Partiamo con una constatazione: non è facile la vita di un network service provider. Ai fornitori di servizi wireless e wireline viene richiesto di garantire prestazioni eccezionali ai propri clienti e, allo stesso tempo, di proteggere le proprie risorse da violazioni e attacchi.
I service provider devono essere molto tolleranti per quanto concerne i dati che transitano sulle loro reti, ma anche essere in grado di compiere azioni rapide e decisive nel caso in cui una minaccia rischi di interrompere i servizi.
A differenza di una rete aziendale, in cui il controllo su applicazioni e protocolli è rigido, la mentalità del service provider è più accomodante.
Per fornire una protezione efficace in questa condizione è necessaria una visibilità approfondita sul traffico di rete e la capacità di identificare in modo rapido la fonte della minaccia e il suo target.
Umberto Pirovano, Manager, Systems Engineering di Palo Alto Networks, ci spiega come si deve fare.
È fondamentale che i service provider – spiega – abbiano piena visibilità su un panorama di applicazioni e minacce in costante evoluzione: il traffico in rete continua a cambiare, così come le applicazioni (pensiamo alla crescita di Google QUIC) e le minacce, e i fornitori di servizi devono essere in grado di rilevare le differenti tipologie di traffico pericoloso proveniente da e verso i clienti per determinare la natura e la gravità di ogni minaccia potenziale.
Definire la natura di una minaccia è importante perché ci sono malware che potrebbero colpire gli endpoint degli utenti, ad esempio ransomware, email di phishing e applicazioni studiati appositamente per perpetrare furti di identità.
Ci sono minacce dirette alla rete, come botnet o applicazioni che creano quantità enormi di segnalazioni e quelle che sfruttano la rete di un service provider A per sferrare un attacco al service provider B.
Capire cosa sta accadendo
Non tutte le minacce però richiedono un’azione specifica e i service provider devono porre attenzione nel classificare i vari software pericolosi prima di intervenire.
Categorizzare le minacce richiede la correlazione di molteplici indicatori al fine di assicurare una risoluzione accurata e affidabile. E più numerosi sono i campioni a disposizione, più la correlazione sarà efficace.
In altre parole, servono molti dati. Per essere funzionale, una threat intelligence cloud dovrebbe includere miliardi e miliardi di eventi reali accessibili per l’analisi attraverso un’interfaccia machine-friendly.
Per ogni pacchetto o informazione sospetti (definiti indicatori di compromissione, IoC) in rete, un provider deve essere in grado di interrogare la threat intelligence cloud (o molteplici cloud) per identificare quale altro IoC reale sia correlato a quello individuato in rete. Una correlazione di successo segnala ogni minaccia potenziale e consente di fornire risposte appropriate.
Pirovano ci aiuta a capire la situazione con un esempio reale.
Supponiamo – spiega Pirovano – che un service provider abbia un sensore di rete in azione con intelligence su siti DNS pericolosi e, durante il giorno, osservi diverse migliaia di query sospette. Alcune di queste inerenti a siti a rischio, alcuni magari noti come veicoli di campagne di phishing.
E anche se il provider vuole saperne di più su tutte queste minacce, non ha intenzione di intraprendere alcuna azione per differenti ragioni di business. Tuttavia, in caso di query più pericolose e sospette vorrà intraprendere delle azioni, come nel caso di domini o indirizzi IP che indicano la presenza di una botnet in rete che potrebbe minacciarne la disponibilità.
Se il provider dovesse vedere un dominio come injbot[.]net sarebbe in grado di capirne il significato?
Da solo, questo dominio potrebbe sembrare la conseguenza di un errore di battitura. Tuttavia, se si fosse in grado di correlare altre attività realizzate da questo endpoint, come comunicazioni verso fast-message[.]xyz e richieste HTTP con un valore User-Agent di “2zAz”, la situazione inizierebbe a essere più chiara.
Questo endpoint di esempio sarebbe parte della botnet DarkSky, nota per lanciare differenti tipi di attacchi DDoS. Molto probabilmente il provider si preoccuperebbe di identificare tutti gli endpoint simili infetti e di bloccare le comunicazioni verso gli altri indirizzi IP e domini conosciuti utilizzati da DarkSky.
