- Perché il settore della sicurezza informatica è intrappolato in un circolo vizioso di reazioni
- Invariante 1: gli avversari si adatteranno sempre più rapidamente rispetto alle difese statiche
- Invariante 2: Fusion dei segnali Fusion qualsiasi singolo motore
- Invariante 3: i sistemi di rilevamento devono generare informazioni, non limitarsi a fruirne
- Basare il rilevamento su ciò che gli hacker non possono modificare
Perché il settore della sicurezza informatica è intrappolato in un circolo vizioso di reazioni
Il settore della sicurezza informatica si trova in uno stato di reazione perpetua. Ogni trimestre porta con sé una nuova categoria di minacce, una nuova tecnica di elusione e un nuovo acronimo che promette di ridefinire la difesa. Ciò crea un paradosso per i CISO e i CTO responsabili delle decisioni infrastrutturali a lungo termine: le strategie di rilevamento devono rimanere efficaci per cinque-dieci anni, anche se il panorama delle minacce cambia ogni pochi mesi. Le difese a più livelli sono essenziali. La domanda aperta è a cosa ancorare questi livelli affinché reggano all'evoluzione delle minacce.
Per costruire una strategia duratura occorre guardare oltre i cambiamenti nel panorama delle minacce e individuare ciò che rimane immutabile: i vincoli di fondo che continuano a determinare il comportamento delle minacce, indipendentemente dall'evoluzione degli strumenti. Queste costanti offrono alle difese a più livelli un punto di riferimento solido, consentendo all'architettura di rilevamento di rimanere efficace anche quando le minacce e le tecniche specifiche cambiano. In questo articolo ci concentriamo su tre di queste costanti, poiché sono quelle che hanno un impatto più diretto sul modo in cui devono essere costruite le moderne pipeline di rilevamento.
Le infrastrutture critiche non possono permettersi il ciclo di reazione
Negli ambienti OT e delle infrastrutture critiche, l'applicazione delle patch ai sistemi non avviene rapidamente; gli aggiornamenti sono spesso gestiti dai fornitori e i tempi di inattività comportano conseguenze operative. Quando un file dannoso penetra in questo ambiente, raramente rimane isolato. Molti approcci di rilevamento si basano ancora su presupposti che non reggono in queste condizioni:
- Le minacce saranno simili a quelle già osservate
- L'ispezione statica permette di determinare con certezza l'intento
- L'analisi ritardata rappresenta un compromesso accettabile
Gli invarianti indicano una realtà diversa:
- Continueranno a presentarsi minacce sconosciute
- È necessaria un'analisi comportamentale per individuare le intenzioni
- La velocità di individuazione influisce sui risultati del contenimento
- I segnali multipli sono più efficaci del rilevamento a motore singolo
- I sistemi di rilevamento devono generare autonomamente le proprie informazioni
È proprio in quel divario tra supposizioni e realtà che gli hacker agiscono con maggiore efficacia. La sezione seguente inizia con il primo principio fondamentale che lo mette costantemente in luce.
Invariante 1: gli avversari si adatteranno sempre più rapidamente rispetto alle difese statiche
La difesa statica è un'illusione temporanea. Gli aggressori analizzano la logica di rilevamento, condividono tecniche di elusione e perfezionano continuamente i propri metodi. Una volta implementata e lasciata immutata, nessuna tecnologia difensiva rimane efficace a lungo contro un avversario determinato. Questo vale fin dalla prima implementazione di una sandbox, e il malware generato dall'intelligenza artificiale non fa che accelerare il ciclo.
La conseguenza pratica è che il malware evasivo non ha bisogno di eludere tutti i livelli di rilevamento. Gli basta eludere quello su cui si fa affidamento. Le varianti possono ora essere prodotte più rapidamente, testate contro i controlli difensivi e perfezionate in cicli molto brevi. Ciò che prima richiedeva settimane di sviluppo ora può avvenire in cicli che si misurano in ore.
Perché gli ambienti OT assorbono per primi il danno
Negli ambienti OT, il problema dell'adattamento si aggrava ulteriormente. I cicli di patch sono lunghi, i sistemi sono spesso controllati dai fornitori e il software viene distribuito tramite aggiornamenti del firmware, pacchetti dei fornitori e strumenti sul campo che non possono essere facilmente sostituiti. Questi stessi file diventano meccanismi di distribuzione ideali perché sono attesi, considerati affidabili e difficili da ispezionare senza interrompere le operazioni.
Alcuni di questi file possono essere ripuliti, mentre altri no. I file eseguibili, le immagini del firmware e i file di patch devono funzionare come previsto, il che limita i casi in cui è possibile applicare la tecnica di "disarm and reconstruction". Ciò restringe la gamma di metodi di ispezione utilizzabili e l'ispezione statica diventa spesso il controllo predefinito in molti di questi ambienti, anche se si tratta proprio della superficie che gli aggressori hanno imparato ad aggirare.
In che modo l'emulazione a livello di istruzione elimina il vantaggio dell'elusione
Il tradizionale sandboxing basato su macchine virtuali continua a svolgere un ruolo importante, ma presenta delle vulnerabilità che gli hacker hanno imparato a sfruttare. Le tecniche di elusione consentono di individuare gli ambienti virtualizzati, ritardare l'esecuzione o modificare il comportamento in base ai segnali di analisi. In molti casi, l'analisi viene effettuata solo dopo che il file ha già raggiunto l'endpoint, trasformando il rilevamento in una conferma piuttosto che in una misura preventiva.
MetaDefender risolve questo problema passando da un'analisi basata sull'attivazione all'interno di macchine virtuali a un'analisi dinamica basata sull'emulazione. Grazie all'emulazione a livello di istruzione, la pipeline di rilevamento esegue i file in un ambiente controllato che non espone gli elementi su cui il malware fa tipicamente affidamento per eludere i controlli. I controlli anti-VM non individuano alcun elemento da identificare, i percorsi di esecuzione ritardata vengono monitorati e i payload multistadio possono dispiegarsi.
Sandbox tradizionale Sandbox . Analisi dinamica di MetaDefender
Sandbox tradizionale basata su macchina virtuale | MetaDefender | |
Resistenza all'evasione | Suscettibile a verifiche anti-VM, di temporizzazione e ambientali | L'emulazione a livello di istruzione vanifica le tecniche di elusione basate sull'anti-VM e sul ritardo |
Tipi di file supportati | In edizione limitata | Oltre 50 tipi di file, tra cui file eseguibili, script, file di patch e programmi di installazione |
Risultato del verdetto | Risultato della singola sandbox | Verdetto unificato che integra reputazione, analisi dinamica, valutazione delle minacce e ricerca delle minacce |
Velocità | 10-15 minuti per file | Quasi in tempo reale; oltre 25.000 analisi al giorno per server |
Distribuzione | Nella maggior parte dei casi Cloud | In locale, su cloud o ibrido |
Generazione di informazioni | Estrazione limitata di IOC | Gli indicatori comportamentali (IOC) vengono reimmessi nella pipeline di rilevamento e vengono utilizzati per il riaddestramento dell'IA predittiva Alin |
In pratica, ciò mette in luce il comportamento effettivo di un file piuttosto che il suo aspetto. Il percorso di esecuzione completo diventa visibile a prescindere dalla logica di elusione incorporata nel campione. Per i tipi di file che non possono essere sottoposti a sanificazione, come eseguibili, file di patch, script e programmi di installazione, questo tipo di analisi dinamica rappresenta il metodo più affidabile per determinarne l'intento prima che il file penetri più in profondità nell'ambiente.
Un'agenzia forense governativa lo ha dimostrato in un contesto operativo. Le era stato affidato il compito di analizzare i file sequestrati dai dispositivi dei sospettati, molti dei quali contenevano malware profondamente integrato in formati che non possono essere modificati senza comprometterne il valore probatorio. L'agenzia ha sostituito i tradizionali antivirus e la revisione manuale con una scansione multipla abbinata a un sandboxing basato sull'emulazione. I file che in precedenza richiedevano ore per essere analizzati sono stati verificati in pochi minuti, e le minacce che sfuggivano agli strumenti basati sulle firme sono emerse grazie all'analisi comportamentale senza compromettere l'integrità delle prove.
C'è ancora un limite che vale la pena sottolineare. Un'analisi approfondita migliora la visibilità, ma rallenta il processo decisionale. Se ogni file sconosciuto richiede un'ispezione completa prima di giungere a una conclusione, la latenza diventa parte integrante dell'architettura e gli aggressori cercheranno il modo di aggirarla. Questa tensione porta direttamente alla seguente constatazione: nessun metodo, per quanto efficace, è sufficiente da solo.
Invariante 2: Fusion dei segnali Fusion qualsiasi singolo motore
Nessun motore di rilevamento è in grado, da solo, di ottenere risultati ottimali. Non si tratta di un limite intrinseco di una singola tecnologia, bensì di una proprietà statistica derivante dalla combinazione di classificatori indipendenti. Quando più motori valutano lo stesso file utilizzando metodi diversi, i loro tassi di errore non si sommano in modo lineare, ma si compensano a vicenda, generando una capacità di rilevamento combinata che supera costantemente le prestazioni di qualsiasi singolo motore, indipendentemente dal suo grado di avanzamento.
La conclusione è chiara, anche se scomoda. Il malware evasivo non ha bisogno di eludere ogni possibile controllo. Gli basta eludere quello su cui si fa maggiormente affidamento. Un file che aggira i controlli di reputazione ma fa scattare indicatori comportamentali, oppure che sfugge al rilevamento tramite firma ma mostra una somiglianza anomala con una famiglia di malware nota, viene intercettato in un processo a più livelli. In un modello a motore singolo, invece, riesce a passare oltre.
Perché il rilevamento dei velivoli monomotore non funziona nella pratica
Nella maggior parte degli ambienti vengono già utilizzati diversi strumenti, ma i segnali che generano sono spesso disgiunti tra loro. Un sistema segnala un file come sospetto, un altro lo considera pulito, mentre un terzo produce indicatori che richiedono un'interpretazione manuale. L'onere della correlazione ricade quindi sull'analista.
Ciò comporta due modalità di guasto ricorrenti:
- L'evasione riesce silenziosamente quando una minaccia aggira il controllo primario e non fa mai scattare un'ispezione più approfondita
- Il volume dell'allarme aumenta quando segnali sovrapposti o in conflitto generano un rumore che rende difficile la comprensione
Su larga scala, nessuna delle due soluzioni è sostenibile. Negli ambienti ad alta produttività, il sistema di rilevamento o tralascia ciò che conta oppure sovraccarica il team incaricato di intervenire.
MetaDefender trasforma quattro segnali in un unico verdetto attendibile
MetaDefender risolve questo problema strutturando il processo di rilevamento come un flusso di lavoro unificato anziché come un insieme di controlli indipendenti. Ogni livello analizza lo stesso file da una prospettiva diversa e i risultati vengono combinati in un unico verdetto correlato.
Pipeline di rilevamento MetaDefender e contributo dei segnali
Livello | Qual è il suo contributo |
Reputazione | Blocca tempestivamente gli indicatori noti, quali hash, domini e indirizzi IP dannosi |
Analisi dinamica | Esegue campioni sconosciuti per individuare comportamenti nascosti ed estrarre gli IOC |
Valutazione del rischio | Correlando i segnali, genera un punteggio di rischio basato sul livello di affidabilità |
Ricerca delle minacce | Identifica le relazioni tra i campioni, collegando le attività alle campagne e alle famiglie |
Ogni livello risponde a una domanda diversa. La reputazione tiene conto di ciò che è già noto. L'analisi dinamica mette in luce ciò che non lo è. Il punteggio fornisce il contesto, mentre la ricerca delle minacce collega eventi isolati in un quadro che consente di agire. Il risultato è un'unica decisione basata su tutte le prove disponibili, non quattro risultati distinti. Considerando tutti e quattro i livelli, la pipeline raggiunge un'efficacia di rilevamento degli attacchi zero-day pari al 99,9%.
Un istituto finanziario globale ha eliminato i colli di bottiglia SOC
Un istituto finanziario globale, che gestiva quasi 1.000 e-mail sospette al giorno, ha eseguito analisi dinamiche all'interno del SOC tramite una sandbox basata su macchina virtuale integrata con l'automazione SOAR. Il sistema ha funzionato fino a quando il volume non è aumentato. Sandbox si sono allungate, gli incidenti ad alta priorità hanno reso necessario un intervento manuale e l'automazione è diventata un collo di bottiglia anziché un fattore di moltiplicazione delle risorse.
Implementando MetaDefender a livello perimetrale, l'organizzazione ha anticipato la fusione dei segnali. I file sono stati analizzati prima della consegna anziché dopo l'esecuzione sull'endpoint. Sono stati eliminati i colli di bottiglia nelle code, i tempi di analisi sono scesi da minuti a secondi e il SOC ha riacquistato la capacità di concentrarsi sulle indagini anziché sulla gestione dell'arretrato.
L'intelligenza artificiale predittiva di Alin risolve il compromesso tra velocità e profondità
Una pipeline multistrato migliora la precisione. Tuttavia, di per sé, non elimina il tempo necessario per giungere a una conclusione. In presenza di volumi elevati, sottoporre ogni file a un'analisi approfondita introduce una latenza, e tale ritardo può essere sfruttato in altre fasi della catena di attacco.
Predictive Alin AI opera a monte della pipeline come livello di intelligenza pre-esecuzione, il che significa che i verdetti vengono emessi prima dell'esecuzione di un file, senza ricorrere alla detonazione in sandbox. Addestrato su set di dati di livello aziendale che garantiscono la privacy e costantemente aggiornato con zero-day confermati in sandbox,
Predictive Alin AI fornisce verdetti basati sull'apprendimento automatico in pochi millisecondi senza richiedere l'esecuzione del codice. I file identificati come dannosi vengono bloccati immediatamente, mentre gli altri vengono sottoposti a un'analisi più approfondita. I verdetti vengono emessi con un P99 inferiore a 100 ms e un tasso di falsi positivi pari allo 0,1%, il che significa che gli ambienti con volumi elevati ottengono decisioni rapide e accurate senza sommergere gli analisti di dati irrilevanti.
L'effetto non è di sostituzione, ma di coordinamento. La previsione ad alta velocità gestisce il volume ai margini, mentre l'analisi a più livelli fornisce la profondità necessaria. Nel tempo, l'interazione tra le due rafforza entrambe, migliorando l'individuazione precoce senza aumentare il rumore.
La conclusione è che sono i segnali coordinati, piuttosto che un maggior numero di motori, a risolvere il problema. L'efficacia del rilevamento migliora quando tali segnali vengono combinati, correlati e gestiti come un unico sistema. Ciò porta all'ultimo principio fondamentale: i sistemi di rilevamento che si limitano a utilizzare le informazioni raccolte finiscono per rimanere indietro rispetto a quelli che le generano.
Invariante 3: i sistemi di rilevamento devono generare informazioni, non limitarsi a fruirne
Esiste una differenza sostanziale tra un sistema di rilevamento che si avvale di feed esterni sulle minacce e uno che genera autonomamente le proprie informazioni di intelligence. Il rilevamento basato sui feed presenta un limite intrinseco: è in grado di identificare solo ciò che qualcun altro ha già individuato, documentato e condiviso. Le minacce inedite, le varianti modificate e gli attacchi mirati progettati per eludere le infrastrutture di rilevamento pubbliche sfuggono a tale limite.
L'analisi dinamica cambia questa situazione. Quando un file viene eseguito nell'ambito di un'ispezione basata sull'emulazione, il risultato non è solo un verdetto. Si ottengono infatti indicatori comportamentali, dati sull'attività di rete, dati di configurazione e tracce di esecuzione. Questi elementi costituiscono informazioni di prima mano che consentono la ricerca retrospettiva, il raggruppamento delle varianti e il blocco proattivo basati sul comportamento osservato piuttosto che su indicatori segnalati.
Perché i settori regolamentati hanno bisogno di prove concrete, non solo di sentenze
Nei settori delle infrastrutture critiche, dei servizi finanziari e della difesa, la disponibilità di prove verificabili non è solo una scelta architettonica. Si tratta di un requisito operativo legato alla conformità e alla verificabilità.
I quadri normativi richiedono sempre più spesso un'analisi verificabile delle minacce sconosciute, non solo una convalida basata sui feed. Un verdetto binario privo di prove a sostegno non regge in caso di audit o indagini. I sistemi di rilevamento devono essere in grado di dimostrare come si è comportato un file, quali indicatori sono stati estratti e come è stata presa la decisione.
Ciò modifica anche il modo in cui le organizzazioni percepiscono i propri rischi. Un ambiente in grado di generare autonomamente informazioni di intelligence consente di costruire nel tempo una visione localizzata dell'attività delle minacce. Emergono modelli ricorrenti nelle campagne, nel riutilizzo delle infrastrutture e nei comportamenti ricorrenti che prendono di mira flussi di lavoro specifici. I feed esterni, insieme alle informazioni di intelligence generate internamente, forniscono una visione più approfondita.
Come MetaDefender e Predictive Alin AI chiudono il cerchio
MetaDefender genera informazioni di intelligence nell'ambito del proprio processo di rilevamento. Ogni file analizzato tramite analisi dinamica basata sull'emulazione produce indicatori comportamentali, artefatti estratti e segnali correlati che vengono reimmessi nel sistema. Il rilevamento diventa così un processo di apprendimento continuo piuttosto che una decisione una tantum.
Tali informazioni non rimangono isolate. Vengono integrate nell'IA Predictive Alin, dove le vulnerabilità zero-day confermate in ambiente sandbox vengono utilizzate per ricalibrare i modelli di rilevamento pre-esecuzione. Ogni minaccia confermata rafforza la capacità del sistema di riconoscere tempestivamente modelli simili, prima che avvenga l'esecuzione. Ciò crea un circolo virtuoso tra analisi approfondita e previsione rapida.
Un'agenzia governativa nazionale incaricata della protezione dei sistemi sensibili e dei dati dei cittadini ne illustra la differenza operativa. La sua precedente sandbox generava rapporti dettagliati, ma costringeva gli analisti a interpretare manualmente segnali comportamentali frammentari; la fiducia nel rilevamento degli attacchi zero-day si è quindi indebolita man mano che alcuni campioni evasivi riuscivano a sfuggire ai controlli.
Dopo l'implementazione MetaDefender , il sandboxing è passato dall'essere un semplice strumento di reporting a una pipeline di rilevamento unificata in grado di fornire un unico verdetto per ogni file, supportato da prove comportamentali strutturate e da un sistema di valutazione delle minacce. Si trattava proprio del tipo di informazioni su cui l'agenzia poteva finalmente agire direttamente.
Cosa offre Intelligence Loop ai team SOC
Per i team SOC, questo cambiamento è tangibile. Gli analisti ricevono valutazioni pre-correlate e supportate da prove comportamentali, anziché segnali isolati che richiedono un'interpretazione manuale. I falsi positivi diminuiscono e i tempi di indagine si riducono, poiché a ogni rilevamento è già associato il contesto.
Su larga scala, questa distinzione è fondamentale. I sistemi di rilevamento che si limitano a utilizzare le informazioni raccolte tendono a generare un carico di lavoro maggiore all'aumentare del volume dei dati. I sistemi che generano informazioni, invece, riducono tale carico migliorando nel tempo sia la precisione che la comprensione del contesto.
L'obiettivo è quello di basare il rilevamento su elementi che gli aggressori non possono modificare. La generazione di informazioni di intelligence è uno di questi elementi, e i sistemi che la considerano una funzione fondamentale acquisiscono un vantaggio che si rafforza con ogni nuova minaccia.
Basare il rilevamento su ciò che gli hacker non possono modificare
Le tre costanti fungono da vincoli sia per gli aggressori che per i sistemi progettati per contrastarli. Gli avversari continueranno ad adattarsi, i sistemi di rilevamento a livello singolo continueranno a non individuare ciò che i sistemi a più livelli riescono a rilevare, e i sistemi che generano informazioni continueranno a superare in efficienza quelli che si limitano a fruirne.
Questi invarianti sono utili perché descrivono ciò che gli aggressori non possono modificare. Ciò ha implicazioni dirette sul modo in cui viene implementato il rilevamento. Le difese statiche perdono efficacia nel tempo. La fusione dei segnali offre prestazioni costantemente superiori rispetto ai metodi isolati. Ogni zero-day confermato migliora il vostro prossimo rilevamento oppure diventa un'occasione persa che qualcun altro finirà per cogliere.
MetaDefender e Predictive Alin AI sono stati progettati tenendo conto di questi vincoli. L'analisi dinamica basata sull'emulazione mette in luce il comportamento reale, la pipeline multistrato correla i segnali in un unico verdetto e il ciclo di apprendimento garantisce che il sistema migliori con ogni file analizzato.
Per le organizzazioni che operano in contesti ad alto rischio, il risultato è tangibile. Il rilevamento diventa più rapido, più accurato e più affidabile. Gli analisti dedicano meno tempo a confrontare i segnali e più tempo ad agire di conseguenza.
Se desideri approfondire l'insieme completo degli invarianti di rilevamento e l'architettura su cui si basano, leggi il nostro white paper "The Invariants of Cybersecurity": opswat
