Cyber difesa? Cisco Umbrella e Investigate

(di Alessandro Rugolo)
25/01/18

Il termine "cyber" è ormai divenuto parte del vocabolario comune ed associato ad altri termini quali "attack", "defence", "operations", circoscrive un ben specifico settore del più esteso cyberspace.

Oggi mi voglio occupare di cyber defence e a questo proposito mi sono rivolto a Cisco che mi ha presentato la sua soluzione chiamata "Umbrella". In particolare, i traghettatori Cisco in questo viaggio nella sicurezza sono stati Giovanni Di Venuta referente di prevendita tecnica per il mercato Difesa, Paolo Carini in qualità di esperto di soluzioni Cloud Security ed Alessandro Monforte come responsabile delle relazioni commerciali per soluzioni di Cloud Security.

Fatte le presentazioni, cominciamo dall'inizio, ovvero: cos'è Cisco Umbrella?

Cisco Umbrella è una soluzione in cloud che fornisce un servizio di difesa di prima linea (appunto un ombrello di protezione) a chi necessita di affacciarsi su Internet.

Il funzionamento di Cisco Umbrella è relativamente semplice anche se la sua efficacia è basata su soluzioni tecnologiche molto complesse.

Vediamo, in poche parole, come funziona.

Per spiegarne il funzionamento è utile menzionare che Cisco Umbrella deriva dall’acquisizione Cisco di OpenDNS che storicamente offre un servizio DNS (donaim name server) affidabile, sicuro ed a bassa latenza. Cisco Umbrella unisce alle funzionalità tipiche del DNS quelle di sicurezza, ossia basandosi sul dominio del sito web richiesto dall’utente applica le opportune politiche di sicurezza.

Per essere più chiari, se da un computer aziendale un dipendente, attraverso un browser, sta navigando su Internet e chiede di accedere ad una determinata pagina web, la richiesta di accesso è "mediata" da Cisco Umbrella (DNS) che verifica se tale indirizzo web è catalogato come pericoloso; se lo fosse, all'utente verrebbe mostrata una pagina web che informa che la pagina richiesta non è disponibile per motivi di sicurezza.

L'utente può dunque proseguire la sua attività senza ulteriori problemi e, soprattutto, senza correre i rischi associati alla navigazione su un sito pericoloso.

Ma come fa Umbrella a sapere che il sito è pericoloso? E siamo sicuri che lo sia veramente? Qual è la percentuale di "falsi positivi", ovvero di errori compiuti da Umbrella che identificano come "pericoloso" un sito che non lo è e come "attendibile" un sito che invece è "pericoloso"?

Il lavoro di routine di Cisco Umbrella consiste nel raccogliere informazioni in Internet e su Internet; in Internet in quanto l'infrastruttura di Umbrella si trova sul cloud ricevendo ad oggi circa 125 miliardi di richieste DNS al giorno. Su internet in quanto raccoglie dati e informazioni sulla infrastruttura di Internet, sulle reti che ne fanno parte, sui domini, sugli autonomous systems, sugli indirizzi IP, su chi ne è proprietario, sugli attacchi informatici, sulla loro provenienza e così via.

In questo modo Umbrella riesce ad avere le informazioni su come i siti sono interconnessi tra di loro da un punto di vista infrastrutturale ed avere quindi informazioni sugli “attaccanti”.

Dati e informazioni vengono correlate tramite l'uso di algoritmi proprietari che consentono di capire in quale parte di Internet si corrono maggiori rischi e sulla base di ciò, impedire il collegamento verso una certa zona, anche a fronte di una specifica richiesta da parte di una applicazione o di un utente. Una delle caratteristiche di Umbrella è anche quella di essere predittiva sulle analisi di sicurezza per un nuovo sito web e quindi bloccare nuove minacce prima del loro manifestarsi.

Cisco stima che la percentuale di falsi positivi è molto bassa, circa 1/10.000, ciò significa per l'appunto che statisticamente ogni 10.000 domini classificati come malevoli uno non lo è.

L'aggiornamento delle informazioni è comunque continuo per cui ciò che in questo istante può essere un falso positivo, pochi minuti dopo verrà probabilmente corretto; questo perché la raccolta di dati e l'analisi predittiva è incessante. Di seguito una rappresentazione (effettuata tramite OpenGraffiti, un tool gratuito di rappresentazione 3D utilizzato per analizzare i dati) della rete infrastrutturale supportante una nota botnet (MIRAI) da cui è possibile analizzare graficamente le interazioni tra domini, autonomus systems, indirizzi IP/email utilizzati dagli attaccanti.

La soluzione Cisco Umbrella è in funzione da diversi anni e si basa su una infrastruttura di raccolta e analisi di dati enorme, 26 Data Center distribuiti in tutto il mondo (v.mappa).

Cisco Umbrella nasce grazie all'idea di David Ulevitch che nel 2006 (all'età di 25 anni!) fondò una società chiamata OpenDNS, con sede in San Francisco. La società aveva lo scopo di fornire servizi di DNS (Domain Name System) e di sicurezza ed è tutt'ora così.

OpenDNS continua ad esistere e a fornire servizi gratuiti a clienti non professionisti mentre Umbrella fornisce servizi a pagamento a società e organizzazioni. Con l’acquisizione da parte di Cisco, la soluzione di OpenDNS si avvale anche della security intelligence Cisco ossia TALOS formata da un team di ricercatori che in maniera dedicata si occupa di analisi di threat intelligence.

La potenza del sistema si basa sulla statistica dei grandi numeri e sull'analisi predittiva svolte in maniera continuativa sul database a grafo che contiene tutte le informazioni infrastrutturali di cui abbiamo parlato prima. Per questo motivo sono benvenuti anche i singoli utenti che seppure non portano guadagni diretti, consentono la raccolta di dati utili alle analisi.

Ma come si implementa Cisco Umbrella? L'implementazione è molto semplice in quanto basta impostare Cisco Umbrella come il DNS dell’organizzazione per risolvere le richieste pubbliche (internet) ed oltre a risolvere il dominio richiesto dall’utente saranno applicate le policy di sicurezza impostate dal security admin sulla dashboard di Cisco Umbrella.

È facile intuire che l’enorme mole di dati che Cisco ha a disposizione rappresenta un grande valore aggiunto per chiunque sia interessato ad analizzare le infrastrutture da cui viene attaccato o che semplicemente hanno interazioni frequenti con le proprie. Cisco mette a disposizione l’accesso ai dati tramite la soluzione chiamata ”Investigate” fruibile tramite una console (dashboard) oppure tramite interfacce di programmazione (API); tale offerta è generalmente diretta alla componente della organizzazione aziendale preposta alla analisi delle vulnerabilità e investigazioni informatiche (ad esempio CERT e/o SOC).

https://www.opendns.com/data-center-locations/

Ciò che voglio dire è che utilizzando "Investigate", è possibile capire se la propria organizzazione è sotto attacco informatico o se lo è stata in passato, se si è stati oggetti di un attacco globale, di settore o mirato. Inoltre si possono avere informazioni su domini o sul loro livello di sicurezza e si possono recupare le informazioni sulle reti degli attaccanti (dove un dominio malevole è stato registrato, da chi e così via).

Si potrebbe pensare che si tratti di informazioni inutili in quanto superate, ma non sempre è così.

Essere in grado di capire che si è stati oggetto di un attacco cyber, non riconosciuto come tale, può avere dei risvolti di tipo organizzativo, per esempio spingendo l'organizzazione ad investire di più sul personale dedicato alla cyber security allo scopo di ridurre il rischio e questa è chiaramente una decisione ad alto livello.

Lasciamo ora la parola ai numeri di Cisco Umbrella in termini di infrastruttura utilizzata e dati gestiti, che in questo caso sono veramente rappresentativi:

- 26 Data Center distribuiti in tutto il mondo (v.mappa);

- 160 Stati da cui vengono raccolte informazioni;

- 15 mila imprese si avvalgono dei servizi Umbrella;

- circa 100 milioni di utenti attivi al giorno;

- 125 miliardi di interrogazioni DNS giornaliere analizzate.

Tali dati sono in continuo aggiornamento e sono visibili al seguente link.

Da questi numeri è possibile capire che Cisco (tramite Umbrella, ex OpenDNS) ha una conoscenza di Internet che probabilmente non ha nessun altro operatore di sicurezza.

Ma che importanza può avere Cisco Umbrella per una organizzazione militare?

Le organizzazioni militari oggigiorno necessitano di enormi quantità di dati, dal più banale che può essere considerato l'allineamento al tempo (orario) al più complesso flusso di dati relativi alle previsioni meteorologiche, passando attraverso i flussi di dati riguardanti le necessità di approvvigionamento delle parti di ricambio o quelli relativi al funzionamento corretto dei sistemi informatici.

Questi dati non sempre sono confinati alla intranet (classificata o meno) della organizzazione militare ma, anzi, spesso sono ricevuti o trasmessi utilizzando la rete Internet.

Sta di fatto che sistemi realmente "isolati" sono praticamente inesistenti.

La digitalizzazione sta spingendo le forze armate a dotarsi di strumenti sempre più complessi e che richiedono spesso l'intervento di specialisti appartenenti alle industrie e ciò significa che il perimetro di sicurezza diventa sempre più esteso ed aumenta la complessità e la necessità di controllo.

Cisco Umbrella oltre ad essere uno strumento di protezione può essere un utile ausilio agli analisti di cybersecurity in quanto rende disponibili dati e informazioni sulla struttura di Internet e sui rischi correlati alla stessa rete e agli strumenti di Intelligence Analysis (Investigate è uno di questi).

Naturalmente l'impiego di strumenti sofisticati richiede personale preparato nel settore, preparazione che non può essere demandata alla buona volontà del singolo operatore ma che deve essere parte di un ben articolato percorso formativo dell'operatore di cybersecurity.

La possibilità di prevenire attacchi bloccando le richieste DNS pericolose e le capacità di analisi predittiva ne fanno inoltre uno strumento utile a sorvegliare un possibile attaccante e potenzialmente ad esercitare una azione anche preventiva, qualora reputata necessaria e autorizzata dalla normativa di riferimento.

Un’appropriata strategia di difesa cyber necessita la valutazione dei molteplici fattori di rischio associati all’esercizio di piattaforme tecnologiche. Del resto la stessa struttura operativa che eroga il servizio Umbrella è soggetta a costanti e svariati tentativi di violazione. Per questo motivo e per mantenere il servizio sempre operativo e disponibile (dal suo lancio, avvenuto nel 2006, Umbrella ha riposto al 100% delle richieste DNS) OpenDNS e Cisco hanno costantemente investito in tecnologie e procedure per implementare, sviluppare e mantenere un'adeguata strategia di difesa.

 

Per approfondire:

- https://umbrella.cisco.com/products/our-intel

- https://learn-umbrella.cisco.com/datasheets/investigate-from-opendns

- https://www.talosintelligence.com/

(foto: web / U.S. Air Force)