Sistemi software distribuiti basati su honeypot ad alta interazione per la prevenzione, la cattura e l’analisi morfologica e comportamentale di malware.

Università della Calabria

Risultato della ricerca:

Le attività di ricerca scientifica hanno portato alla realizzazione di un sistema software distribuito, denominato EMPHAsis (Effective Malware Prevention through Honeypot Assisted analysis), che utilizza gli honeypot come mezzo per la prevenzione, la cattura e l’analisi morfologica e comportamentale di entità malevole (malware) che attaccano i sistemi informatici connessi in rete. Lo strumento realizzato, opera tramite la costruzione dinamica di ambienti virtuali verso i quali viene reindirizzato tutto il traffico generato dall’attaccante. Ogni ambiente è dotato di apposite sonde specializzate, le quali hanno come obiettivo il monitoraggio di specifiche risorse del sistema volutamente vulnerabile. I risultati di queste operazioni di monitoraggio sono classificati ed immagazzinati per la loro successiva fruizione e divulgazione. Il sistema EMPHAsis, opportunamente installato e configurato, è in grado di raccogliere un insieme di informazioni che può rivelarsi fondamentale nella pratica del contrasto alla diffusione dei malware e alla prevenzione dei relativi attacchi.

Le informazioni strategiche estrapolabili dagli attacchi al sistema riguardano: • Informazioni di geo-localizzazione sull’origine dell’attacco; • Traffico di rete; • Tecniche utilizzate dagli attaccanti (rilevazione dei comandi eseguiti, delle vulnerabilità sfruttate, dei servizi compromessi, delle interazioni con il filesystem, ecc.) • Campioni di malware (inclusi 0-day). Tali informazioni, immagazzinate opportunamente dal sistema, possono essere consultate (anche in tempo reale) dagli analisti mediante un’applicazione web che funge anche da centro di controllo e che permette di monitorare e gestire in modo semplice e intuitivo lo stato degli honeypot e di tutti i servizi dispiegati; inoltre le informazioni raccolte possono contribuire a fronteggiare i limiti delle tecniche di analisi di malware tradizionali.

Infatti, sfruttando queste informazioni è possibile comprendere con più precisione il comportamento del campione di malware catturato (e testato) negli ambienti virtuali isolati del sistema. Tuttavia, in contesti pratici, la grande quantità di dati raccolti può rendere faticosa l’analisi manuale dell’esperto di sicurezza. Per tali motivi, nella letteratura stanno avanzando nuove proposte di tecniche di analisi automatiche dei dati raccolti dall’honeypot basate sul data mining, sul machine learning e sulla statistica.

Concludendo, i vantaggi per gli enti competenti derivati dall’uso del sistema realizzato riguardano il miglioramento di processi critici quali: • la divulgazione degli identikit delle minacce rilevate; • la possibilità di identificare rapidamente nuove minacce tramite la distribuzione capillare dello strumento così da aumentarne la superficie di attacco;  la notifica di tentativi di attacco condotti verso punti critici grazie al monitoraggio in tempo reale di essi e di conseguenza la possibilità di offrire supporto tempestivo per la protezione degli stessi.

Riferimento a finanziamenti precedenti:

Il risultato della ricerca è stato oggetto di una convenzione tra l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, Ministero dello Sviluppo Economico e il dipartimento DIMES dell’Università della Calabria. Le attività svolte sono state dirette alla progettazione, sviluppo e validazione del sistema EMPHAsis in ambiente rilevante.

Innovatività rispetto a soluzioni già esistenti:

Gli approcci basati sull’utilizzo di honeypot per la raccolta delle informazioni relative alle tecniche di attacco utilizzate dagli agenti malevoli sono recentemente emersi come un potente strumento per supportare le analisi degli esperti di sicurezza informatica. Esistono diversi strumenti, alcuni disponibili gratuitamente (ad es. glutton, cowrie, honeytrap, etc.), che permettono di dispiegare più servizi simulati in una rete aziendale e che sono in grado di collezionare una grande quantità di dati organizzati in log e consultabili con tools di visualizzazione. Rispetto a tali soluzioni, EMPHAsis si differenzia nettamente per la capacità di modellare scenari pratici particolarmente complessi attraverso la migliore capacità di riprodurre il comportamento di sistemi reali che diventano un bersaglio più attraente per gli attaccanti e garantiscono una maggiore qualità dei dati raccolti.

Il valore dei dati strategici rilevati dagli honeypot dipende molto da una configurazione efficace e da un adeguato posizionamento del sistema. EMPHAsis semplifica la determinazione della configurazione ottimale degli ambienti tramite l’uso di un centro di controllo in grado di assistere l’analista nella formulazione di opportune strategie di posizionamento dei nodi agent in scenari applicativi reali. Un altro punto di forza di EMPHAsis riguarda l’esecuzione del sistema in modalità distribuita attraverso il dispiegamento di nodi agent su più reti di sistemi collegate da canali di comunicazione sicuri, aumentando per tanto, la superficie di attacco monitorata. Un ulteriore aspetto innovativo riguarda la possibilità di cattura e di analisi morfologica e comportamentale dei malware utilizzati per attaccare i sistemi informatici bersaglio. Infine, gli strumenti grafici, consentono un utilizzo intuitivo e semplice della piattaforma e danno un feedback visivo della situazione corrente del sistema oltre che dell’insieme di dati immagazzinati di conseguenza agli attacchi ricevuti.

Titoli di proprietà intellettuale:

Nell’industria del software l’utilizzo di brevetti è limitato solo a moduli software/hardware molto specializzati e risulta invece più efficace, dal punto di vista della diffusione e del rientro economico, rilasciare prodotti con licenze cosiddette “copyleft” (ad esempio, open-source di tipo GNU General Public License (GPL)  o GNU Lesser General Public License (LGPL)).

Per il sistema software oggetto della presente scheda, considerato le sue caratteristiche di sfruttamento industriale, è stata adottata una licenza LGPL.

Principali applicazioni e mercato di riferimento:

Il sistema EMPHAsis, opportunamente installato e configurato, è in grado di raccogliere un insieme di informazioni che può rivelarsi fondamentale nella pratica del contrasto alla diffusione dei malware e alla prevenzione dei relativi attacchi. La natura delle informazioni potenzialmente raccolte è varia e caratterizza in modo dettagliato i tentativi di attacco che il sistema ha rilevato e analizzato. Le informazioni immagazzinate, oltre allo studio mediante reverse engineering dei malware, possono essere processate con strumenti di classificazione e di analisi per estrarne conoscenza e agevolarne la consultazione. La conoscenza ottenuta può utilmente essere divulgata agli enti competenti per contribuire a migliorare processi critici quali: ● la divulgazione degli identikit delle minacce rilevate, (non solo le signature, utilizzabili da IDS e IPS, ma anche tutte le altre informazioni utili relative al comportamento del malware: tipico scenario di esecuzione, modifiche effettuate sul file system, processi eseguiti, etc.); ● la possibilità di identificare rapidamente nuove minacce tramite la distribuzione capillare dello strumento così da aumentarne la superficie di attacco; ● la notifica di tentativi di attacco condotti verso punti critici grazie al monitoraggio in tempo reale di essi e di conseguenza la possibilità di offrire supporto tempestivo per la protezione degli stessi. Inoltre, se opportunamente collocato, EMPHAsis potrà essere efficacemente utilizzato, anche in cooperazione con altri strumenti pre-esistenti, come meccanismo per la difesa perimetrale di un sistema informatico di importanza critica. Tale obiettivo si può conseguire considerato le capacità di monitoraggio real-time che si fornisce al sistema in oggetto, il quale può essere integrato con sistemi di firewalling responsivi oppure con sistemi di alerting che coinvolgano il personale specializzato alla difesa degli obiettivi in maniera tempestiva.

Il mercato di riferimento è quello delle applicazioni per la sicurezza informatica a protezione dei servizi digitali e dei dispositivi IoT. Secondo recenti indagini (si veda ad esempio https://www.cybersecitalia.it/cybersecurity-nel-2025-mercato-arrivera-205-miliardi-dollari/4190/), il valore complessivo del mercato è in forte e continua crescita sia al livello nazionale che globale. Secondo la società d’analisi MarketsandMarkets, l’industria della cyber-security potrebbe salire a oltre 248 miliardi nel 2023. Questo presuppone un tasso di crescita annuale del 10,2% nei prossimi cinque anni (fonte

Esigenze per l’ulteriore sviluppo – Industrializzazione:

Sulla base delle criticità individuate, si ritiene che un’opportuna riprogettazione delle componenti del sistema EMPHAsis insieme all’implementazione di nuove funzionalità basate sulla threat intelligence e l’analisi automatica dei dati (machine learning), possa portare a una efficace emulazione dei servizi Windows come per esempio la condivisione SMB anche permettendo l’upload di codice malevolo che sarà catturato e reso disponibile per le successive analisi.

Il miglioramento del supporto all’emulazione di dispositivi IoT e il conseguente sviluppo di honeypot per essi specializzati, consentirebbe di migliorare notevolmente l’individuazione, l’analisi di malware specifici e lo sviluppo di tecniche di difesa per questo importante ambito in cui i meccanismi tradizionali sono di difficile applicazione. EMPHAsis potrebbe inoltre beneficiare dell’adozione di pratiche di DevOps al fine di automatizzare le fasi di build, di test e di rilascio del sistema. Infine, si ritiene molto importante al fine di avanzare ai TRL successivi, effettuare ulteriori validazioni in contesti di più larga scala rispetto a quello in cui il sistema è stato finora messo in esecuzione ai fini della sua validazione.

Codice:

0084

Area di Innovazione:

ICT e terziario innovativo - Proteggere i servizi digitali attraverso strumenti avanzati di cyber-security, anche nell’ambito di Internet of Things