Akamai, condividere le informazioni è strategico per la sicurezza

L’analisi condivisa sui dati, incluse le query DNS, favorisce il riconoscimento più rapido e un’ulteriore protezione contro gli attacchi informatici

La nuova edizione del Rapporto sullo Stato di Internet/Security Carrier Insights analizza i dati provenienti da 14mila miliardi di query DNS raccolte dai sistemi Akamai tra settembre del 2017 e febbraio del 2018 dalle reti dei provider dei servizi di comunicazione. Il dato più in evidenza del rapporto riguarda l’importanza della condivisione delle informazioni, come fattore strategico nella difesa contro le minacce informatiche. La riflessione sembra essere frutto dell’esperienza sul campo.

Nominum, acquisita da Akamai nel 2017, operativa da 19 anni,  ha sfruttato i dati dettagliati delle query DNS per migliorare la protezione complessiva contro gli attacchi informatici, come ransomware, trojan, botnet e DDoS (Distributed Denial of Service). Ed è proprio Nominum la fonte del rapporto, stilato in base alle informazioni degli operatori, ma sull’esperienza dell’azienda, che sottolinea come l’efficacia della sicurezza basata sul DNS venga potenziata dai dati provenienti da altri livelli di sicurezza.

Yuriy Yuzifovich - Director of Data Science, Threat Intelligence, Akamai,
Yuriy Yuzifovich – Director of Data Science, Threat Intelligence, Akamai,

Questo approccio stratificato alla sicurezza consiste nell’utilizzo congiunto di varie soluzioni al fine di proteggere in modo completo i dati di un’organizzazione.

Yuriy Yuzifovich, Director of Data Science, Threat Intelligence, Akamai, è categorico: “La comprensione da parte degli esperti di sicurezza dei singoli attacchi sferrati contro i diversi sistemi non è sufficiente nel complicato scenario delle minacce dei giorni nostri. E la comunicazione tra le varie piattaforme risulta di importanza critica per l’acquisizione delle conoscenze tra team, sistemi e set di dati. Pensiamo che le query DNS fornite dal nostro servizio siano componenti strategiche per offrire ai team addetti alla sicurezza i dati necessari e arrivare a una visione complessiva del panorama delle minacce”.

Due esempi dell’efficacia collaborativa. Il primo riguarda la botnet Mirai. In questo caso la collaborazione tra i team Akamai  ha svolto un ruolo di cruciale importanza nell’individuazione dei domini C&C (Command and Control) di Mirai nell’intento di rendere più completo il rilevamento della botnet Mirai per il futuro. L’Akamai Security Intelligence and Response Team (SIRT) ha seguito la botnet Mirai fin dai suoi esordi, utilizzando vari sistemi per attirarla in modo da poter rilevare le comunicazioni Mirai e identificare i relativi server C&C.

Poi a fine gennaio 2018, i team SIRT e Nominum di Akamai hanno condiviso un elenco di oltre 500 domini C&C di Mirai sospetti. L’obiettivo di questa operazione era comprendere se, utilizzando i dati DNS e l’intelligenza artificiale, fosse possibile ampliare questo elenco di domini C&C per rendere più completo il rilevamento della botnet Mirai in futuro. Tramite vari livelli di analisi, i due team di Akamai sono riusciti ad ampliare il dataset C&C di Mirai rilevando una connessione tra le botnet Mirai e i distributori del ransomware Petya.

Dall’analisi congiunta ecco l’intuizione di un’evoluzione delle botnet IoT, passate da un utilizzo quasi esclusivo per sferrare attacchi DDoS ad attività più sofisticate, come la distribuzione di ransomware e il crypto-mining. Le botnet IoT sono difficili da rilevare perché per molti utenti generano solo minimi indicatori di compromissione, nonostante questo la ricerca congiunta effettuata da parte di questi team ha permesso di individuare e bloccare dozzine di nuovi domini C&C in modo da controllare l’attività della botnet.

L’altro esempio riguarda la proliferazione di software per il crypto-mining e le relative infezioni.

Akamai ha osservato due distinti modelli di business per il crypto-mining su larga scala. Il primo modello sfrutta la potenza di elaborazione dei computer infetti per generare token di criptovalute. Il secondo modello usa il codice integrato in siti di contenuti per far lavorare i dispositivi che visitano il sito per il cryptominer.

Akamai ha condotto una dettagliata analisi su questo secondo modello di business poiché pone una nuova sfida in termini di sicurezza agli utenti e ai proprietari di siti web. Dopo aver analizzato i domini di cryptominer, Akamai è riuscita a stimare i costi relativi alla potenza di elaborazione e ai guadagni economici derivanti da questa attività. Un’interessante implicazione di questa ricerca dimostra come il crypto-mining potrebbe diventare una valida alternativa ai ricavi pubblicitari per sponsorizzare i siti web.

Il Report infine ha evidenziato come l’evoluzione delle metodologie di attacco sia costante e sostanzialmente gli hacker siano in grado di sfruttare tecniche già utilizzate in passato per riutilizzarle negli scenari attuali. Così, noti exploit tornano ad essere efficaci con significativi cambiamenti nelle procedure operative.

Così è emerso che il protocollo WPAD (Web Proxy Auto-Discovery) è stato utilizzato per rendere vulnerabili i sistemi Windows agli attacchi Man-in-the-Middle effettuati tra il 24 novembre e il 14 dicembre 2017 e utilizzato su reti protette lasciando i computer vulnerabili ad attacchi significativi una volta esposti a Internet.

E ancora la botnet Lopai è un altro valido esempio di come gli autori di botnet stiano creando strumenti più flessibili. Questo malware per dispositivi mobili si rivolge principalmente ai dispositivi Android e usa un approccio modulare che consente ai proprietari di creare aggiornamenti con nuove funzionalità.

Read also :