Data breach - services for threat detection, analysis and response

Nel mondo della sicurezza informatica, le tecnologie si evolvono per far fronte alle minacce. Non è possibile prescindere dalla prevenzione, ma occorre accettare il fatto che nessuna barriera risulterà impenetrabile e che la rilevazione, unitamente ad una pronta risposta, rappresenta una linea estremamente critica di difesa, ma l’unica veramente attuabile per poter guadagnare più tempo possibile o per limitare i danni. Introdurremo quindi un nuovo modello operativo composto da procedure capaci di affrontare le nuove sfide che il malware costantemente offre e allo stesso tempo di sollevare i comparti IT da attività onerose e sempre più complesse, ottimizzandone il processo di comunicazione e di risposta.

Cryptolocker, trick or threat: phishing e malware alla ricerca dell'anello debole

Il Cryptolocker è un malware diffuso su scala globale appartenente alla categoria ransomware. La mia analisi consiste nel ripercorrere le origini dei software maligni alla ricerca di rappresentanti del genere con caratteristiche simili al virus che senza tregua persevera a partire dal 2013: il Cryptolocker. Per imparare di più sul comportamento di questa minaccia vengono esposte delle analisi del malware, quella statica e quella dinamica, eseguite sul Cryptolocker (2013), CryptoWall (2014) e TeslaCrypt (2015). In breve viene descritta la parte operativa per la concezione e la configurazione di un laboratorio virtuale per la successiva raccolta di tracce lasciate dal malware sul sistema e in rete. In seguito all’analisi pratica e alla concentrazione sui punti deboli di queste minacce, oltre che sugli aspetti tecnici alla base del funzionamento dei crypto, vengono presi in considerazione gli aspetti sociali e psicologici che caratterizzano un complesso background da cui il virus prolifica. Vengono confrontate fonti autorevoli e testimonianze per chiarire i dubbi rimasti dopo i test. Saranno questi ultimi a confermare la veridicità dei dati emersi dai miei esperimenti, ma anche a formare un quadro più completo sottolineando quanto la morfologia del malware sia in simbiosi con la tipologia di utente che va a colpire. Capito il funzionamento generale del crypto sono proprio le sue funzionalità e le sue particolarità a permettermi di stilare, anche con l’aiuto di fonti esterne al mio operato, una lista esauriente di mezzi e comportamenti difensivi per contrastarlo ed attenuare il rischio d’infezione. Vengono citati anche le possibili procedure di recupero per i dati compromessi, per i casi “fortunati”, in quanto il recupero non è sempre materialmente possibile. La mia relazione si conclude con una considerazione da parte mia inaspettata: il potenziale dei crypto, in tutte le loro forme, risiede per la maggior parte nel social engineering, senza il quale (se non per certe categorie del ransomware) l’infezione avrebbe percentuali di fallimento decisamente più elevate.

Un framework per la gestione di moduli di insider threat detection basati su eBPF

Gli Insider Threat sono una problematica complessa e rappresentano una delle problematiche più costose per le organizzazioni: questi ultimi possono, potenzialmente, realizzare grandi guadagni dalle informazioni sottratte danneggiando i clienti e provocando danni irreparabili all’organizzazione. Screening effettuati prima dell’assunzione e la costruzione di un relazione di fiducia basata sulla collaborazione rimangono fondamentali ma, spesso, non sono sufficienti ed è bene integrare il processo di difesa da insider threat all’interno delle business operation. Date queste precondizioni, l’obiettivo di questa tesi è stato quello di cercare un approccio sistematico per affrontare il problema dell’Insider Threat e di fornire nuovi strumenti per la sua detection altamente specializzati nel campo della cyber-security. Dato il campo applicativo, risulta fondamentale rendere questo processo totalmente trasparente al potenziale insider threat. Le più moderne tecniche di hiding, prese dai moderni malware, sono state implementate utilizzando eBPF rendendo possibile unire una quasi totale invisibilità unita alla stabilità garantita da questa tecnologia.

Threat Hunting: analisi e sperimentazione di metodologie di ricerca di vulnerabilità

La caccia alle minacce è una tecnica in cui si ”cercano” fisicamente i ”rischi”, possibili o esistenti, all’interno dell’infrastruttura IT. La caccia alle minacce è un processo proattivo e iterativo guidato da esseri umani che cercano attività ostili, sospette o dannose che sono sfuggite al rilevamento mediante le attuali tecniche automatizzate attraverso reti, endpoint o set di dati come i file di registro. Un caso possibile può essere quello in cui un threat hunter abbia a disposizione per la caccia solo i registri di log provenienti da fonti diverse e anche da diversi sistemi operativi. Questi file di log potrebbero per esempio essere i dati di 3 giorni di raccolta provenienti da 30 40 macchine Windows o Linux e analizzando solamente essi il cacciatore deve essere in grado di determinare se e quali siano le minacce all’interno di una o più macchine del sistema. Un problema che sorge subito all’occhio è come si possa conciliare dati provenienti da fonti differenti, e soprattutto da sistemi operativi diversi; inoltre, un ulteriore problema può essere il determinare quando un file di log sia effettivamente un segnalatore di una minaccia e non un falso positivo. Di conseguenza è richiesta una visibilità totale della rete, nonché dei dati dei dispositivi. Idealmente, sarebbe necessario uno strumento che consenta di avere una panoramica di tutti questi dati con funzionalità di ricerca in grado di contestualizzare ciò che si vede per ridurre al minimo la quantità di ricerca manuale attraverso i registri non elaborati. In questo elaborato verranno mostrate le attività. di simulazione sia su ambiente Linux che ambiente Windows, in cui si andranno a cercare, attraverso gli strumenti che verranno elencati nei primi capitoli, le varie minacce. Verranno quindi simulati degli scenari di attacchi e ne si farà infine un’analisi su come al meglio rilevarli.

Cyber threat intelligence: identifying hardcoded secrets in GitHub

The usage of version control systems and the capabilities of storing the source code in public platforms such as GitHub increased the number of passwords, API Keys and tokens that can be found and used causing a massive security issue for people and companies. In this project, SAP's secret scanner Credential Digger is presented. How it can scan repositories to detect hardcoded secrets and how it manages to filter out the false positives between them. Moreover, how I have implemented the Credential Digger's pre-commit hook. A performance comparison between three different implementations of the hook based on how it interacts with the Machine Learning model is presented. This project also includes how it is possible to use already detected credentials to decrease the number false positive by leveraging the similarity between leaks by using the Bucket System.