Cybersecurity, al via l’osservatorio Iit-CNR

24/10/2018


L'Osservatorio Cybersecurity realizzato dal Cybersecurity Lab dell’Istituto di Informatica e Telematica del Cnr (Iit-Cnr) è un servizio gratuito a disposizione di PA e imprese.
Dal 2017 esiste allo Iit-CNR di Pisa un Centro di competenza in Cybersecurity che fra l'altro si fa promotore di diverse attività dell’Unione Europea: è tra i 5 promotori della European Cyber Security Organization (ECSO) e collabora con l’Università di Pisa per un master di I livello.

L’Osservatorio si rivolge alle industrie, ai professionisti, alla PA e ai cittadini con due obiettivi: raccogliere informazioni sullo stato di vulnerabilità e sui livelli di protezione; offrire servizi non a pagamento per accrescere la consapevolezza sul tema cybersecurity e strumenti di self-assessment utili a valutare i propri livelli di sicurezza. All’interno del sito dell'Osservatorio saranno quindi presenti sia contenuti (documenti, report, note, pubblicazioni) ma anche  servizi open sourcerelativi all'ambito della cybersecurity.

Osservatorio come punto di divulgazione scientifica

Come spiega Fabio Martinelli, Dirigente di Ricerca e Responsabile dell’Osservatorio sulla Cybersecurity, “L’Osservatorio non intende sostituirsi alle consulenze specifiche delle aziende del settore ma rappresentare per gli utenti un primo step per verificare lo stato di salute della propria presenza digitale. Forniamo anche indicazioni sull’assetto normativo ma non offriamo soluzioni: il nostro principale obiettivo è la divulgazione scientifica senza scopo di lucro per contribuire a far accrescere la consapevolezza della rilevanza della cybersecurity. tecnologia che stiamo costruendo può essere offerta a tutti ma ovviamente non tutti potranno accedere allo stesso insieme di dati. Siamo orientati più verso un approccio di user empowerment. secondo cui ciascun operatore può decidere con chi condividere i propri dati e i risultati delle analitiche. Per questo motivo alcuni servizi dell’Osservatorio offrono, ad esempio, due tipologie di questionari per la raccolta e analisi dei dati: uno più semplificato, rivolto ai CEO aziendali e uno più tecnico, rivolto ai CTO” .

L’Osservatorio è stato realizzato anche grazie anche ai risultati di ricerche nazionali ed europee, come quelli del Collaborative and Confidential Information Sharing and Analysis for Cyber Protection (C3ISP) che coinvolge anche aziende come British Telecom, SAP, HP e il CERT italiano.
Accedi ali servizi dell'Osservatorio

I servizi disponibili

Al momento sono 13 i servizi attivi, 2 dei quali resteranno accessibili solo al personale CNR per motivi legati alla natura e al trattamento dei dati stessi, mentre altri 2 verranno ultimati nei prossimi giorni.

Analisi tweet
Il servizio utilizza una raccolta di tweet provenienti da utenti appartenenti a Twitter i cui tweet utilizzano parole chiave relative al dominio della Cyber-Security, ad esempio, cyber minaccia, cyber terrorista/i, cyber terrorismo, hacker e tanti altri.

Anti malware
Servizio Rilevazione Malware. Il servizio permette di rilevare comportamenti malevoli in file (ad esempio, eseguibili o documenti) attraverso la scansione di 57 differenti antimalware. Al termine dell’analisi viene mostrato un indice di rischio che indica la percentuale con la quale il file è considerato malevolo. Questo servizio è accessibile solamente ad utenti registrati e facenti parte del Consiglio Nazionale delle Ricerche.

Report vulnerabilità
Il servizio offre la possibilità di cercare informazioni, note pubblicamente, relative a vulnerabilità di sicurezza software e hardware. Tale servizio non si limita a fornire una descrizione generale delle vulnerabilità cercate, ma offre una visione globale di esse riportando le piattaforme software/hardware coinvolte, gli "attack pattern" ed i possibili "exploit" esistenti usati per sfruttare la vulnerabilità.
Il servizio colleziona le informazioni pubbliche offerte dal National Vulnerability Database (NVD) gestito dal National Institute of Standards and Technology (NIST), esegue un'associazione di quest'ultime con il database di exploits gestito dal progetto "Offensive Security" e ricerca una possibile corrispondenza con le attack signatures collezionate da Symantec Antivirus.

Analisi exploit
Il servizio raccoglie informazioni relative ad exploit pubblici aggiornati giornalmente attraverso il repository ufficiale "Exploit Database", che rappresenta una delle collezioni più complete di exploit e shellcode. Il servizio offre all'utente la possibilità di visualizzare data, descrizione e piattaforma su cui l'exploit è stato condotto mediante la ricerca per data o per parola chiave.

Mappa attacchi 3D
Il servizio mostra una rappresentazione 3D del traffico di rete relativo ad attacchi in tempo reale o relativi a una specifica data inserita. Inoltre, il servizio può essere utilizzato per mostrare le sorgenti e destinazioni di una campagna di email di spam.

Rilevamento DGA
Il servizio analizza un log di richieste DNS e identifica se all’interno sono stati risolti dei nomi a dominio che fanno riferimento ad un Domain Generating Algorithm (DGA). Questi sono utilizzati da malware per registrare nuovi domini con lo scopo di evitare che il malware dipenda da un dominio fisso o da un indirizzo IP che possa venire rapidamente bloccato.

Rilevamento email di spam
Il servizio analizza gruppi di email file (formato .eml) per identificare le email indesiderate (SPAM). Il servizio inoltre separa le email di SPAM in classi che identificano l’obiettivo della mail, dividendole in:
- Advertisement: Pubblicità indesiderata dove l’unico intento è quello di pubblicizzare un prodotto, senza l’autorizzazione del ricevente a ricevere comunicazioni pubblicitarie.
- Portal: Email malevole che indirizzano il lettore a cliccare su un link che ridirige dopo diversi step intermedi a pagine di pubblicità di diversi tipi di prodotti divisi per categorie (portal).
- Malware: L’email trasporta un allegato malevolo con l’intento di infettare il dispositivo del ricevente.
Phishing: L’email tenta di convincere l’utente a rivelare credenziali di servizi ai quali ha accesso.
- Confidential Trick: Email di truffa che tentano di spingere il ricevente a pagare una somma di denaro.
Inoltre il servizio separa le email per similarità strutturale, identificando le email che appartengono alla stessa campagna di SPAM, ossia gruppi di email inviate dallo stesso Spammer con un preciso obiettivo.

Rilevamento Ransomware
Il servizio si prefigge di individuare comportamenti tipici dei ransomware quali, ad esempio, la cifratura di una cartella. A differenza degli antimalware basati su signature, il seguente servizio si prefigge di individuare minacce delle quali la signature non è stata ancora generata. Il servizio effettua un’analisi statica utilizzando informazioni sulla frequenza dei pattern di opcode presenti all’ interno dell’applicazione in analisi.
Il servizio utilizza le librerie di weka e di Apache lucene (entrambe librerie open-source). In particolare weka è open source e viene distribuito con licenza GNU General Public License, mentre lucene, open source, è supportato dall'Apache Software Foundation ed è resa disponibile con l'Apache License.

Ontologia
Un’ontologia rappresenta una risorsa importante per organizzare la conoscenza di un dominio in maniera più dettagliata attraverso una chiara esplicitazione di tutte le tipologie di relazioni semantiche che vengono a crearsi tra i concetti. Partendo dalla selezione terminologica a monte pensata per la creazione del thesaurus, la seguente sistematizzazione ontologica rende più specifici i rapporti di associazione presenti tra i termini del thesaurus.
Nell’ontologia, quindi, i concetti di un dominio definiti attraverso le classi vengono relazionate in modo definito e univoco dalle relazioni in modo da ottimizzare il processo di disambiguazione semantica della rappresentazione della conoscenza. Ogni classe può avere delle sottocategorie che, come da regola per la creazione delle ontologie, ereditano le sue relazioni con le altre classi di un dominio che si desidera descrivere e rappresentare.
L’ontologia presentata sul sito è stata realizzata sul modello del thesaurus italiano sulla Cybersecurity creato per l’OCS e tutte le relazioni tra le classi rappresentano un mapping più preciso dei rapporti di associazione e di gerarchia all’interno del suddetto vocabolario controllato.

Scansione vulnerabilità
Il servizio offre una piattaforma che consente ai Registrar di verificare eventuali problemi di performance e sicurezza presenti sui loro sistemi/servizi. In particolare, la piattaforma offre le seguenti principali funzionalità:
- Controlli real time;
- Controlli periodici;
- Generazione di report ad hoc;
- Controlli sia IPv4 che IPv6.

Strumenti per il self assessment
Il servizio offre uno strumento semplice e rapido per l'autovalutazione per il calcolo del rischio cibernetico. Il servizio richiede due tipi di input: quelli relativi alle misure di sicurezza e quelli sulle risorse dell'azienda. A questionario completo, il servizio stima le perdite annuali previste per ogni minaccia e inoltre fornisce un valore sul rischio totale.
Strumenti per il GDPR
Il servizio offre un sondaggio per la verifica della conformità di un’organizzazione al GDPR (General Data Protection Regulation) che ne disciplina il trattamento dei dati personali. Il GDPR si applica a tutte le attività di trattamento dei dati condotte da organizzazioni operanti all’interno della UE ma anche a quelle organizzazioni che risiedono al di fuori della UE e che forniscono prodotti e servizi a individui nella UE.

Tesaurus
Il servizio mira ad offrire una rappresentazione della conoscenza del dominio della Cybersecurity attraverso la creazione di un vocabolario controllato, un thesaurus, contenente i termini appartenenti a questo campo di studio e una serie di relazioni semantiche che intercorrono tra questi ultimi. Le relazioni terminologiche sono di tre tipi: di gerarchia (Broader Term, BT, Narrower Term, NT), di associazione (Related Term, RT) e di sinonimia (Use, USE, Used For, UF).
Le relazioni esistenti all’interno di questo strumento di organizzazione della conoscenza di dominio hanno come funzione principale quella di sviluppare un sistema di rimandi e rinvii semantici tra i termini presenti nel thesaurus volto a creare un network terminologico per il recupero dell’informazione del dominio di interesse e per i processi di indicizzazione.
Il sito cybersecurity osservatorio.it e i suoi servizi sono in versione beta e sono forniti a scopo di ricerca, sperimentazione e divulgazione scientifica, senza interessi commerciali o scopi di lucro, nell'interesse della comunità scientifica e tecnologica. (Fonte: https://www.01net.it)