Cisco Italia Blog
Share

Machine learning: come viene usato da Cisco per affrontare le minacce avanzate


4 April 2019


Ultimamente si parla spesso di machine learning quando si tratta il tema della cybersecurity. Sembra che non si possa parlare di una cosa senza trattare anche l’altra. Molte delle aziende con cui parlo sono infatti interessate a saperne di più, ma finiscono spesso più confuse di prima dopo aver iniziato a raccogliere informazioni a riguardo.
Per fare un pò di chiarezza partiamo dall’analisi fatta nel blog “Tutti i miti del Machine Learning negli Endpoint Security“.

In Cisco utilizziamo il Machine Learning (ML) da decenni, quindi per noi questa non è una novità. Abbiamo numerosi e diversi team specializzati che si occupano solo di sicurezza e più di 20 persone con un dottorato in Machine Learning focalizzate solo su questo. I nostri team usano il machine learning come metodo per rilevare e analizzare le minacce. E questa è la prima importante distinzione da fare: il machine learning è un metodo, non un risultato. Si tratta di un distinguo importante nell’ambito della sicurezza. Negli ultimi anni molte aziende hanno pubblicizzato il proprio machine learning, ma non sono mai state disposte a spiegare nel dettaglio cosa questo significhi davvero.

Perché Cisco è diversa?
Nel 2013 abbiamo acquisito Cognitive Security, un’azienda completamente dedicata al machine learning. Abbiamo integrato rapidamente la loro tecnologia, ora chiamata Cognitive Intelligence, con le nostre soluzioni di sicurezza  per migliorare l’analisi (qui potete leggere tutta la serie di blog su questo tema). Si trattava di un approccio passivo al rilevamento. I log vengono inviati dai proxy a Cognitive Intelligence per l’analisi. Analizziamo gli attributi dei log, senza aver mai bisogno di esaminare il payload, per scoprire le attività anomale che si discostano dalla norma. Il risultato è semplice: Cognitive Intelligence emette avvisi solo circa gli host che di sicuro sono stati compromessi. Dal momento che genera avvisi solo per le infezioni confermate, gli analisti non perdono tempo e passano direttamente alle fasi di correzione e pulizia.

Questo è stato solo l’inizio dell’integrazione del machine learning nelle nostre soluzioni di sicurezza. Abbiamo compreso subito il valore di questa tecnologia e abbiamo iniziato a sfruttarne le solide funzionalità di analisi in altre parti della nostra architettura  di sicurezza. Abbiamo inserito gli algoritmi per correlare enormi quantità di dati e fornire un’intelligence superiore a ciò che potrebbe essere rilevato da un solo vettore. Ad esempio, si possono correlare i dati del traffico di rete con la comunicazione dei proxy  per identificare un host compromesso che dispone dei privilegi di amministratore e compie movimenti laterali, cosa impossibile da rilevare usando una sola tecnologia. Tuttavia, ciò sarebbe possibile connettendo diversi elementi. Ed ecco che ci siamo resi conto del vero valore di ciò che avevamo a disposizione.

Il machine learning applicato alla telemetria della rete
È risaputo che Cisco è un pioniere nell’ambito degli switch e dei router. Sostanzialmente abbiamo costruito la colonna portante di Internet e dell’infrastruttura della maggior parte delle aziende. Questa infrastruttura di rete esistente è una ricca fonte di dati. Ad esempio, Stealthwatch raccoglie e analizza la telemetria della rete per individuare le minacce che potrebbero nascondersi al suo interno. Si integra inoltre con il motore di machine learning di Cognitive Intelligence, che mette in correlazione i comportamenti delle minacce individuati localmente all’interno dell’azienda con quelli rilevati a livello globale. È in grado di rilevare le anomalie ed è anche abbastanza intelligente per poi classificare elementi individuali di “attività delle minacce” (perché una cosa anomala non necessariamente è dannosa), il che porta alla generazione di avvisi critici e molto accurati. È anche la tecnologia che sta alla base di Encrypted Traffic Analytics (ETA), che è in grado di rilevare il malware nel traffico criptato senza decifrarlo: una novità assoluta nel settore!

Machine learning nella sicurezza degli endpoint
Quando si discute di sicurezza degli endpoint, in genere si dà per assodato che il rilevamento basato su firma (ad esempio i file hash) sia una parte della soluzione, non LA soluzione. La complessità di cambiare i valori dei file hash o gli intervalli degli indirizzi IP è irrisoria, il che significa che gli hacker possono generare nuovi hash SHA256 per ogni infezione. Mentre un valore di hash può essere sufficiente per identificare un singolo file dannoso, non consente di identificare altre infezioni correlate di malware polimorfico che possono essere associate allo stesso exploit o anche allo stesso hacker. Semplicemente lo stesso hash non verrà mai rilevato due volte.

Quando applichiamo il machine learning a questi file, siamo in grado di sezionare ogni file che analizziamo. È come guardare i singoli componenti che costituiscono un’auto rispetto all’intera auto. Sì, le automobili hanno le ruote, il motore, il parabrezza, i finestrini, un telaio e così via. Ma ovviamente non tutte le automobili sono uguali. Lo stesso vale per il malware. Possiamo scomporre ogni singola minaccia in minimi dettagli (oltre 400 diversi attributi). Questi attributi vengono utilizzati come classificatori diversi nel modello di machine learning: il maggior livello di dettagli genera un algoritmo più intelligente e potenziato e risultati più accurati. Ciò significa che il nostro machine learning individua meglio quelle nuove minacce riprogettate. Gli autori delle minacce spesso rielaborano i loro exploit in formati diversi, come la vulnerabilità di Flash  CVE-2018-4878 che è stata utilizzata in vari exploit, tra cui ROKRAT e la sua campagna seguente. Il machine learning è una delle 14 diverse tecniche usate da AMP for Endpoints per rilevare le minacce e offrire protezione.

Unire le diverse tecnologie
Uno degli aspetti che ci fa essere all’avanguardia è la definizione dei modelli usati dagli attaccanti grazie al machine learning e al motore di analisi Cognitive Intelligence. Correlando la telemetria dei proxy (Cisco e di terze parti), la telemetria di rete (di Stealthwatch), i valori SHA256 e il comportamento dei file di AMP,  stabiliamo in che modo gli hacker agiscono, che cosa fanno e persino chi sono. Quando inseriamo tutti questi dati nei nostri algoritmi di machine learning, si ottiene un livello di analisi senza precedenti e, cosa ancora più importante, blocchiamo un maggior numero di minacce prima che diventino un problema. Analizzeremo in modo approfondito i vari classificatori nei prossimi blog.

Potete provare con mano AMP for Endpoints con una versione gratuita disponibile qui:
www.cisco.com/go/tryamp

Per maggiori informazioni su come applichiamo il machine learning alle soluzioni Cisco Security, guardate questo video tecnico.
—————————————–
Se hai letto questo post potrebbero interessarti anche:

Tutti i miti sul Machine Learning negli Endpoint Security
Come i “Side-Channel Attack” possono compromettere la privacy in WhatsApp, Telegram e Signal

 

Tags:
Lascia un commento