Autori: Salvatore Ribaudo e Dario Maschietti

Il contesto

La predizione di attacchi cibernetici al tempo futuro rappresenta un traguardo fondamentale per il “contenimento a priori” dei possibili impatti di un attacco cibernetico. Tale tipo di contenimento preventivo rappresenta infatti una fondamentale azione efficace di mitigazione del rischio di esfiltrazione di informazioni, degrado funzionale di servizi IT e perdita di risorse di rete in generale che conseguono ad un attacco cibernetico. Gli attuali sistemi SIEM basati su IP analytics, signature ed algoritmi di anomaly detection in dotazione alle organizzazioni CERT (Computer Emergency Response Team), non scontano l’informazione della tipologia e topologia della rete informatica da proteggere (gli algoritmi di rilevazione di minacce sono svincolati dalla tipologia e topologia della rete) perdendo così a priori una quantità rilevante di informazione (entropia) nel processo di rilevazione degli attacchi cibernetici.

I risultati

Il progetto ha riguardato lo sviluppo e la sperimentazione di un paradigma di predizione di attacchi cibernetici al tempo futuro basato sull’analisi delle informazioni di traffico e di sicurezza (eventi generati dai sistemi di sicurezza) di una rete da proteggere. L’informazione analizzata corrisponde al “comportamento energetico” al tempo corrente degli indirizzi IP presenti nella rete individuato a partire dalla definizione di “traccia” per ogni indirizzo IP (risorse interne alla rete e risorse esterne: accesso alla rete da parte di IP esterni).

Rispetto alle informazioni reperite sulla base della bibliografia consultata, lo sviluppo di un modello applicativo risulta complessivamente inedito. In particolar modo la formulazione del progetto risulta valida in tutte le sue forme e, rispetto alla letteratura indagata, rappresenta un elemento di novità a livello globale. L’applicazione dei filtri di Kalman per la predizione del comportamento degli IP sulla base del calcolo della correlazione energetica si configura in definitiva come uno studio in tutto innovativo, ma allo stesso tempo supportato nella sua fattibilità da applicazioni simili sviluppate per altri settori.

 

Conclusioni

Il progetto di Ricerca e Sviluppo ha visto quindi lo svolgersi di attività di creazione di metodologie e modelli, insieme alla creazione di nuovi algoritmi basati su nuove tecniche, insieme alla creazione di nuove e originali tecniche di sicurezza.

Il progetto si è contraddistinto per i criteri di innovatività, creatività, incertezza, sistematicità e trasferibilità e riproducibilità dei suoi risultati.

Il sistema può rappresentare una soluzione completa di prima linea di detezione di attacchi cibernetici in grado di operare al tempo corrente ed al tempo futuro (predizione) oltre ed essere una soluzione di comando e controllo operante  “traccia unificata” delle minacce (numerazione traccia analoga a quella dei sistemi di difesa cinetica) da ingaggiare (apertura automatica di un incidente informatico) e da neutralizzare tramite contenimento (blocco automatico di IP esterni ed interni tramite il comando di firewall e sonde di sistemi IPS) al tempo corrente o al tempo futuro (terza fase del processo di gestione degli incidenti informatici – incident handling).