionale
Infrastrutture : CNAIPIC, CERT Dif., CERT Naz.
Situazione in evoluzione ma non coesa
4. 4
Nuove esigenze per un nuovo contesto
Adeguamento continuo delle
tecnologie e dei processi di
assessment e verifica
Adozione di tecniche di resilienza,
cioè di robustezza e sopravvivenza
dei sistemi
Best Practice
• UK ha lanciato iniziative come Defence
as a Platform (DAAP), una vera e
propria piattaforma cloud di servizi
comuni della difesa
• Stati Uniti, Regno Unito e Francia
affermano di aver già condotto varie
attività di analisi della cyber security dei
sistemi di comando e controllo e di
combattimento, riscontrando diverse
vulnerabilità
• NCIRC costituisce già un modello
operativo di capacità incrementale e
moderna di Cyber Defence
Sistemicomplessi
un moderno sistema di difesa
va visto come una complessa
architettura informatizzata
costituita da software, firmware,
hardware, non isolata e
vulnerabile
Evoluzionedeimodelli
Difesa attiva
Computer Network Operations
Nuove minacce
Razionalizzazione delle risorse
5. 5
Cosa affrontare nelle nuove sfide
Principali problemi operativi e tecnologici
► Sovrabbondanza di dati
► Informazioni destrutturate
► Piattaforme e strumenti digitali da adeguare
6. 6
Aree di ricerca e sviluppo
Framework metodologico e operativo
► Combinazione di nuovi metodi di analisi e integrazione
di componenti tecnologiche
►Tecniche e strumenti di analisi avanzata dei dati
► Integrazione dei dati (data fusion)
► Indagini web e monitoraggio delle piattaforme online
► Indagini nel dark web
► Intercettazioni telematiche
► Operazioni digitali sotto copertura
7. 7
Principali iniziative
Esperienze di Leonardo nell’ambito dell’Intelligence
► Next Generation Security Operation Centre
► Sviluppo di una piattaforma a supporto delle Indagini
► Sviluppo di una capacità per l’analisi delle OSINT
► Servizi di Cyber Threat Intelligence
► Sviluppo algoritmi di analisi nel contesto delle indagini
11. 11
Threat Intelligence Services overview
“Threat intelligence services are commercial service offerings
that provide both strategic and/or tactical information about
information security threats and other security-related issues
(…). They are also able to provide various degrees of
information about the identities, motivations, characteristics
and methods of attackers. This information is derived from
both technical sources (i.e. network traffic, sensor networks,
honeypots and files) and human analysis sources (i.e. the work
of threat intelligence analyst).”
Gartner, Competitive Landascape 2015
► Predictive Security
► Real-Time Threat Management
► Strategical (Advanced) SIEM
TECNOLOGIE
► Veicolati attraverso portali cloud-based
► Basati su analisi comportamentali e
rilevazione di signatures specifiche per
ciascun Cliente
► Erogati come SaaS, servizi professionali,
e/o facenti parte di servizi di sicurezza
gestiti o in outsourcing
► Data Feed e soluzioni con capacità di
analisi e mitigazione
ELEMENTI CARATTERISTICI
► Generazione automatica di avvisi
relativi alla diffusione di malware
e di patches per dispositivi di
sicurezza
► Servizi professionali di sicurezza
in termini vulnerability
assessment, consulenza sulle
informazioni acquisite, ecc
Fonte: Gartner 2015, IDC 2015
12. 12
Gli asset di Leonardo per la Threat Intelligence
Service Framework
INTELLIGENCE
OPERATION
CENTER
HIGH
PERFORMANCE
COMPUTING
INTELLIGO
PLATFORM
ANALYSTS TECNOLOGIA/HW TECNOLOGIA/SW
►Oggi il mercato richiede servizi di intelligence erogabili solo attraverso l’utilizzo
congiunto e sinergico di strumenti tecnologici innovativi e di analisti specializzati
►Siamo dotati di un Intelligence Operation Center (IoC) dedicato all’analisi delle
informazioni su fonti aperte, grazie al forte know-how maturato sul dominio intelligence
con grandi Clienti in particolare in ambito Difesa
►Il nostro IoC dispone di infrastrutture hardware/ software all’avanguardia e si avvale di
analisti con consolidate competenze di processo, supportati da strumenti di
workflow e di analisi evoluti
13. 13
Le famiglie dei servizi di Threat Intelligence
Servizi progettati per rilevare
e individuare nuove
vulnerabilità, attacchi
informatici in preparazione e
informazioni sottratte
illegalmente e pubblicate in
rete, attraverso il controllo
continuo delle fonti Web e
Darknet e l’analisi in real-
time di grandi quantità di
dati alla ricerca di possibili
indizi
Cyber Threat Intelligence
Services
Servizi concepiti per
collezionare, analizzare,
correlare informazioni su
fonti aperte al fine di offrire
un quadro completo sul
feeling relativo ad un brand,
ad un evento sociale o
politico, migliorando la
conoscenza su minacce
incombenti sui propri asset
Social and Security Threat
Intelligence Services
Servizi finalizzati a prevenire
frodi attuate attraverso
Internet relative a campagne
di phishing, appropriazioni
indebite di dominio e furti di
identità digitali attraverso il
controllo continuo delle
fonti Web e Darknet con lo
scopo di identificare gli
autori degli illeciti e
migliorare la capacità dei
Clienti di proteggersi da
frodi informatiche
Fraud Detection Threat
Intelligence Services
14. 14
Catalogo Servizi Threat Intelligence e Scenari applicativi
Ciascun servizio può essere configurato per operare in scenari applicativi specifici sulla base dei
del contesto in cui il Cliente opera
PRE-PLANNED ATTACK
HACKTIVISM
BRAND ABUSE
IDENTITY FRAUD
DETECTION
GEO
ACTIVISM
COUNTER TERRORISM
LAW ENFORCEMENT
INVESTIGATION
CYBER THREAT
INTELLIGENCE
Tactical Service
SOCIAL AND SECURITY
THREAT INTELLIGENCE
Tactical Service
FRAUD DETECTION THREAT
INTELLIGENCE
Tactical Service
CYBER THREAT
INTELLIGENCE
Strategic Service
SOCIAL AND SECURITY
THREAT INTELLIGENCE
Strategic service
FRAUD DETECTION
THREAT INTELLIGENCE
Strategic service
EARLY WARNING
DATA BREACH
BRAND REPUTATION
SOCIO-POLITICAL
EVENTS MONITORING
ANTI-PHISHING
BLACK MARKET
MONITORING
SCENARI APPLICATIVI SCENARI APPLICATIVI SCENARI APPLICATIVI
SCENARI APPLICATIVI SCENARI APPLICATIVI SCENARI APPLICATIVI
16. 16
ISS - Investigation Support Systems
Scene Crime
Investigation
INVESTIGATION ANALYSIS SYSTEM
► Effettua ricerche federate sulle sorgenti afferenti al
sistema, analizza e correla le entità estratte
► Realizza fascicoli di indagine e permette di
condividerli in modo collaborativo attraverso un tool
evoluto di case management
► Gestisce l’accesso e la distribuzione delle
informazioni in modo sicuro sulla base del profilo
utente attraverso un sistema di workflow
CRIME SCENE INVESTIGATION
► Ricrea virtualmente la scena del crimine
ricostruendone minuziosamente tutti i particolari,
con la possibilita di muoversi all’interno di essa
► Permette quindi di potenziare le attività di ricerca dei
mezzi di prova per il tribunale e di verifica degli
elementi oggettivi nell’ambito delle testimonianze
e/o delle diverse ipotesi investigative
CYBER CRIME CENTER
► Supporta le indagini svolte dai laboratori di analisi
forense in ambito digitale potenziando le capacità di
prevenzione delle attivita terroristiche
17. 17
EXPLORATIVE ANALYSIS
REPORTING AND
PREDICTION
DOSSIER INVESTIGATION &
INFORMATION ANALYSIS
WEALTH INVESTIGATION
OSINT, INTERNAL SOURCES & CHANGING
INTERNAL SYSTEMS
MANAGING
INFORMATION
ASSETS
TELEPHONY
ANALYSIS
RELATIONAL AND TEMPORAL ANALYTICS
SPATIAL ANALYTICS
EXTERNAL SOURCES
SIGINT &
FINGERPRINT
CAPTURE
Investigation PlatformInvestigation Platform
Classified
Classified
18. 18
CSI - Crime Scene Investigation
Scene Crime
Investigation
PRINCIPALI CARATTERISTICHE
► Apertura/modifica/chiusura analisi di scena;
► Assegnazione team;, Generazione report;
► Caricamento contenuti
► Inserimento/modifica/cancellazione entità in analisi
di scena;
► Analisi relazionale
► Collegamento entità/contenuto/link a identificativo
reperto Easytrack;
► Supporto alle atività del RAC
► Integrazione con LIMS-EasyTrack
► Integrazione basi di dati interne (anche multimediali)
e basi di dati esterne (AFIS, IBIS, Archivio impronte-
pneumatici
► CCDNA, SICOTE (Catasto, Conservatoria, MCTC,
Telemaco dati, SDI, Ansa, Weblase, Geode)
Overview della piattaforma
DESCRIZIONE
► Ricrea virtualmente la scena del crimine ricostruendone
minuziosamente tutti i particolari, con la possibilita di muoversi
all’interno di essa
► Permette quindi di potenziare le attività di ricerca dei mezzi di prova per
il tribunale e di verifica degli elementi oggettivi nell’ambito delle
testimonianze e/o delle diverse ipotesi investigative
19. 19
IAS - Investigation Analysis Systems
PRINCIPALI CARATTERISTICHE
► Monitoraggio fonti informative eterogenee
(strutturate e non strutturate, interne ed archivi
esterni);
► Analisi di tracciati telefonici ed attività di navigazione
su Internet ed analisi selettiva di conversazioni
vocali, navigazione Web ed e-mail;
► Data mining e analisi di banche dati strutturate e
non strutturate;
► Archiviazione efficiente e normalizzazione di grandi
quantità di dati;
► Strumenti di ricerca avanzata (Semantic Analysis &
Pattern Matching, algoritmi statistici);
► Analisi visiva (grafico, Geospatial & visualizzazione
e l'analisi delle entità di casi rilevanti temporale);
► Case management;
Overview della piattaforma
DESCRIZIONE
► Effettua ricerche federate sulle sorgenti afferenti al sistema, analizza e
correla le entità estratte
► Realizza fascicoli di indagine e permette di condividerli in modo
collaborativo attraverso un tool evoluto di case management
► Gestisce l’accesso e la distribuzione delle informazioni in modo sicuro
sulla base del profilo utente attraverso un sistema di workflow
20. 20
Cyber Crime Center
PRINCIPALI CARATTERISTICHE
► Il monitoraggio di fonti Darknet come: Tor, P2P
Freenet, I2P;
► Profiling: ovvero la possibilità, dato un soggetto e
alcune informazioni correlate, di ricercare sulle fonti
analizzate (sia Internet sia Dark), le informazioni del
profilo mancanti ed eventuali altri account
relazionabili;
► Surveillance tramite strumenti di pattern matching o
semantici configurabili su target specifici: ovvero la
possibilità di controllare in modo automatico specifici
target per capire la pubblicazione d’informazioni
d’interesse.
► Alerting & Reporting
► Malware analisys su dispositivi mobili dotati di
sistema operativo Android ed iOS.
Overview della piattaforma
DESCRIZIONE
► Supporta le indagini svolte dai laboratori di analisi forense in ambito
digitale potenziando le capacità di prevenzione delle attivita terroristiche
21. 21
Applicazione dell’Intelligenza Artificiale all’Intelligence
Campi di
Applicazione
Cyber Crime
Cyber Bullismo
Cyber Espionage
Cyber Terrorism
Computer Fraud
Competitive
Analysis
Vantaggi
Evoluzione
automatica
delle
Ontologie.
Aumento
della
capacità di
predizione
della
minaccia
Efficientame
nto del
lavoro degli
analisti
Elemento
Innovativo
Organizzare
le
informazioni
derivate
dall’esecuzio
ne dei servizi
Applicare
metodi di
Intelligenza
Artificiale e
Semantic
Reasoning
Leonardo
T.I.S.
ONTOLOGIE
ENGINE di
Semantic Analysis
Machine Learning
Predictive
Analysis
BIG DATA
Gestione di una
grande mole di dati
tramite sistemi HPC
BASE DI
CONOSCENZA