Lookout Security Platform whitepaper · comportamentale hanno molto a che fare con questo problema,...

WHITEPAPER

Lookout Security Cloud Difesa Avanzata dalle Minacce Mobili con la Machine Intelligence

WHITE PAPER

2

Indice

I. Introduzione

Economia di un Attacco Informatico

Limitazioni delle Signature e dell’Analisi Comportamentale

Machine Intelligence

II. Lookout Security Cloud

III. Architettura dell’Analisi delle App

Acquisizione

Arricchimento

Analisi

Protezione

IV. Architettura dell’Analisi dei Dispositivi

V. Machine Intelligence In Azione

FireTalk

BadNews

VI. Conclusioni

34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it

WHITE PAPER

3

I. Introduzione

Economia di un Attacco Informatico

Data la recente ascesa degli attacchi informatici, si potrebbe

concludere che questi attacchi siano l’inevitabile conseguenza di

vivere in un modo digitale altamente connesso. Lookout,

tuttavia, rifiuta questo punto di vista. Riteniamo che questi eventi

riflettano un fondamentale squilibrio nell’economia degli attacchi

informatici che attualmente favorisce gli attaccanti. La strada

verso un futuro migliore sta nell’arrestare questa asimmetria

aumentando di molto il costo di un attacco tramite una sicurezza

basata sulla Machine Intelligence.

Attualmente è richiesto uno sforzo enorme per effettuare

reverse engineering e rimediare ad un attacco informatico,

mentre lo sforzo degli attaccanti per modificare i loro codici e le

loro infrastrutture e per evitare la rilevazione è minimo. Uno

studio del 2014 ha trovato che il costo medio di un attacco

informatico per le organizzazioni era di 12.7 milioni di dollari1. È

difficile quantificare il costo per gli attaccanti, ma è chiaro che gli

attaccanti investono una miseria in confronto ai miliardi di dollari

spesi in sicurezza digitale e l’innumerevole ammontare di ore

spese ad analizzare e rimediare ai data breach.

Che cosa spiega questo costo relativamente basso di un

attacco? Modelli eccessivamente basati su signature ed analisi

comportamentale hanno molto a che fare con questo problema,

Se da un lato entrambi gli approcci mantengono la loro

importanza in una difesa multilivello, gli attacchi informatici più

recenti hanno mostrato le loro limitazioni e la facilità con cui

degli attaccanti esperti possono evitare questi meccanismi di

difesa.

Limitazioni di Signatures ed Analisi Comportamentale

Gartner stima che, in tutto il mondo, le organizzazioni hanno

speso oltre 7 miliardi di dollari in soluzioni di sicurezza

informatica nel 2014 e che una parte significativa è stata

destinata a tecnologie di threat detection. Oggigiorno, la

maggior parte dei sistemi di rilevazione delle minacce si

affidano a signatures e/o ad analisi comportamentali

virtualizzate ed entrambi gli approcchi hanno notevoli buchi neri

e limitazioni

Le signatures possono bloccare efficacemente attacchi semplice e

non modificati, ma non possono tenere il passo con gli sviluppi del

malware e normalmente non rilevano attacchi avanzati.

Tipicamente, i ricercatori nel campo della sicurezza perdono ore

analizzando codice malevolo per comprendere le sue

caratteristiche identificative e quindi creare delle firme per

riconoscere queste caratteristiche in minacce future.

Sfortunatamente gli umani non possono tenere testa agli sviluppi

del software, e le crescenti sofisticatezza e quantità di nuovo

malware implicano che i modelli basati sulle signatures falliranno

sempre di più nel rilevare minacce avanzate.

Nel 2014 Lookout ha osservato un incremento generale nella

sofisticatezza delle minacce, compresa la prova che gli attaccanti

potevano aver compromesso la linea di produzione di dispositivi

mobili e pre-caricato del malware su alcuni smartphone ancor prima

che lasciassero la fabbrica.

SIGNATURES

CONS

Non possono stare al passo, troppo dipendenti dal fattore umano

Fragili e facilmente aggirabili

Inoltre, a causa della loro specificità e della loro dipendenza su

confronti 1:1, gli attaccanti possono aggirare le signatures

abbastanza facilmente. Piccole modifiche del codice malevolo

possono alterare il pattern di una signature o di un hash

crittografico, rendendoli inutili. Consideriamo la facilità con cui un

attaccante può aggirare le signatures basate su sequenza che

vediamo nella tavola alla pagina seguente.

1 “2014 Cost of Cyber Crime Study: United States.” The Ponemon Institute. Oct 2014.

2 “Gartner Says Worldwide Information Security Spending Will Grow Almost 8 Percent in 2014 as Organizations Become More Threat-Aware.” Gartner. Aug 22, 2014.

3 “2014 Mobile Threat Report.” Lookout. Jan. 2014.

WHITE PAPER

4

Example of Signature Limitations:

SIGNATURE

DOPO LA MODIFICA

STATUS

Efficace

Violata

SIGNATURE 1 \x00>apkFile and apkFile1 Already rooted or already have ==> return\x00

\x00>apkFile and apkFile1 Already rooted

or already have _ ==> return\x00

Con a semplice aggiunta di una “X” e di uno spazio, di fatto

due soli caratteri, un attaccante può riciclare il suo codice ed

evadere queste signature che possono essere il risultato di

ore di ricerca e di analisi del codice. Naturalmente, sapere

quale specifica sequenza del codice modificare può risultare

difficile, ma gli attaccanti possono automatizzare questo

processo di evasione con l’utilizzo di algoritmi di ‘code

obfuscation’ che riordinano, rinominano e/o inseriscono

codice-spazzatura (filler) per sbarazzarsi delle signature, e

possono anche far leva su strumenti che testano

automaticamnete il loro codice rispetto a signatures esistenti.

Un recente attacco informatico in particolare ha illustrato le

limitazioni dei modelli di rilevazioni basati sulle signatures.

Quando i sistemi informatici del New York Times hanno

subito un attacco hacker – presumibilmente dalla Cina – le

successive indagini hanno rivelato che, tra i 45 tipi di malware

installato dagli attaccanti, la tecnologia di rilevazione del NYT

ne ha potuto trovare e quarantenare soltanto uno. 4

I modelli di rilevazione basati sulla behavioral analysis

tendono a passarsela meglio di quelli basati sulle signatures

contro gli attacchi di tipo avanzato data la crescente difficoltà

di oscurare dei comportamenti malevoli.

Anche questo approccio, tuttavia, ha delle limitazioni evidenti. In

particolare, tende a produrre un maggior numero di falsi positivi,

creando eccessivo rumore che può creare un rumore eccessivo

che può far perderre o sottovalutare importanti segnali che

emergono dal modello di rilevazione.

BEHAVIORAL ANALYSIS

CONS

Priva di contesto, soggetta a falsi positivi

Manca minacce avanzate latenti

Mentre i comportamenti possono segnalare un’attività

maliziosa, la maggior parte dei modelli di behavioral analysis

sono privi di un contesto per differenziare in modo coerente gli

intenti maliziosi e legittimi di determinati comportamenti.

Consideriamo la tabella alla pagina seguente che mostra i

permessi e i corrispondenti comportamenti di contact-

exfiltration di due differenti applicazioni Android:

4 “Hackers in China Attacked The Times for Last 4 Months.” New York Times. Jan. 30, 2014.

SIGNATURE 2 \x00\x00\x00AndroidRTService.apk\x00 \x00\x00\x00AndroidRTSXervice.apk\x00

WHITE PAPER

5

Yes Yes FLAGGED

BEHAVIOR

APP 2APP 1

Esempio delle Limitazioni della Behavioral Analysis:

SAMPLE

PERMISSIONS

• android.permission.READ_CONTACTS

• android.permission.ACCESS_NETWORK_STATE

• android.permission.ACCESS_FINE_LOCATION

• android.permission.READ_CALENDAR

• android.permission.READ_CONTACTS

• android.permission.WRITE_CONTACTS

• android.permission.ACCESS_NETWORK_STATE

• android.permission.ACCESS_FINE_LOCATION

Entrambe le app, eseguite in un ambiente virtuale,

potrebbero avere accesso ai contatti presenti sul dispositivo,

allo stato della rete ed alla localizzazione GPS, ed un

modello di behavioral analysis che classifichi come cattivo un

comportamento del tipo “device contact access and

exfiltration” invierebbe un alert per entrambe le app. Ma

esse rappresentano entrambe una minaccia? È importante

il fatto che la App 1 abbia accesso ai dati del calendar

mentre la App 2 no? È difficile per un sistema automatizzato

fare queste chiamate senza la comprensione del contesto in

cui si comporta ciascuna.

La App 1 in questo esempio, tuttavia, è un’applicazione

benigna di social networking e la App 2 è MalApp.D, un

malware mascherato da app VoIP rilevato da Lookout per la

prima volta. Questo esempio illustra come un approccio di

behavioral analysis puro spesso non tiene conto del contesto

per valutare accuratamente i comportamenti. Come un

allarme incendio troppo sensibile, la mancanza di precision

sta a significare che corrono il rischio di fallire di segnalare il

vero pericolo in mezzo al rumore che creano. Alcuni esperti

di sicurezza, per esempio, hanno supposto che, sebbene il

breach che ha interessato le carte di credito dei clienti di

Target abbia attivato gli alert di sicurezza dei loro sistemi,

l’importanza di questi non è stata riconosciuta tra le centinaia di

altri alert generati quotidianamente.5

Da ultimo, i modelli di rilevazione basati sull’analisi

comportamentale possono fornire soltanto uno snapshot

puntuale di un comportamento e ciò può creare dei buchi neri.

Attaccanti sofisticati possono evitare la rilevazione

sopprimendo temporaneamente il comportamento malevolo

o creando una minaccia a più stadi che bypassa l’analisi e

quindi scarica il payload. Lookout, per esempio, ha rilevato

BadNews, un malware che è riuscito a bypassare l’analisi di

sicurezza di una delle principali app che fingeva di essere un

ad e successivamente utilizzava la propria capacità di indurre

gli utenti a scaricare del malware ritenuto un

“aggiornamento””6

Altre minacce mobile hanno dimostrato la capacità di occultare il

comportamento malevolo per più di 30 giorni per evitare la

rilevazione comportamentale.7 I ricercatori scoprono

continuamente nuovi modi utilizzati da attaccanti intelligenti per

evitare la rilevazione comportamentale, ad esempio innescando

il loro attacco con un comportamento che un utente

eseguirebbe senza provocare la rilevazione da parte del

sistema (come scorrendo un documento) oppure giacendo

inattivi su un particolare sistema.

.

5 “Target says it declined to act on early alert of cyber breach.” Reuters. Mar. 13, 2014.

6 “The Bearer of Bad News.” Lookout. Apr. 19, 2013.

7 “Apps on Google Play Pose As Games and Infect Millions of Users with Adware.” Avast. Feb. 3, 2015..

BEHAVIOR Sends device contacts to server Sends device contacts to server

WHITE PAPER

6


Machine Intelligence

La rilevazione delle minacce è fondamentalmente un

esercizio predittivo. I sistemi di sicurezza rilevano le

minacce ricevendo informazioni in input e ritornando una

valutazione del rischio come output in base ad un modello

di analisi. I modelli di signature e behavioral analysis,

tuttavia, non sono all’altezza di questo tipo di sicurezza

predittiva. Le signature richiedono che una minaccia sia

incontrata prima di poterla predire (identificare) e le

predizioni basate sulla behavioral analysis mancano di

precisione e possono anche fallire la predizione di minacce

più avanzate che oscurano o reprimono il loro

comportamento. In breve, le organizzazioni devono

affrontare un compromesso di base quando adottano

questi modelli di sicurezza.

• I modelli basati sulle signature riducono i falsi positive a

spese dei falsi negativi

• I modelli comportamentali riducono i falsi negative a

spese dei falsi positivi

Questi compromessi derivano dall’uso, da parte di questi

modelli, di dataset limitati e dalla loro corrispondente

incapacità di valutare le relazioni di una potenziale minaccia

con il mondo del codice conosciuto al di là di signatures e

comportamenti. Indipendentemente dalla sofisticatezza degli

algoritmi utilizzati, questi modelli di sicurezza continueranno

a soffrire di questo compromesso a causa dei limiti dei loro

input.

Una sicurezza realmente predittiva richiede telemetria da una

popolazione globale di dispositivi e l’uso di macchine per

ordinare questo insieme di dati e identificare correlazioni di

rischio complesse che altrimenti sfuggirebbero all’analisi

umana e a un pattern basico di matching 1 a 1. La vera

promessa di questo approccio è data dal fatto che esso può

rilevare minacce dove non sono già esistenti delle signatures

e prima che la minaccia esibisca un comportamento malevolo.

Con questa promessa in mente, Lookour ha progettato e

creato Lookout Security Cloud.

II. Lookout Security Cloud

Introduzione

Lookout Security Cloud è una piattaforma in cloud che rileva

e blocca minacce mobili convenzionali e avanzata. La

piattaforma utilizza un modello di sicurezza basato sulla

machine-intelligence che permette la rilevazione delle

minacce anche nei casi in cui non ci siano signature

preesistenti e prima che esse esibiscano comportamenti

malevoli. Protegge gli endpoint mobile e le infrastrutture da

minacce basate su app e dispositivi, abilita alla indagine

approfondita delle minacce e, da ultimo, alimenta un ampio

range di prodotto Lookout.

The Lookout Product Family Architecture:

In sostanza, la piattaforma di Lookout incorpora signatures e

behavioral analysis nella sua struttura di sicurezza per

ottenere funzionalità di difesa in profondità, ma va al di là di

queste tecniche di rilevazione tradizionali grazie all’utilizzo di

telemetria di sicurezza e machine intelligence per correlare

automaticamente i segnali provenienti da ciascun dispositivo

e app che incontra attraverso numerose dimensioni per

tracciare le minacce esistenti e predire nuove minacce.

WHITE PAPER

7


III. Architettura dell’Analisi delle App

Il grafico qui sotto mostra l’architettura delle funzionalità di rilevazione delle minacce basate sulle app della piattaforma di Lookout.

Questa architettura segue un processo in quattro fasi: (1) acquisizione dei dati (2) arricchimento dei dati (3) analisi dei dati (4)

protezione.

WHITE PAPER

8


1. Acquisizione

La piattaforma raccoglie in tempo reale informazioni

telemetriche di sicurezza sulle applicazioni mobili da una

varietà di fonti:

Rete di Sensori Mobili: Più di 150 milioni di dispositivi mobili

registrati nel mondo hanno fornito Lookout di una visione

completa e in tempo reale delle minacce mobili, che interessino

un dispositivo o milioni. Il processo di acquisizione binaria delle

app da parte di Lookout distribuisce il carico su molteplici

dispositivi per limitare l’impatto sulla batteria e sui dati, ri-

assemblando le parti di app nel cloud e preservando la privacy

dell’utente finale in quanto raccoglie soltanto i dati binari e non

dati personali dell’utente (ad es. foto, messaggi) generati

utilizzando queste applicazioni.

Crawling Lookout monitora continuamente gli app store di

tutto il mondo, compresi quelli di paesi come la Cina, la

Russia e l’India. La tecnologia di crawling di Lookout gli

consente di acquisire app anche da fonti web ad hoc.

APIs Servendo da esclusivo strato di sicurezza per alcuni dei

più grandi app store del mondo, Lookout Security Cloud ha

accesso privilegiato al malware inviato a questi store, che non

vedrà mai la luce del sole.

Per proteggere la privacy dell’utente nella sua rete di sensori,

Lookout non raccoglie mai dati personali generate dagli utenti sui

loro dispositivi, come immagini o testi, e non utilizza neppure le

informazioni di sicurezza raccolte per identificare gli utenti privati

a meno che un utente non richieda specificamente di essere

contattato per un problema di sicurezza.

7 Lookout’s platform is aware of the presence of 67,500,000 unique app binaries in the world, counted by cryptographic hash. This include both system apps (apps that are part of the operating system) as well as user-downloaded apps, and counts each version of an app as a unique app instance.

A COLPO D’OCCHIO

Sensori Mobili Registrati 150+ milioni

Partner API Molti, compresi alcuni dei più grandi app store del mondo

App binaries rilevatiI 67.500.000+

App binaries acquisite 30.000.000+

Codici binari delle app rilevati su un unico dispositivo in tutto il mondo

875.000+

App acquisite quotidianamente

90.000+

WHITE PAPER

9


2. Arricchimento

Ciascuna app acquisita dalla piattaforma di Lookout è

sottoposta ad un processo di arricchimento unico che

descrive il modo in cui lavora e la mette accuratamente in

relazione con il mondo delle applicazioni conosciute.

Metadata Lookout appends data that includes app name,

digital signature, app store description, and developer name.

Analisi Comportamentale La piattaforma genera dati sul

comportamento delle app, generate tramite tecnologie

dinamiche e di esecuzione simbolica the eseguono l’app in

un ambiente simulato e analizzano le capacità del codice.

Analisi delle Similarità Binarie La piattaforma stima

automaticamente le ambigue similarità di codice che una app

condivide con tutto il codice noto nel dataset di mobile intelligence

di Lookout, rivelando dove il codice di quell’app (o i suoi genitori)

compaiono nel mondo con l’analisi di simitarità approssimate tra

singole classi di codice e con il calcolo di un punteggio di similarità

aggregato.

Reputation Lookout inserisce i dati relative all’autore,

all’origine, alla distribuzione geo-storica di un’app, come la

durata e la popolarità.

ESEMPI DI METADATI

• Package name: com.android.service

• Signer: bb626d3b8406e7fc330d0f4b304cbfc5f610721f

• Signer metadata: CN=Dragon, L=SZ, ST=GZ, C=CN

• Packaged date: 2012-09-20 18:36:44 UTC

• Signed date: 2012-09-20 18:36:42 UTC

ESEMPI DI REPUTATION

• 95% delle APK conosciute che utilizzano questo firmatario sono malware.

ESEMPI DI COMPORTAMENTI

RISULTATI DELL’ANALISI COMPORTAMENTALE:

• write_file (Osiris[0.1.217])

• read_contacts (Static Behavior Extraction[3.1.469])

• write_contacts (Static Behavior Extraction[3.1.469])

• read_sms (Static Behavior Extraction[3.1.469])

• read_imsi (Static Behavior Extraction[3.1.469])

ESEMPI DI SIMILARITA’ BINARIA

• INDEX CLASS:

• • Lorg/linphone/MapAPP$1$1;

• • Lorg/linphone/MapAPP;

• • Lorg/linphone/util/Constant;

• • Index match:

• SCORE:

• • 0.9433

• • 0.9846

• • 1.0000

• • 0.9923


WHITE PAPER

10


Lookout ha brevettato la propria tecnologia di analisi delle

similarità binarie, che costituisce una differenza chiave su cui

si fonda il modello di sicurezza guidato dalla machine-

intelligence. Mentre gli attaccanti possono evitare le signature

modificando una singola linea di codice, la tecnologia di

Lookout (conosciuta come App Genome Sequencing) non

dipende su precisi match 1 a 1 e può stimare match

approssimativi sia a livello granulare (classi o blocchi di codice)

che olistico (app). Questo incrementa grandemente il costo di

un attacco perché richiede agli attaccanti di modificare l’intero

codice per evitare la rilevazione.

Persino alcune delle tecniche di arricchimento meno potenti

possono giocare un ruolo essenziale nell’identificare e

tracciare codice malevolo aggiungendo informazioni rilevanti

per alimentare il motore di sicurezza di Lookout e metterlo in

grado di trovare correlazioni multidimensionali molto

complesse.

3. Analisi

Il motore di Lookout introita i dati generate dai processi di

acquisizione ed arricchimento della piattaforma e quindi

confronta automaticamente questi dati puntuali con

centinaia di milioni di dati presenti nel dataset di mobile

intelligence.

La correlazione multidimensionale delle minacce rende la

piattaforma notevolmente più difficile da evitare perché

richiede che gli attaccanti re-implementino la loro intera

piattaforma e l’infrastruttura di comando e controllo, invece di

modificare semplicemente le poche componenti che

corrispondono alla signature o oscurare l’attività malevola che

potrebbe far scattare un alert. Nel caso in cui Lookout

Security Cloud non trovasse alcuna correlazione, la

piattaforma si affida ad un modello di risk-scoring che riceve

input dai processi di arricchimento ed analisi per predire

minacce zero-day.

Le straordinarie ampiezza e complessità delle correlazioni

multidimensionali generate dal motore guidato dalla machine

intelligence di Lookout superano grandemente le possibilità di

analisti umani e i modelli di analisi comportamentale.

Consideriamo i diagrammi alle pagine seguenti che visualizzano

queste correlazioni per due distinte famiglie di malware,

Mouabad e NotInstalledYo.

WHITE PAPER

11


Analisi delle Correlazioni Multidimensionali della famiglia di malware Mouabad:

Questo diagramma mostra esempi del malware

mobile Mouabad, correlate per firmatario

condiviso, comunicazioni IP e similarità binarie

calcolate dalla tecnologia App Genome

Sequncing della piattaforma. Mouabad è una

famiglia di trojan che permette a terze parti di

acquisire il controllo di un dispositivo

compromesso, permettendo ad attaccanti remoti

di inviare SMS ad alta frequenza e effettuare

attività telefoniche da remoto.

WHITE PAPER

12


Analisi delle Correlazioni Multidimensionali della famiglia di malware NotInstalledYo:

Questo diagramma mostra un esempio della famiglia di malware NotInstalledYo, correlati

per firmatari condivisi e similarità binarie calcolate dalla tecnologia App Genome

Sequencing della piattaforma. Il nodo al centro di questa galassia rappresenta un

firmatario ampiamente condiviso che usa una chiave di firma compromessa.

NotInstalledYo è una famiglia di spyware che intercetta messaggi SMS su dispositivi -

vittima e li inoltra agli attaccanti.

Ingrandimento dell’area segnata in rosso:

Campioni che condividono un alto grado di similarità binaria sono raggruppati per colore e I nodi

a cui più nodi colorati si connettono rappresentano un firmatario condiviso da questi campioni.

WHITE PAPER

13


4. Protezione

L’output della piattaforma di Lookout è una decisione di

sicurezza dinamica che identifica sia le minacce conosciute

in evoluzione che attacchi unici targhettizzati. Quando la

piattaforma rileva nuove minacce inizia immediatamente un

processo di indagine. Allertando il team di Research &

Response di Lookout perché indaghi ulteriormente sulle

attività e le motivazioni degli attaccanti, esegua azioni dii

remediation come richieste di server takedown, e si assicuri

che i principali partner, i clienti e le organizzazioni

eseguano azioni di remediation se necessarie.

IV. Architettura dell’Analisi dei Dispositivi

Architettura dell’Analisi dei Dispositivi in Lookout Security Cloud

Per proteggere la sottostante sicurezza dei dispositivi mobili

dalle minacce tipo rooting malevolo e jailbreaking, Lookout

Security Cloud raccoglie un insieme di informazioni

telemetriche di sicurezza per formare un fingerprint digitale di

ciascun dispositivo.

Queste informazioni comprendono:

1. Dati su SO/Firmware data – metadata dei file di sistema,

come il nome file e l’hash:

2. Dati di Configurazione – proprietà di sistema della configurazione SO

3. Dati sul dispositivo – informazioni identificative sul dispositivo per scopi di remediation.

Dopo aver raccolto questi dati la piattaforma li ri-assembla

nel cloud per formare una fingerprint del dispositivo.

Correla quindi i vari dati puntuali di questa fingerprint

confrontandoli con il dataset di mobile intelligence di

Lookout per individuare quando un dispositivo è vulnerabile

o è stato compromesso, e può anche predire il rischio di

quel dispositivo in base ad anomalie o correlazioni a

segnali noti di compromissione. Quando la piattaforma

rileva un dispositivo compromesso esegue azioni di

remediation tramite un client integrato di Mobile Device

Management (MDM).

Attualmente, la maggior parte dei modelli di rilevazione della

compromissione di un dispositivo si basano su una manciata

di test puntuali codificati sul cliente mobile. Gli attaccanti

hanno identificato e analizzato questi test, e implementato

contromisure atte ad evitarli facilmente. Il modello di

rilevazione di Lookout, tuttavia, differisce in modo

significativo da questi approcci nel fatto che esso raccoglie

una fingerprint olistica del profilo del dispositivo e la invia al

cloud per analizzarla lato server. Il modello di sicurezza di

Lookout offre due vantaggi chiave: invece di effettuare una

reverse engineering di test puntuali lato client, gli attaccanti

devono imitare l’intero stato del dispositivo e i suoi segnali

corrispondenti, il che significa accrescere significativamente il

costo di un attacco. Inoltre, l’analisi lato server impedisce agli

attaccanti di effettuare la reverse engineering della

metodologia di rilevazione di Lookout.

WHITE PAPER

14


V. Machine Intelligence in Azione

I seguenti casi di studio dimostrano come Lookout Security

Cloud ha mantenuto la promessa di una sicurezza guidata

dalla machine intelligence e può rilevare minacce per le

quali non esistono signature, rilevando una minaccia

persino prima che esibisca un comportamento malevolo.

Case Study 1: BadNews

Consideriamo il caso di BadNews, una rete malevola di ad

mobili. Lookout ha trovato BadNews annidato in 32 differenti

app su Google Play che hanno avuto milioni di download.

BadNews permette l’installazione di APK aggiuntivi e

potrebbe aprire URL nel browser, sebbene non abbia esibito

nessuno di questi due comportamenti al momento della sua

scoperta. Lookout Security Cloud, tuttavia, ha rilevato che

BadNews conteneva codice condiviso in maniera

statisticamente significativa con un noto malware russo e, ed

ha protetto in modo proattivo i dispositivi abilitati Lookout.

Dopo la protezione, Lookout ha continuato a monitorare

BadNews in the wild e in seguito ha osservato che distribuiva

nuovi trojan zero-day tramite funzionalità di installazione APK.

In particolare, BadNews si dedicava a questa attività malevola

soltanto per 5 minuti al giorno, mascherando in modo efficace

la propri attività dall’ambiente sicuro della sandbox dove

l’analisi comportamentale isolata e point in time non poteva

rilevare l’attività. Per saperne di più su BadNews, vai al blog di

Lookout.

Case Study 2: MalApp.D

La potenza di un modello predittivo risulta evidente nella

rilevazione da parte di Lookouti di MalApp.D, una minaccia

mobile che non matchava con nessuna precedente signature

né esibiva alcun comportamento malevolo, ma nondimeno

metteva a rischio i dati di contatto aziendali e le

comunicazioni vocali.

MalApp.D era annidata in una app VoIP apparentemente

benigna che si trovava in Google Play Store al tempo della

sua rilevazione da parte di Lookout. Con una manciata di

recensioni positive ed un punteggio di 4.2 stelle, l’app

appariva legittima. Tramite la correlazione

multidimensionale, tuttavia, la piattaforma di Lookout ha

rivelato che questa app VoIP era stata probabilmente

sviluppata da un noto autore di malware mobile e perciò

metteva l’azienda in una posizione di rischio inaccettabile

dato il suo accesso ai contatti sul dispositivo e la potenziale

capacità di registrare le chiamate vocali. Per leggere di più

su MalApp.D, visita il sito web di Lookout.

VI. Conclusioni

Lookout Security Cloud analizza le potenziali minacce mobile

non nel contesto di un singolo server, di un singolo dispositivo

o di una singola applicazione, ma nel contesto di codice e

dispositivi mobili globali.

Il continuo fallimento di signatures ed analisi

comportamentale nell’individuare regolarmente le minacce

senza un oceano di falsi positive o falsi negative rivela

l’importanza critica di avere dataset ampi e contestuali. La

piattaforma di Lookout eccelle nel trovare il segnale in mezzo

al rumore perché ha una visione del codice – sia app che

firmware - mai avuta prima d’ora dal momento che viene

eseguita su milioni di dispositivi in tutto il mondo. Questo

enorme dataset produce centinaia di milioni di datapoint che

la piattaforma può utilizzare per correlare e predire minacce e

rischi per la sicurezza.

I modelli di sicurezza predittiva richiedono la machine

intelligence per individuare correlazioni estremamente

complesse e segnali di rischio che gli uomini non sono in

grado di identificare. Oggigiorno, la maggior parte dei sistemi

di rilevazione eccellono soltanto nell’individuare il rapinatore

dopo che ha già sfondato la cassaforte. Dovremmo invece

sfruttare l’immenso patrimonio di dati disponibili per predire le

prossime rapine basandoci sulle loro correlazioni rispetto a

dimensioni multriple a noti rapinatori.

Lookout Security Platform whitepaper · comportamentale hanno molto a che fare con questo problema,...

Documents

Transcript of Lookout Security Platform whitepaper · comportamentale hanno molto a che fare con questo problema,...