Il termine "cyber" è ormai divenuto parte del vocabolario comune
ed associato ad altri termini quali "attack", "defence", "operations",
circoscrive un ben specifico settore del più esteso
cyberspace.
Oggi mi voglio occupare di cyber defence e a questo proposito mi sono
rivolto a Cisco che mi ha presentato la sua soluzione chiamata
"Umbrella". In particolare, i traghettatori Cisco in questo viaggio
nella sicurezza sono stati Giovanni Di Venuta referente di prevendita
tecnica per il mercato Difesa, Paolo Carini in qualità di esperto di
soluzioni
Cloud Security ed Alessandro Monforte come responsabile delle relazioni commerciali per soluzioni di
Cloud Security.
Fatte le presentazioni, cominciamo dall'inizio, ovvero: cos'è Cisco Umbrella?
Cisco Umbrella è una soluzione in cloud che fornisce un servizio di
difesa di prima linea (appunto un ombrello di protezione) a chi
necessita di affacciarsi su Internet.
Il funzionamento di Cisco Umbrella è relativamente semplice anche se
la sua efficacia è basata su soluzioni tecnologiche molto complesse.
Vediamo, in poche parole, come funziona.
Per spiegarne il funzionamento è utile menzionare che Cisco Umbrella
deriva dall’acquisizione Cisco di OpenDNS che storicamente offre un
servizio DNS (donaim name server) affidabile, sicuro ed a bassa latenza.
Cisco Umbrella unisce alle funzionalità tipiche del DNS quelle di
sicurezza, ossia basandosi sul dominio del sito web richiesto
dall’utente applica le opportune politiche di sicurezza.
Per essere più chiari, se da un computer aziendale un dipendente,
attraverso un browser, sta navigando su Internet e chiede di accedere ad
una determinata pagina web, la richiesta di accesso è "mediata" da
Cisco Umbrella (DNS) che verifica se tale indirizzo web è catalogato
come pericoloso; se lo fosse, all'utente verrebbe mostrata una pagina
web che informa che la pagina richiesta non è disponibile per motivi di
sicurezza.
L'utente può dunque proseguire la sua attività senza ulteriori
problemi e, soprattutto, senza correre i rischi associati alla
navigazione su un sito pericoloso.
Ma come fa Umbrella a sapere che il sito è pericoloso? E siamo sicuri
che lo sia veramente? Qual è la percentuale di "falsi positivi", ovvero
di errori compiuti da Umbrella che identificano come "pericoloso" un
sito che non lo è e come "attendibile" un sito che invece è
"pericoloso"?
Il lavoro di routine di Cisco Umbrella consiste nel raccogliere
informazioni in Internet e su Internet; in Internet in quanto
l'infrastruttura di Umbrella si trova sul cloud ricevendo ad oggi circa
125 miliardi di richieste DNS al giorno. Su internet in quanto raccoglie
dati e informazioni sulla infrastruttura di Internet, sulle reti che ne
fanno parte, sui domini, sugli autonomous systems, sugli indirizzi IP,
su chi ne è proprietario, sugli attacchi informatici, sulla loro
provenienza e così via.
In questo modo Umbrella riesce ad avere le informazioni su come i
siti sono interconnessi tra di loro da un punto di vista
infrastrutturale ed avere quindi informazioni sugli “attaccanti”.
Dati e informazioni vengono correlate tramite l'uso di algoritmi
proprietari che consentono di capire in quale parte di Internet si
corrono maggiori rischi e sulla base di ciò, impedire il collegamento
verso una certa zona, anche a fronte di una specifica richiesta da parte
di una applicazione o di un utente. Una delle caratteristiche di
Umbrella è anche quella di essere predittiva sulle analisi di sicurezza
per un nuovo sito web e quindi bloccare nuove minacce prima del loro
manifestarsi.
Cisco stima che la percentuale di falsi positivi è molto bassa, circa
1/10.000, ciò significa per l'appunto che statisticamente ogni 10.000
domini classificati come malevoli uno non lo è.
L'aggiornamento delle informazioni è comunque continuo per cui ciò
che in questo istante può essere un falso positivo, pochi minuti dopo
verrà probabilmente corretto; questo perché la raccolta di dati e
l'analisi predittiva è incessante. Di seguito una rappresentazione
(effettuata tramite OpenGraffiti, un tool gratuito di rappresentazione
3D utilizzato per analizzare i dati) della rete infrastrutturale
supportante una nota botnet (MIRAI) da cui è possibile analizzare
graficamente le interazioni tra domini, autonomus systems, indirizzi
IP/email utilizzati dagli attaccanti.
La soluzione Cisco Umbrella è in funzione da diversi anni e si basa
su una infrastruttura di raccolta e analisi di dati enorme, 26 Data
Center distribuiti in tutto il mondo (v.mappa).
Cisco Umbrella nasce grazie all'idea di David Ulevitch che nel 2006
(all'età di 25 anni!) fondò una società chiamata OpenDNS, con sede in
San Francisco. La società aveva lo scopo di fornire servizi di DNS
(Domain Name System) e di sicurezza ed è tutt'ora così.
OpenDNS continua ad esistere e a fornire servizi gratuiti a clienti
non professionisti mentre Umbrella fornisce servizi a pagamento a
società e organizzazioni. Con l’acquisizione da parte di Cisco, la
soluzione di OpenDNS si avvale anche della security intelligence Cisco
ossia TALOS formata da un team di ricercatori che in maniera dedicata si
occupa di analisi di threat intelligence.
La potenza del sistema si basa sulla statistica dei grandi numeri e
sull'analisi predittiva svolte in maniera continuativa sul database a
grafo che contiene tutte le informazioni infrastrutturali di cui abbiamo
parlato prima. Per questo motivo sono benvenuti anche i singoli utenti
che seppure non portano guadagni diretti, consentono la raccolta di dati
utili alle analisi.
Ma come si implementa Cisco Umbrella? L'implementazione è molto
semplice in quanto basta impostare Cisco Umbrella come il DNS
dell’organizzazione per risolvere le richieste pubbliche (internet) ed
oltre a risolvere il dominio richiesto dall’utente saranno applicate le
policy di sicurezza impostate dal security admin sulla dashboard di
Cisco Umbrella.
È facile intuire che l’enorme mole di dati che Cisco ha a
disposizione rappresenta un grande valore aggiunto per chiunque sia
interessato ad analizzare le infrastrutture da cui viene attaccato o che
semplicemente hanno interazioni frequenti con le proprie. Cisco mette a
disposizione l’accesso ai dati tramite la soluzione chiamata
”Investigate” fruibile tramite una console (dashboard) oppure tramite
interfacce di programmazione (API); tale offerta è generalmente diretta
alla componente della organizzazione aziendale preposta alla analisi
delle vulnerabilità e investigazioni informatiche (ad esempio CERT e/o
SOC).
Ciò che voglio dire è che utilizzando "Investigate", è possibile
capire se la propria organizzazione è sotto attacco informatico o se lo è
stata in passato, se si è stati oggetti di un attacco globale, di
settore o mirato. Inoltre si possono avere informazioni su domini o sul
loro livello di sicurezza e si possono recupare le informazioni sulle
reti degli attaccanti (dove un dominio malevole è stato registrato, da
chi e così via).
Si potrebbe pensare che si tratti di informazioni inutili in quanto superate, ma non sempre è così.
Essere in grado di capire che si è stati oggetto di un attacco cyber,
non riconosciuto come tale, può avere dei risvolti di tipo
organizzativo, per esempio spingendo l'organizzazione ad investire di
più sul personale dedicato alla cyber security allo scopo di ridurre il
rischio e questa è chiaramente una decisione ad alto livello.
Lasciamo ora la parola ai numeri di Cisco Umbrella in termini di
infrastruttura utilizzata e dati gestiti, che in questo caso sono
veramente rappresentativi:
- 26 Data Center distribuiti in tutto il mondo (v.mappa);
- 160 Stati da cui vengono raccolte informazioni;
- 15 mila imprese si avvalgono dei servizi Umbrella;
- circa 100 milioni di utenti attivi al giorno;
- 125 miliardi di interrogazioni DNS giornaliere analizzate.
Tali dati sono in continuo aggiornamento e sono visibili al
seguente link.
Da questi numeri è possibile capire che Cisco (tramite Umbrella, ex
OpenDNS) ha una conoscenza di Internet che probabilmente non ha nessun
altro operatore di sicurezza.
Ma che importanza può avere Cisco Umbrella per una organizzazione militare?
Le organizzazioni militari oggigiorno necessitano di enormi quantità
di dati, dal più banale che può essere considerato l'allineamento al
tempo (orario) al più complesso flusso di dati relativi alle previsioni
meteorologiche, passando attraverso i flussi di dati riguardanti le
necessità di approvvigionamento delle parti di ricambio o quelli
relativi al funzionamento corretto dei sistemi informatici.
Questi dati non sempre sono confinati alla intranet (classificata o
meno) della organizzazione militare ma, anzi, spesso sono ricevuti o
trasmessi utilizzando la rete Internet.
Sta di fatto che sistemi realmente "isolati" sono praticamente inesistenti.
La digitalizzazione sta spingendo le forze armate a dotarsi di
strumenti sempre più complessi e che richiedono spesso l'intervento di
specialisti appartenenti alle industrie e ciò significa che il perimetro
di sicurezza diventa sempre più esteso ed aumenta la complessità e la
necessità di controllo.
Cisco Umbrella oltre ad essere uno strumento di protezione può essere
un utile ausilio agli analisti di cybersecurity in quanto rende
disponibili dati e informazioni sulla struttura di Internet e sui rischi
correlati alla stessa rete e agli strumenti di Intelligence Analysis
(Investigate è uno di questi).
Naturalmente l'impiego di strumenti sofisticati richiede personale
preparato nel settore, preparazione che non può essere demandata alla
buona volontà del singolo operatore ma che deve essere parte di un ben
articolato percorso formativo dell'operatore di cybersecurity.
La possibilità di prevenire attacchi bloccando le richieste DNS
pericolose e le capacità di analisi predittiva ne fanno inoltre uno
strumento utile a sorvegliare un possibile attaccante e potenzialmente
ad esercitare una azione anche preventiva, qualora reputata necessaria e
autorizzata dalla normativa di riferimento.
Un’appropriata strategia di difesa cyber necessita la valutazione dei
molteplici fattori di rischio associati all’esercizio di piattaforme
tecnologiche. Del resto la stessa struttura operativa che eroga il
servizio Umbrella è soggetta a costanti e svariati tentativi di
violazione. Per questo motivo e per mantenere il servizio sempre
operativo e disponibile (dal suo lancio, avvenuto nel 2006, Umbrella ha
riposto al 100% delle richieste DNS) OpenDNS e Cisco hanno costantemente
investito in tecnologie e procedure per implementare, sviluppare e
mantenere un'adeguata strategia di difesa.
Alessandro RUGOLO
Per approfondire:
-
https://umbrella.cisco.com/products/our-intel
-
https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns
-
https://www.talosintelligence.com/
Nel mese di dicembre del 2016 la Cina ha reso pubblica la strategia nazionale
