In un mondo globalizzato, la condivisione delle informazioni riveste un ruolo talmente centrale che, spesso, ci si sofferma più sulle conseguenze negative che sulle opportunità.
Lo sharing delle informazioni di sicurezza è tra queste. Il concetto è che i cyber-attacchi hanno dinamiche e origini simili, al punto che condividerne gli schemi e le informazioni aiuta a combatterli. Ma come funziona questa condivisione?
Il potere è nella condivisione
Si parte dal pensare come un criminale informatico. Per massimizzare i profitti dei suoi attacchi, tende a pianificarli in modo che siano il più versatili possibile, cioè che possano, con un minimo sforzo, essere direzionati verso il maggior numero possibile di obiettivi.
Questo rappresenta un vantaggio per l’attaccante, ma da qualche tempo, chi si occupa di cyber-security, ha capito che può esserlo anche per chi protegge gli obiettivi.
In che modo?
Analizzando attacchi, vittime e tecniche di attacco, e condividendo i risultati. Sono le medesime dinamiche che si son viste nel corso della pandemia: la condivisione di informazioni tra laboratori e ricercatori ha consentito di sviluppare a tempo record vaccini che altrimenti necessiterebbero di diversi anni per vedere la luce.
Una piattaforma per gestire gli IoC
Nel caso dello sharing di informazioni di sicurezza questa comunione di dati, in larga parte, viene attuata grazie al MISP, o Malware Information Sharing Platform.
Come suggerisce il nome, si tratta di una piattaforma nata per condividere informazioni relative alle minacce informatiche.
Il progetto, ovviamente open source, è nato circa dieci anni fa su idea di Christophe Vandeplas, un informatico stanco di vedere che le scoperte del settore della cyber-security venivano condivise con strumenti vulnerabili e ormai arcaici per lo scopo, come e-mail e documenti PDF.
Nel ramo della sicurezza informatica, va detto, queste informazioni sono principalmente sotto forma di Indicators of Compromise (IoC), o Indicatori di Compromissione.
Si tratta di dati, provenienti in genere da log, che indicano in qualche modo la presenza di un attacco o una minaccia.
Dal Belgio al mondo intero
Dato che gli IoC, in genere, sono molto piccoli ma molto numerosi, la loro condivisione può essere problematica. Soprattutto quando ci sarebbe il bisogno di analizzarli tutti insieme.
Da qui, l’idea di raccogliere gli IoC in una piattaforma unificata, in modo da poterli aggiornare e consultare agevolmente e veicolarli verso tecnologie di analisi come degli algoritmi di machine learning.
Il lavoro di Vandeplas, dunque, ottiene dapprima l’approvazione dell’esercito belga, per poi conquistare l’interesse della NATO che decide di dedicarvi a tempo pieno alcuni sviluppatori.
Dal 2013, il MISP conosce la sua forma più definitiva e stabile e, ad oggi, è finanziato dall’Unione Europea e dal Computer Incident Response Center Luxembourg.
Prevedere le minacce, grazie ai trend
Il Malware Information Sharing Platform si presenta come una piattaforma di threat intelligence a tutti gli effetti,
cioè una sorta di centralina che raccoglie, visualizza e condivide informazioni di sicurezza.
Il suo punto di forza, oltre a quello di essere open source fino al midollo, è di gestire qualsiasi tipo di IoC. Quindi, non solo Indicatori di Compromissione tecnici, come appunto i log o dei campioni di malware, ma anche informativi. Vera e propria intelligence applicata alla criminalità informatica.
Il vantaggio, così, è di avere un quadro completo delle minacce e potervi rispondere in modo più veloce ed efficace; grazie a molte altre informazioni, quali per esempio i breach e le truffe finanziarie, è infatti possibile prevenire certi fenomeni criminosi sulla base di trend.
Il potere è nell’esportazione dei dati
Sulla base di un archivio di IoC in continuo aggiornamento, il MISP provvede quindi a calcolare le correlazioni tra indicatori, informazioni e altri dati, in modo da organizzarli e dare già un’idea precisa di come tutti questi elementi concorrano al diffondersi di una certa minaccia.
Paradossalmente, tuttavia, il punto di forza di una piattaforma di questo tipo non risiede solo nel suo database di Indicatori di Compromissione, o nel motore di correlazione, ma in quell’insieme di funzioni che agevolano la condivisione e l’esportazione dei dati.
Per il progetto MISP si tratta di un argomento centrale, tanto da includere una tecnologia di sincronizzazione sopraffina, veloce e stabile. A questa, si accompagna un sistema di memorizzazione in un formato strutturato e configurabile, nonché opzioni di esportazione quanto mai essenziali come IDS, OpenIOC, CSV, XML, JSON e di testo puro.
Una visione d’insieme
L’insieme di queste e altre funzioni dà vita a una piattaforma versatile e aggiornabile in tempo reale, qualora vi siano macchine MISP interconnesse, o in differita, con un agevole sistema di download e upload.
MISP, a oggi, è una piattaforma capace di far fare un salto quantico all’analisi delle minacce a livello globale,
che è esattamente il punto di vista necessario per fare fronte al più moderno cyber-crime.
Un progetto di piena condivisione supportato da una tecnologia di prim’ordine e contributi da tutto il mondo. E chi vuole vivere di prima mano l’esperienza d’utilizzo della piattaforma non deve far altro che accedere all’apposito sito (
https://www.misp-project.org/) e seguire le istruzioni per installarlo in una macchina Linux.
Volendo, poi, sono disponibili delle immagini virtuali pronte all’utilizzo per semplificare il processo e arrivare prima al via.
Una protezione in più per gli utenti
Nel frattempo, il MISP viene utilizzato dai principali gestori di soluzioni IT e posta elettronica, come per esempio Aruba, per garantire ai propri utenti
protezione e prevenzione nei confronti delle minacce attuali e di nuova generazione.
Al tempo stesso, nutrendo il sistema MISP di IoC che rendono sempre più efficace questa prodigiosa piattaforma.