MASTIO protegge da campagne phishing campagne spam malware exploit botnet attacchi DDOS
Mastio, la piattaforma di intelligence per la tua rete
La piattaforma MASTIO è la soluzione che permette di mantenere un livello di valutazione del grado di rischio il più possibile aderente alla realtà dei sistemi in uso, sia in fase di valutazione iniziale, sia durante tutte le evoluzioni a cui tali sistemi possono essere sottoposti. Tutto questo è possibile grazie alla capacità di MASTIO di riconoscere le variazioni del sistema e, conseguentemente, i nuovi rischi a cui questo potrebbe essere esposto.
Considerando che il rischio maggiore si individua, come detto, nella latenza temporale che intercorre tra un audit e il successivo, l’applicazione di MASTIO garantisce un monitoraggio continuo, riducendo così il fattore temporale nella stima del rischio.
Gli algoritmi che compongono l’applicazione, il continuo aggiornamento, l’analisi approfondita delle criticità dei sistemi, la continua ricerca di codice malevolo tramite OSINT (Open Source Intelligence) e la conseguente informazione fornita al cliente relativa alle “debolezze” della sua infrastruttura, sono il valore aggiunto che consente al cliente di ricevere aggiornamenti in tempo reale e disporre così di soluzioni per prevenire e contenere il rischio.
Con queste caratteristiche, la piattaforma MASTIO si presenta come il sistema di “V.A. avanzato” in continuo monitoraggio.
Con MASTIO ci poniamo l’obiettivo di identificare in modo rapido e mirato le vulnerabilità a cui il sistema informatico monitorato risulta essere potenzialmente esposto.
La continua evoluzione del panorama informatico determina un reale mutamento anche delle minacce e degli attacchi, sempre più sofisticati, a cui si è esposti. Per far fronte a questi nuovi scenari si rende necessario applicare metodi di rilevamento e di analisi dei sistemi il più possibile reattivi, distribuiti su tutte le macchine da “difendere”.
La soluzione proposta da G4 Cyber si basa su un agent che esegue monitoraggi in real-time e raccoglie dati di varia natura sulle macchine dove è installato e una piattaforma centralizzata che raccoglie i dati provenienti dagli agent stessi, li rielabora, li correla con il proprio archivio di informazioni strutturate e fornisce una risposta nel caso di rischio, compresa anche la possibile esposizione. Tra le minacce che possono essere rilevate e identificate vi sono anche quelle più complesse da individuare (es. attacchi di tipo exploit) in quanto costruite per eludere i tradizionali sistemi di protezione, per esempio quelli basati su firme.
Cosa si intende per OSINT (Open Source Intelligence)?
Open Source Intelligence (OSINT) si riferisce a tutte le informazioni disponibili al pubblico.
Queste informazioni sono disponibili online o offline.
Alcuni esempi:
Accesso alla rete Internet, che include quanto segue e altro: forum, blog, siti di social network, siti di condivisione di video, wiki, record Whois di nomi di dominio registrati, metadati e file digitali, risorse web scure, dati di geolocalizzazione, indirizzi IP , i motori di ricerca delle persone e tutto ciò che può essere trovato online.
Mass media tradizionali (Televisione, radio, giornali, libri, riviste).
Riviste specializzate, pubblicazioni accademiche, tesi di laurea, atti di convegni, profili aziendali, relazioni annuali, notizie aziendali, profili dei dipendenti e curriculum.
Foto e video inclusi metadati.
Informazioni geospaziali (ad es. Mappe e prodotti di immagini commerciali).
Gli agent
L’agent proposto da G4 Cyber è stato progettato per monitorare sia la macchina su cui è installato per rilevare minacce, anomalie di sistema e applicazioni erroneamente configurate, sia la totalità dell’infrastruttura in cui la macchina stessa è collocata.
Le funzionalità principali sono:
Raccolta dati dal registro di Sistema, al fine di conoscere e analizzare tempestivamente lo stato delle applicazioni e valutare la presenza di errori o segnalazioni registrate dallo stesso Sistema;
Monitoraggio dell’integrità di file e chiavi di registro, al fine di rilevare modifiche non “autorizzate” che possono determinare preludi di attacco o condurre a vulnerabilità;
Inventario delle applicazioni installate, al fine di rilevare e identificare applicazioni “a rischio” per mancanza di aggiornamenti o per presenza di elementi potenzialmente “compromessi”;
Inventario degli aggiornamenti di sistema, al fine di valutare tempestivamente la mancata installazione di aggiornamenti critici, già rilasciati dal produttore del sistema;
Monitoraggio di porte aperte e configurazione di rete, al fine di rilevare configurazioni “incomplete” e presenza di porte aperte “superflue”.
Rilevamento di rootkit e malware (*), al fine di segnalare tempestivamente la presenza di questi;
Valutazione della configurazione sulla base di note vulnerabilità ed exploit, al fine di segnalare tempestivamente il rischio globale a cui la macchina (e conseguentemente l’infrastruttura) è esposta.
Per ottenere tali obiettivi, gli agent raccolgono i dati di inventario del software e dell’hardware e li inviano alla piattaforma di analisi, dove sono correlati con le informazioni presenti all’interno del repository delle vulnerabilità di proprietà di MASTIO. Qui è eseguita una valutazione automatizzata delle vulnerabilità, la quale evidenzia in modo mirato i punti deboli riscontrati e permette di adottare, conseguentemente, misure e contromisure correttive prima che questi vulnus siano sfruttati per attacchi volti a compromettere la rete o a sottrarre dati sensibili e riservati. Il sistema di valutazione dei rischi è integrato da due algoritmi proprietari di machine learning che, a fronte del flusso dei dati rilevati, li analizzano e costruiscono degli “schemi di normalità”. che diventeranno a loro volta dei punti di notifica nel momento in cui la “normalità” non fosse rispettata.
Gli agent funzionano sulle principali piattaforme, tra cui Windows, Linux, Mac OS X e Solaris. Non sono richieste particolari caratteristiche di sistema e l’esecuzione dell’agent non compromette in alcuna misura il livello prestazionale e il regolare utilizzo della macchina.
(*) a fronte di un modulo dedicato.
La raccolta delle informazioni
La piattaforma di G4 Cyber gestisce i processi di raccolta, correlazione e analisi delle informazioni riguardanti minacce alla sicurezza di varia natura, comprese quelle emergenti, come:
Campagne di phishing;
Campagne di SPAM;
Malware (*);
Exploit;
Botnet;
Attacchi DDOS.
Per eseguire le funzionalità di correlazione e analisi, MASTIO trae la sua base di conoscenza da un repository dedicato di proprietà di G4 Cyber, costantemente aggiornato.
In questo repository confluiscono ingenti informazioni da fonti esterne e interne, sia open source che commerciali, che la Divisione di Ricerca e Analisi affina e rielabora opportunamente.
Le fonti esterne comprendono i repository mantenuti da soggetti istituzionali, enti privati e aziende e fornite in forma strutturata, ovvero organizzate secondo uno schema ben definito.
Tra queste fonti si possono annoverare:
Information Sharing and Analysis Centers (ISAC);
Computer Emergency Response Team (CERT);
CVE (MITRE);
CPE (MITRE);
NATO;
NVD (National Checklist Program Repository).
Le informazioni sopra riportate, sono poi integrate con le informazioni generalmente non strutturate estrapolate dal monitoraggio del contenuto di blog, siti web e forum presenti nella totalità del web, ovvero presenti sia nel surface web che nel deep web che nel dark web.
Le fonti interne sono composte dai dati raccolti mediante diversi network di honeypot distribuiti geograficamente a livello globale, ovvero da gruppi di macchine sparse nel web configurate con il solo scopo di essere vulnerabili ad attacchi e a minacce di qualsiasi natura, di proprietà di G4 Cyber. A “fianco” delle honeypot è costituito un sistema automatizzato, anch’esso di proprietà di G4 Cyber, di Threat Emulation e Malware Analysis, il quale permette di identificare funzionamenti e peculiarità delle minacce, generando i rispettivi indicatori di compromissione, noti come IoC.
(*) a fronte di un modulo dedicato.