Il percorso del Piano Industriale di TIM

Nuova TIM

Scopri i punti essenziali della nuova TIM. Approfondisci

Risultati Q3/9M 2024

Il 14 novembre 2024 il Management di TIM ha presentato i risultati del Q3/9M 2024 approvati dal Consiglio di Amministrazione. Approfondisci

La sostenibilità per TIM

Bilancio di Sostenibilità 2023

Vogliamo contribuire ad accelerare la crescita sostenibile dell’economia e della società portando valore e benessere alle persone, alle aziende, alle istituzioni. Approfondisci

Ultimi Comunicati Stampa

Redazione ufficio stampa

Leggi gli ultimi comunicati stampa e naviga nell'archivio dell'Ufficio Stampa del Gruppo TIM. Leggi i comunicati

tag

Dopo una veloce incursione nella Cyber Threat Intelligence, che presenta i prin­cipali concetti e motivazioni di questa branca della Cybersecurity, l’articolo pre­senta la piattaforma di Threat Intelligence di TIM, partendo dalle origini, sino alle attuali funzionalità più innovative, che hanno fatto sì che TIM venisse inserita nell’Innovation Radar Europeo per i contributi implementati nell’ambito del pro­getto europeo H2020 Concordia, in particolare lo sviluppo del pilot “Automated Processing of Threat Intelligence Information”.

Scarica il PDF

Down

Threat Intelligence Platf...

2032 KB

La Cyber Threat Intelligence

Lo scenario attuale delle minacce cyber è caratterizzato da una crescente complessi­tà e sofisticazione delle tattiche utilizzate dagli attori malintenzionati. Questo scena­rio è influenzato da una serie di fattori, tra cui i conflitti geopolitici in corso, le tensioni tra Nazioni, le rivalità tra gruppi criminali e l’evoluzione delle tecnologie informatiche. È necessario quindi sviluppare un’intelli­gence sulle minacce, per migliorarne il ri­levamento e la prevenzione, il che significa contestualizzare gli attacchi in merito a chi sta attaccando, le sue motivazioni, le risorse e le opportunità di cui dispone.
La Cyber Threat Intelligence (CTI) può essere definita come la conoscenza com­plessiva e dettagliata delle minacce infor­matiche attuali o emergenti [1]. Partendo dalla definizione in ambito militare [2], da cui la CTI deriva, l’intelligence è la raccolta e l’elaborazione di informazioni riguardanti entità competitive e i loro agenti, necessa­rie a un’organizzazione o a un gruppo per la propria sicurezza. L’intelligence è quindi sia un processo che un prodotto.
Nell’ambito cyber, la CTI è il processo di raccolta, elaborazione e analisi dei dati mentre il prodotto è la comprensione del­le motivazioni, capacità, obiettivi e com­portamenti degli attori delle minacce finalizzata a supportare il processo deci­sionale e a cambiare l’approccio difensivo da reattivo a proattivo. Un’organizzazione deve prima di tutto co­noscere cosa può rappresentare una mi­naccia valutando la Capacità, l’Intento e le Opportunità di un potenziale attac­cante. Questo implica che una vulnerabi­lità da sola non rappresenta una minac­cia, ma un’opportunità per un avversario; un malware da solo non è una minaccia a meno che non ci sia l’intenzione di un av­versario e un’opportunità per utilizzarlo. La minaccia appare se c’è un’intersezione non nulla tra capacità, intento ostile e opportu­nità. Ne deriva che la CTI rappresenta tutto quell’insieme di informazioni riconducibi­li a degli eventi ostili, che consente di far acquisire all’organizzazione un vantaggio strategico e che permette di identificare, prevenire e mitigare le minacce informa­tiche.

Principali tipologie di Threat Intelligence
L’Intelligence strategica è in grado di otte­nere una visione di alto livello sulle tendenze delle minacce informatiche, ad esempio quel­le che interessano un determinato settore, o sul come o il perché alcuni asset strategici di un’organizzazione possono essere presi di mira. Aiuta quindi a sviluppare strategie in­formate per contrastare le minacce a lungo termine.
L’Intelligence tattica è finalizzata a identi­ficare indicatori di compromissione (IoC) per aiutare i team di risposta agli incidenti e di sicurezza a rilevare gli attacchi in corso o a prevenirli. Gli IoC includono elementi come indirizzi IP, domini malevoli, hash di malware. L’intelligence tattica in genere ha un ciclo di vita piuttosto breve poiché gli attori cambiano spesso le loro infrastrutture [3].
L’intelligence operativa fornisce informazioni dettagliate su specifici vettori di attacco, de­scrive le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce. Nasce per rispondere a domande su chi/come/perché e quindi richiede maggiori risorse rispetto a quella tattica. In genere ha una durata di vita più lunga, perché il modus operandi degli at­tori cambia con meno rapidità rispetto agli strumenti utilizzati [4].

Il ciclo di vita dell’intelligence
L’acquisizione dell’intelligence scaturisce da un processo che prevede diverse fasi: la pia­nificazione, raccolta, analisi, implementa­zione, diffusione. Queste definiscono il ciclo di vita dell'intelligence (Fig.1).

Figura 1: Il ciclo di vita dell’intelligence

Clicca qui per ingrandire l'immagine

Molto importante è la fase di raccolta dei dati, attraverso feed di intelligence che pos­sono essere a pagamento o open source, sia in forma strutturata (indicatori di compro­missione – machine readable) che in forma destrutturata (documenti, report – human readable). Qui gioca un ruolo fondamentale l’affidabilità e credibilità delle fonti e la ca­pacità di identificare quelle più rilevanti per l’organizzazione. Se mentre da un lato più fonti di Threat Intelligence possono fornire maggiore visibilità, esiste il rischio di una so­vrabbondanza di informazioni irrilevanti sul­le minacce.
L’analisi dei dati raccolti permette l’arricchi­mento, la correlazione e contestualizzazione attraverso il lavoro degli analisti e l’uso di strumenti automatizzati (Fig.2).

Figura 2: Dai dati all’informazioni, all’intelligence

Clicca qui per ingrandire l'immagine

Il passaggio dai dati grezzi all’intelligence è es­senziale: un indirizzo IP di destinazione raccol­to dall’ambiente operativo è un dato, “questo indirizzo IP è il server di comando e controllo per questo determinato malware” è un’infor­mazione, mentre “valutiamo che si tratti di un attacco mirato e un’infezione di un nostro sistema da parte di un determinato malware utilizzato da un determinato attore delle mi­nacce” è effettivamente l’intelligence che de­riva dall’analisi che correla dati e informazio­ni provenienti da diverse fonti per aggiungere contesto e per scoprire pattern [5].

TIP – la piattaforma di Cyber Threat Intelligence di TIM

Il progetto di creare una piattaforma per ge­stire la Threat Intelligence nasce in TIM nel 2017, con l’intento di superare le limitazioni delle piattaforme commerciali esistenti e of­frire maggiore flessibilità, focalizzandosi sui bisogni specifici del processo che andava na­scendo. Molte volte, infatti, le piattaforme di security commerciali si erano dimostrate solo parzialmente adatte ai complessi processi di un’azienda come TIM, richiedendo sviluppi custom difficilmente implementabili. Il Se­curity Lab aveva un’esperienza di sviluppo di piattaforme web basate su Ruby on Rails e quindi questa fu la scelta naturale. Sotto questa tecnologia furono fatte convogliare le altre tecnologie open source che ancora oggi sono in uso: MySQL (e poi PostgreSQL), Ela­sticsearch, Linux). Inoltre, furono affiancate altre piattaforme che servivano a facilitare l’interconnessione verso altri ambienti, come MISP, Minemeld, TAXII in tutte le sue incarnazioni, e così via. Tutte queste tecnologie dovevano collaborare per coprire i vari requisiti che via via emergevano, che hanno poi portato ad una architettura ampia, complessa e scalabile (Fig.3).

Figura 3: L’architettura della TIP

Clicca qui per ingrandire l'immagine

Al momento dell’avvio del progetto, la Threat Intelligence gestiva alcune centinaia di indicatori di compromissione (IoC), principalmente lavorati manualmente. Con l’arrivo della TIP, 7 anni più tardi, i numeri sono cresciuti di molti ordini di grandezza. Uno su tutti: gli IoC attualmente presenti nella piattaforma sono 24 milioni (Fig.4).

Figura 4: Alcuni dati significativi della TIP

Clicca qui per ingrandire l'immagine

Grazie all’interfaccia web della TIP è possibile accedere e consultare le diverse informazioni, effettuare operazioni, richiedere azioni, comprendere lo stato di blocco/detection sui vari consumatori, eseguire ricerche Open Source Intelligence (OSINT). Dietro a tutto questo c’è il backend, un potente sistema di elaborazione dati, composto da scheduler, processori, motori di indexing, che permette di fare tutte le elaborazioni automatiche al fine di alleviare gli analisti dal lavoro più routinario e massivo. Infine, ci sono le interconnessioni ovvero tutti quei connettori che, a vario titolo, parlano con i sistemi esterni, sia in lettura che in scrittura. Queste parti lavorano insieme per implementare il ciclo di vita IoC, andando a ricalcare il tradizionale ciclo di vita della CTI. Le cinque fasi sono consecutive e inter-collegate, e l’output di ogni fase può diventare l’input di un’altra, secondo un tradizionale approccio di retroazione (Fig 5).

Figura 5: Il ciclo di vita della CTI in TIP

Clicca qui per ingrandire l'immagine

Le tipologie di dati
Per meglio rappresentare le peculiarità dei dati presenti, questi sono memorizza­ti in TIP secondo un modello relazionale che tiene conto delle diverse informazioni presenti. Elenchiamo qui alcuni dei modelli presenti e il loro ruolo nel ciclo di vita:

  • IoC: è l’informazione base presente in TIP, oltre che la più importante. Si tratta principalmente di hash (di file di malwa­re), IP (di attaccanti), domini/URL (di siti compromessi);
  • Campagne: sono raggruppamenti di IoC e rappresentano eventi malevoli di va­ria natura. Possono riguardare singoli attacchi cyber, eventi persistenti, campa­gne di spam;
  • Threat Actor: rappresentano i gruppi di avversari (nation-state, o cyber criminal) dietro agli attacchi. Questa informazione in TIP aiuta a caratterizzare le minacce e a comprendere i fenomeni.

Tali modelli sono interconnessi tra loro (re­lazioni da uno a molti), permettendo un’a­deguata contestualizzazione e correlazione delle informazioni. La TIP contiene molti altri modelli (Threat Type, Threat Name/Malware, Vulnerabili­ty, Target Sector, Target Technology, Target Country) che permettono di aggregare fram­menti di informazioni per costruire uno sce­nario il più completo e approfondito possibi­le. Le informazioni di contesto sono ora rice­vute dalle varie sorgenti tramite API oppure inserite manualmente dagli analisti, men­tre in futuro è prevista la possibilità di ac­quisizione, processamento e analisi dell’in­formazione tramite l’utilizzo di tecniche di Artificial Intelligence (AI), particolarmente Natural Language Processing (NLP), in grado di comprendere e identificare, in vari report, articoli, post su web e dark forum, i principali elementi della CTI insieme alle loro relazio­ni. Tali informazioni sono poi riportate sulla TIP in modo da completare e contestualizza­re le informazioni già presenti e permettere un’analisi esaustiva dei fenomeni, come ad esempio la profilatura dei threat actor, delle campagne di attacco, statistiche e trend sul­le tipologie di minacce, indagini su particola­ri indicatori.

TIP Innovation

La Threat Intelligence non può prescindere dall’avvalersi dell’uso di nuovi strumenti tecnologici come il Machine Learning (ML) e l’Intelligenza Artificiale (AI). Nell’ambito del progetto H2020 Concordia [6], a cui TIM ha partecipato, è stato sviluppato un intero use case dedicato alla CTI per il settore delle telecomunicazioni, intitolato “Automated Processing of Threat Intelligence Information”, per il cui contributo TIM è stata inserita nel database EU dell’Innovation Radar Europeo (le aziende europee con il più alto potenziale di innovazione). L'obiettivo principale è stato quello di progettare e implementare un metodo di automazione del consumo degli indicatori, con il requisito di poter gestire milioni di IoC al giorno, provenienti da sorgenti eterogenee con diversi livelli di contestualizzazione dell'informazione. Dati questi requisiti, è stato definito un approccio automatico di analisi, validazione e prioritizzazione al consumo degli IoC, basato interamente sull’utilizzo di un insieme di algoritmi di Machine Learning. In una prima fase di training l’algoritmo impara il comportamento degli analisti per le principali macro-tipologie di indicatori (hash o network) e, in seguito, è in grado di assegnare uno score di priorità usabile ai fini del consumo dei nuovi IoC. Per il training sono stati usati circa 1,2 milioni di indicatori raggruppati nei macrogruppi Hash (riguardanti file, eseguibili, malware) e Net (indirizzi IP, domini, URL dannosi) ed etichettati dagli analisti CTI. Quest’ultima operazione è un’eccellente base di conoscenze per la formazione sull’apprendimento automatico supervisionato dei motori che avranno poi il compito di classificare i nuovi IoC. Il modello e le feature utilizzate sono specifiche per ciascuno macrogruppo. Il set completo di feature estratte dai dati contiene 43 elementi. Tuttavia, il sistema ottiene un buon risultato di classificazione anche con sole 16 feature come illustrato in Fig.6.

Figura 6: Dati di performance

Clicca qui per ingrandire l'immagine

Sono stati testati diversi algoritmi e loro combinazioni e il modello con le migliori prestazioni si è rivelato essere il Random Forest. Le prestazioni raggiungono rispettivamente il 92% e 95% dello score F1, che misura l’accuratezza del modello, sia per IoC di tipo Hash che per IoC di tipo Net. Oltre all’algoritmo di prioritizzazione automatica degli indicatori di compromissione, nell’ambito del progetto si sono sviluppati anche strumenti per la condivisione delle informazioni di CTI, come il modulo MISP per la condivisione degli indicatori, estratti in tempo reale, relativi ad attacchi DDoS rilevati dagli strumenti di detection disponibili presso i vari partner del progetto (“DDoS Clearing House”).

Conclusioni

A sette anni di distanza, la piattaforma per gestire la Threat Intelligence in TIM si trova al centro dei processi di Threat Management/Prevention e sta diventando sempre più importante per il Threat Hunting e l’Incident Handling. Sono state realizzate importanti integrazioni e sviluppi orientati sia alla fase di acquisizione dei dati, con l’integrazione di nuove sorgenti, che alla fase di analisi e consumo/condivisione per rendere la TIP uno strumento completo ed efficace nell’analisi delle minacce sempre più al supporto della security complessiva dell’azienda con la capacità di generare report strategici, tattici e operational. A tal punto è previsto in futuro l’utilizzo di strumenti di Artificial Intelligence a supporto degli analisti, tramite la ricerca e la sperimentazione delle tecnologie di Natural Language Processing in ambito CTI.

Riferimenti

  1. Definition: Threat Intelligence: https://www.gartner.com/en/documents/2487162
  2. A Definition of Intelligence: https://www.cia.gov/resources/csi/static/Wanted-Definition-of-Intel.pdf
  3. David Bianco “Pyramid of Pain”: http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
  4. Centre for Internet Security (CIS): https://www.cisecurity.org/what-is-cyber-threat-intelligence/ - defines strategic, operational, and tactical
  5. The Data, Information, Knowledge, Wisdom Chain: The Metaphorical link, Michael Hey in 2004: https://www.jonohey.com/files/DIKW-chain-Hey-2004.pdf
  6. Concordia – Cyber Security Competence for Research and Innovation: https://www.concordia-h2020.eu/

Acronimi

AI           Artificial Intelligence

CTI        Cyber Threat Intelligence

IoC        Indicator of Compromise

IP          Internet Protocol

MISP     Malware Information Sharing Platform

ML        Machine Learning

OSINT   Open Source Intelligence

SQL       Structured Query Language

TAXII     Trusted Automated Exchange of Intelligence Information

TIP        Threat Intelligence Platform

TTP       Tactics, Techniques and Procedures

URL       Uniform resource locator