#CybersecurityCafé

di Tommaso Rescio, Luca Gioacchini, Marco Mellia, Luca Vassio, Idilio Drago - Politecnico di Torino

Dall’inarrestabile espansione dei social media, all’uso sempre più frequente dello smart working, le nostre vite subiscono quotidianamente l’influenza della tecnologia, esponendosi, di conseguenza, ai rischi relativi alla sicurezza informatica. Gli attacchi informatici che colpiscono le reti sono in continuo aumento: per esempio, il numero totale di attacchi DDoS raddoppierà da 7,9 milioni nel 2018 a 15,4 milioni entro il 2023, come riportato Cisco Annual Internet Report.

In tale contesto risulta evidente come un disservizio causato da un attacco informatico possa danneggiare sia la nostra privacy che il funzionamento dei servizi che quotidianamente usiamo. Un esempio eclatante? Il cyberattacco alla Oracle Dyn Global Business Unit del 2016, che ha reso inaccessibili oltre 70 servizi tra cui Amazon, Netflix e Twitter a seguito di richieste malevole provenienti da decine di migliaia di indirizzi IP compromessi da una variante di Mirai, un malware progettato per operare su dispositivi IoT rendendoli parte di una botnet.

Un approccio automatico per l’analisi delle minacce informatiche

Il principale obiettivo della sicurezza informatica è la ricerca di metodi e strategie capaci di prevenire il rischio di minacce. Poiché «gli aggressori sono molto più veloci nello sfruttare le vulnerabilità di quanto le aziende informatiche possano prevenirle» (Heartbleed), oggi non è più sufficiente affidarsi a tecniche quali sistemi di Intrusion Detection o Prevention, antivirus e fire- wall dinamici.
Dati l’aumento del numero di dati da analizzare, il maggior rigore dei requisiti a tutela della privacy e la crittografia di gran parte del traffico, è necessario superare l’analisi manuale, ricorrendo a strumenti di identificazione automatica delle anomalie, che consentono di scoprire efficacemente le più recenti ed emergenti tipologie di attacco per adottare tempestivamente contromisure adeguate.

Il progetto smartPOT

Così è nato il progetto smartPOT, frutto di una collaborazione in atto tra il Politecnico di Torino e GARR. L’obiettivo del progetto è la realizzazione di un framework che permetta l’analisi automatica del traffico Internet al fine di identificare in tempo reale comportamenti sospetti e dannosi degli utenti, con l’obiettivo ultimo di approfondire la conoscenza delle dinamiche alla base degli attacchi informatici e agevolare il compito di analisti e amministratori di rete.

Gli strumenti su cui il progetto si sviluppa sono le honeypot, per monitorare il traffico attivo, e le darknet, per registrare il traffico passivo. Mentre le prime consistono in sistemi realizzati con il preciso scopo di subire attacchi da parte di hacker e così monitorare il traffico malevolo, le seconde sono reti di IP esistenti che non forniscono od ospitano nessun servizio. A causa di questa assenza di servizi, le darknet costituiscono un punto di osservazione privilegiato delle possibili minacce, in quanto il traffico ricevuto è anomalo per definizione.

In particolare, per le honeypot, saranno utilizzate tecniche di Deep Packet Inspection (DPI) con lo scopo di inferire il protocollo dell’attaccante in tempo reale e di rispondere con il servizio più appropriato. Per quanto riguarda le darknet, tramite l’applicazione di tecniche di Data Mining non supervisionate si cercherà di individuare comportamenti coordinati tra gruppi di indirizzi IP sorgente al fine di scoprire nuove minacce ed evidenziare possibili anomalie nel traffico ricevuto.

L’impatto dell’infrastruttura GARR

Grazie all’integrazione delle honeypot sviluppate e di due darknet (/24) implementate dal Politecnico di Torino e da GARR, è il progetto smartPOT costituirà un sistema automatico di generazione allarmi per possibili attacchi, trovando applicazione non solo nell’ambito del monitoraggio e amministrazione della rete, grazie alla sua integrazione negli apparati di reportistica e ticketing in tempo reale già presenti, come quelli usati sulla rete GARR, ma anche nel campo della sicurezza informatica, ad esempio come fase preliminare dello sviluppo di un framework volto alla realizzazione di blocklist di indirizzi IP.

Il progetto smartPOT si pone come uno strumento in grado di ottenere informazioni riguardo possibili minacce, anomalie e pattern di attacco comuni grazie alla raccolta e all’analisi del traffico diretto alle honeypot e alle darknet. Il fine ultimo sarà, dunque, fornire assistenza agli operatori e gestori della sicurezza per garantire loro strumenti innovativi e automatici, capaci di evidenziare e individuare eventuali singolarità e prevenire futuri attacchi limitando i danni alle infrastrutture di rete.

La figura mostra il quadro generale del progetto. L’Orchestrator dirige il traffico ricevuto verso l’honeypot di competenza sulla base del tipo di attività rilevata. DPIpot, tramite tecniche DPI, re-indirizza in tempo reale il traffico ricevuto all’honeypot più adatta. La darknet registra quanto ricevuto e offre supporto alle honeypot estraendo informazioni sulle attività sconosciute.