Riassunto analitico
Le Advanced Persistent Threats (APTs) costituiscono la principale minaccia per le organizzazioni moderne. Contrariamente agli attacchi informatici su larga scala, le APT fanno uso di attacchi informatici caratterizzati da un significativo contributo umano, e sono specificatamente studiate per compromettere l’organizzazione scelta come bersaglio, impiegando, di norma, zero-day exploits mirati ai punti più vulnerabili della vittima. L’individuazione di tali vulnerabilità è effettuata tramite operazioni di “Open Source Intelligence” e tecniche di “Social Engineering”, rendendo l’individuazione di una APT una strada, di fatto, non percorribile. Allo stesso tempo, la rilevazione di una APT è un compito particolarmente difficile, dal momento che gli attaccanti celano le proprie tracce dietro segnali deboli, che solitamente passano inosservati ai tradizionali sistemi di “Intrusion Detection”. Questa tesi propone un’architettura di nuova generazione per il rilevamento delle APT attraverso l’ispezione dei log di traffico e di sicurezza – le cui ingenti dimensioni li rendono classificabili come “Big Data” – collezionati da un sistema di “Security Information and Event Management”. La soluzione proposta si prefigge l’obiettivo di ridurre il tempo necessario alla rilevazione delle comunicazioni pertinenti ad una APT: ciò viene effettuato attraverso lo stilamento di una classifica dei nodi interni di un’organizzazione sulla base delle attività sospette in cui sono coinvolti. Tale espediente consente all’analista della sicurezza di concentrarsi principalmente sui nodi che hanno mostrato il comportamento più sospetto. L’architettura proposta fa uso di un esiguo quantitativo di informazioni, garantendo un elevato grado di versatilità. Il software sviluppato è stato implementato sulla rete di un’organizzazione reale costituita da un elevato numero di nodi: i test effettuati hanno dimostrato l’attuabilità e l’efficacia della soluzione proposta.
|
Abstract
Advanced Persistent Threats (APTs) constitute the most critical offense to target present-day organizations. Contrary to common broad-range attacks, APTs involve human-driven attacks, are specifically designed for the targeted organization and employ zero-day exploits aimed at compromising the victim’s most vulnerable spots. The detection of such weak spots is achieved through open source intelligence and social engineering techniques, thus rendering most attempts at preventing an APT ultimately unfeasible. Moreover, detecting an APT is a considerably challenging task, as the offenders conceal their trails behind weak signals that are usually unseen by traditional Intrusion Detection systems. This thesis proposes a novel architecture for detecting APTs through the inspection of Big Data Traffic and Security logs collected through a Security Information and Event Management system. The proposed approach aims at reducing the time required for the detection of APT-related communications through ranking an organization’s internal hosts on the base of their suspicious activity, thus allowing the analyst to prioritize the monitoring of the most likely compromised hosts. The minimal information required by the proposed architecture allows for a high degree of versatility. The software developed has been deployed on a real, large scale organization premises, and experimental tests demonstrated the feasibility and efficiency of the proposed solution.
|