Lookout Security Platform whitepaper · comportamentale hanno molto a che fare con questo problema,...
Transcript of Lookout Security Platform whitepaper · comportamentale hanno molto a che fare con questo problema,...
WHITEPAPER
Lookout Security Cloud Difesa Avanzata dalle Minacce Mobili con la Machine Intelligence
WHITE PAPER
2
Indice
I. Introduzione
Economia di un Attacco Informatico
Limitazioni delle Signature e dell’Analisi Comportamentale
Machine Intelligence
II. Lookout Security Cloud
III. Architettura dell’Analisi delle App
Acquisizione
Arricchimento
Analisi
Protezione
IV. Architettura dell’Analisi dei Dispositivi
V. Machine Intelligence In Azione
FireTalk
BadNews
VI. Conclusioni
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
WHITE PAPER
3
I. Introduzione
Economia di un Attacco Informatico
Data la recente ascesa degli attacchi informatici, si potrebbe
concludere che questi attacchi siano l’inevitabile conseguenza di
vivere in un modo digitale altamente connesso. Lookout,
tuttavia, rifiuta questo punto di vista. Riteniamo che questi eventi
riflettano un fondamentale squilibrio nell’economia degli attacchi
informatici che attualmente favorisce gli attaccanti. La strada
verso un futuro migliore sta nell’arrestare questa asimmetria
aumentando di molto il costo di un attacco tramite una sicurezza
basata sulla Machine Intelligence.
Attualmente è richiesto uno sforzo enorme per effettuare
reverse engineering e rimediare ad un attacco informatico,
mentre lo sforzo degli attaccanti per modificare i loro codici e le
loro infrastrutture e per evitare la rilevazione è minimo. Uno
studio del 2014 ha trovato che il costo medio di un attacco
informatico per le organizzazioni era di 12.7 milioni di dollari1. È
difficile quantificare il costo per gli attaccanti, ma è chiaro che gli
attaccanti investono una miseria in confronto ai miliardi di dollari
spesi in sicurezza digitale e l’innumerevole ammontare di ore
spese ad analizzare e rimediare ai data breach.
Che cosa spiega questo costo relativamente basso di un
attacco? Modelli eccessivamente basati su signature ed analisi
comportamentale hanno molto a che fare con questo problema,
Se da un lato entrambi gli approcci mantengono la loro
importanza in una difesa multilivello, gli attacchi informatici più
recenti hanno mostrato le loro limitazioni e la facilità con cui
degli attaccanti esperti possono evitare questi meccanismi di
difesa.
Limitazioni di Signatures ed Analisi Comportamentale
Gartner stima che, in tutto il mondo, le organizzazioni hanno
speso oltre 7 miliardi di dollari in soluzioni di sicurezza
informatica nel 2014 e che una parte significativa è stata
destinata a tecnologie di threat detection. Oggigiorno, la
maggior parte dei sistemi di rilevazione delle minacce si
affidano a signatures e/o ad analisi comportamentali
virtualizzate ed entrambi gli approcchi hanno notevoli buchi neri
e limitazioni
Le signatures possono bloccare efficacemente attacchi semplice e
non modificati, ma non possono tenere il passo con gli sviluppi del
malware e normalmente non rilevano attacchi avanzati.
Tipicamente, i ricercatori nel campo della sicurezza perdono ore
analizzando codice malevolo per comprendere le sue
caratteristiche identificative e quindi creare delle firme per
riconoscere queste caratteristiche in minacce future.
Sfortunatamente gli umani non possono tenere testa agli sviluppi
del software, e le crescenti sofisticatezza e quantità di nuovo
malware implicano che i modelli basati sulle signatures falliranno
sempre di più nel rilevare minacce avanzate.
Nel 2014 Lookout ha osservato un incremento generale nella
sofisticatezza delle minacce, compresa la prova che gli attaccanti
potevano aver compromesso la linea di produzione di dispositivi
mobili e pre-caricato del malware su alcuni smartphone ancor prima
che lasciassero la fabbrica.
SIGNATURES
CONS
Non possono stare al passo, troppo dipendenti dal fattore umano
Fragili e facilmente aggirabili
Inoltre, a causa della loro specificità e della loro dipendenza su
confronti 1:1, gli attaccanti possono aggirare le signatures
abbastanza facilmente. Piccole modifiche del codice malevolo
possono alterare il pattern di una signature o di un hash
crittografico, rendendoli inutili. Consideriamo la facilità con cui un
attaccante può aggirare le signatures basate su sequenza che
vediamo nella tavola alla pagina seguente.
1 “2014 Cost of Cyber Crime Study: United States.” The Ponemon Institute. Oct 2014.
2 “Gartner Says Worldwide Information Security Spending Will Grow Almost 8 Percent in 2014 as Organizations Become More Threat-Aware.” Gartner. Aug 22, 2014.
3 “2014 Mobile Threat Report.” Lookout. Jan. 2014.
WHITE PAPER
4
Example of Signature Limitations:
SIGNATURE
DOPO LA MODIFICA
STATUS
Efficace
Violata
SIGNATURE 1 \x00>apkFile and apkFile1 Already rooted or already have ==> return\x00
\x00>apkFile and apkFile1 Already rooted
or already have _ ==> return\x00
Con a semplice aggiunta di una “X” e di uno spazio, di fatto
due soli caratteri, un attaccante può riciclare il suo codice ed
evadere queste signature che possono essere il risultato di
ore di ricerca e di analisi del codice. Naturalmente, sapere
quale specifica sequenza del codice modificare può risultare
difficile, ma gli attaccanti possono automatizzare questo
processo di evasione con l’utilizzo di algoritmi di ‘code
obfuscation’ che riordinano, rinominano e/o inseriscono
codice-spazzatura (filler) per sbarazzarsi delle signature, e
possono anche far leva su strumenti che testano
automaticamnete il loro codice rispetto a signatures esistenti.
Un recente attacco informatico in particolare ha illustrato le
limitazioni dei modelli di rilevazioni basati sulle signatures.
Quando i sistemi informatici del New York Times hanno
subito un attacco hacker – presumibilmente dalla Cina – le
successive indagini hanno rivelato che, tra i 45 tipi di malware
installato dagli attaccanti, la tecnologia di rilevazione del NYT
ne ha potuto trovare e quarantenare soltanto uno. 4
I modelli di rilevazione basati sulla behavioral analysis
tendono a passarsela meglio di quelli basati sulle signatures
contro gli attacchi di tipo avanzato data la crescente difficoltà
di oscurare dei comportamenti malevoli.
Anche questo approccio, tuttavia, ha delle limitazioni evidenti. In
particolare, tende a produrre un maggior numero di falsi positivi,
creando eccessivo rumore che può creare un rumore eccessivo
che può far perderre o sottovalutare importanti segnali che
emergono dal modello di rilevazione.
BEHAVIORAL ANALYSIS
CONS
Priva di contesto, soggetta a falsi positivi
Manca minacce avanzate latenti
Mentre i comportamenti possono segnalare un’attività
maliziosa, la maggior parte dei modelli di behavioral analysis
sono privi di un contesto per differenziare in modo coerente gli
intenti maliziosi e legittimi di determinati comportamenti.
Consideriamo la tabella alla pagina seguente che mostra i
permessi e i corrispondenti comportamenti di contact-
exfiltration di due differenti applicazioni Android:
4 “Hackers in China Attacked The Times for Last 4 Months.” New York Times. Jan. 30, 2014.
SIGNATURE 2 \x00\x00\x00AndroidRTService.apk\x00 \x00\x00\x00AndroidRTSXervice.apk\x00
WHITE PAPER
5
Yes Yes FLAGGED
BEHAVIOR
APP 2APP 1
Esempio delle Limitazioni della Behavioral Analysis:
SAMPLE
PERMISSIONS
• android.permission.READ_CONTACTS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.ACCESS_FINE_LOCATION
• android.permission.READ_CALENDAR
• android.permission.READ_CONTACTS
• android.permission.WRITE_CONTACTS
• android.permission.ACCESS_NETWORK_STATE
• android.permission.ACCESS_FINE_LOCATION
Entrambe le app, eseguite in un ambiente virtuale,
potrebbero avere accesso ai contatti presenti sul dispositivo,
allo stato della rete ed alla localizzazione GPS, ed un
modello di behavioral analysis che classifichi come cattivo un
comportamento del tipo “device contact access and
exfiltration” invierebbe un alert per entrambe le app. Ma
esse rappresentano entrambe una minaccia? È importante
il fatto che la App 1 abbia accesso ai dati del calendar
mentre la App 2 no? È difficile per un sistema automatizzato
fare queste chiamate senza la comprensione del contesto in
cui si comporta ciascuna.
La App 1 in questo esempio, tuttavia, è un’applicazione
benigna di social networking e la App 2 è MalApp.D, un
malware mascherato da app VoIP rilevato da Lookout per la
prima volta. Questo esempio illustra come un approccio di
behavioral analysis puro spesso non tiene conto del contesto
per valutare accuratamente i comportamenti. Come un
allarme incendio troppo sensibile, la mancanza di precision
sta a significare che corrono il rischio di fallire di segnalare il
vero pericolo in mezzo al rumore che creano. Alcuni esperti
di sicurezza, per esempio, hanno supposto che, sebbene il
breach che ha interessato le carte di credito dei clienti di
Target abbia attivato gli alert di sicurezza dei loro sistemi,
l’importanza di questi non è stata riconosciuta tra le centinaia di
altri alert generati quotidianamente.5
Da ultimo, i modelli di rilevazione basati sull’analisi
comportamentale possono fornire soltanto uno snapshot
puntuale di un comportamento e ciò può creare dei buchi neri.
Attaccanti sofisticati possono evitare la rilevazione
sopprimendo temporaneamente il comportamento malevolo
o creando una minaccia a più stadi che bypassa l’analisi e
quindi scarica il payload. Lookout, per esempio, ha rilevato
BadNews, un malware che è riuscito a bypassare l’analisi di
sicurezza di una delle principali app che fingeva di essere un
ad e successivamente utilizzava la propria capacità di indurre
gli utenti a scaricare del malware ritenuto un
“aggiornamento””6
Altre minacce mobile hanno dimostrato la capacità di occultare il
comportamento malevolo per più di 30 giorni per evitare la
rilevazione comportamentale.7 I ricercatori scoprono
continuamente nuovi modi utilizzati da attaccanti intelligenti per
evitare la rilevazione comportamentale, ad esempio innescando
il loro attacco con un comportamento che un utente
eseguirebbe senza provocare la rilevazione da parte del
sistema (come scorrendo un documento) oppure giacendo
inattivi su un particolare sistema.
.
5 “Target says it declined to act on early alert of cyber breach.” Reuters. Mar. 13, 2014.
6 “The Bearer of Bad News.” Lookout. Apr. 19, 2013.
7 “Apps on Google Play Pose As Games and Infect Millions of Users with Adware.” Avast. Feb. 3, 2015..
BEHAVIOR Sends device contacts to server Sends device contacts to server
WHITE PAPER
6
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
Machine Intelligence
La rilevazione delle minacce è fondamentalmente un
esercizio predittivo. I sistemi di sicurezza rilevano le
minacce ricevendo informazioni in input e ritornando una
valutazione del rischio come output in base ad un modello
di analisi. I modelli di signature e behavioral analysis,
tuttavia, non sono all’altezza di questo tipo di sicurezza
predittiva. Le signature richiedono che una minaccia sia
incontrata prima di poterla predire (identificare) e le
predizioni basate sulla behavioral analysis mancano di
precisione e possono anche fallire la predizione di minacce
più avanzate che oscurano o reprimono il loro
comportamento. In breve, le organizzazioni devono
affrontare un compromesso di base quando adottano
questi modelli di sicurezza.
• I modelli basati sulle signature riducono i falsi positive a
spese dei falsi negativi
• I modelli comportamentali riducono i falsi negative a
spese dei falsi positivi
Questi compromessi derivano dall’uso, da parte di questi
modelli, di dataset limitati e dalla loro corrispondente
incapacità di valutare le relazioni di una potenziale minaccia
con il mondo del codice conosciuto al di là di signatures e
comportamenti. Indipendentemente dalla sofisticatezza degli
algoritmi utilizzati, questi modelli di sicurezza continueranno
a soffrire di questo compromesso a causa dei limiti dei loro
input.
Una sicurezza realmente predittiva richiede telemetria da una
popolazione globale di dispositivi e l’uso di macchine per
ordinare questo insieme di dati e identificare correlazioni di
rischio complesse che altrimenti sfuggirebbero all’analisi
umana e a un pattern basico di matching 1 a 1. La vera
promessa di questo approccio è data dal fatto che esso può
rilevare minacce dove non sono già esistenti delle signatures
e prima che la minaccia esibisca un comportamento malevolo.
Con questa promessa in mente, Lookour ha progettato e
creato Lookout Security Cloud.
II. Lookout Security Cloud
Introduzione
Lookout Security Cloud è una piattaforma in cloud che rileva
e blocca minacce mobili convenzionali e avanzata. La
piattaforma utilizza un modello di sicurezza basato sulla
machine-intelligence che permette la rilevazione delle
minacce anche nei casi in cui non ci siano signature
preesistenti e prima che esse esibiscano comportamenti
malevoli. Protegge gli endpoint mobile e le infrastrutture da
minacce basate su app e dispositivi, abilita alla indagine
approfondita delle minacce e, da ultimo, alimenta un ampio
range di prodotto Lookout.
The Lookout Product Family Architecture:
In sostanza, la piattaforma di Lookout incorpora signatures e
behavioral analysis nella sua struttura di sicurezza per
ottenere funzionalità di difesa in profondità, ma va al di là di
queste tecniche di rilevazione tradizionali grazie all’utilizzo di
telemetria di sicurezza e machine intelligence per correlare
automaticamente i segnali provenienti da ciascun dispositivo
e app che incontra attraverso numerose dimensioni per
tracciare le minacce esistenti e predire nuove minacce.
WHITE PAPER
7
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
III. Architettura dell’Analisi delle App
Il grafico qui sotto mostra l’architettura delle funzionalità di rilevazione delle minacce basate sulle app della piattaforma di Lookout.
Questa architettura segue un processo in quattro fasi: (1) acquisizione dei dati (2) arricchimento dei dati (3) analisi dei dati (4)
protezione.
WHITE PAPER
8
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
1. Acquisizione
La piattaforma raccoglie in tempo reale informazioni
telemetriche di sicurezza sulle applicazioni mobili da una
varietà di fonti:
Rete di Sensori Mobili: Più di 150 milioni di dispositivi mobili
registrati nel mondo hanno fornito Lookout di una visione
completa e in tempo reale delle minacce mobili, che interessino
un dispositivo o milioni. Il processo di acquisizione binaria delle
app da parte di Lookout distribuisce il carico su molteplici
dispositivi per limitare l’impatto sulla batteria e sui dati, ri-
assemblando le parti di app nel cloud e preservando la privacy
dell’utente finale in quanto raccoglie soltanto i dati binari e non
dati personali dell’utente (ad es. foto, messaggi) generati
utilizzando queste applicazioni.
Crawling Lookout monitora continuamente gli app store di
tutto il mondo, compresi quelli di paesi come la Cina, la
Russia e l’India. La tecnologia di crawling di Lookout gli
consente di acquisire app anche da fonti web ad hoc.
APIs Servendo da esclusivo strato di sicurezza per alcuni dei
più grandi app store del mondo, Lookout Security Cloud ha
accesso privilegiato al malware inviato a questi store, che non
vedrà mai la luce del sole.
Per proteggere la privacy dell’utente nella sua rete di sensori,
Lookout non raccoglie mai dati personali generate dagli utenti sui
loro dispositivi, come immagini o testi, e non utilizza neppure le
informazioni di sicurezza raccolte per identificare gli utenti privati
a meno che un utente non richieda specificamente di essere
contattato per un problema di sicurezza.
7 Lookout’s platform is aware of the presence of 67,500,000 unique app binaries in the world, counted by cryptographic hash. This include both system apps (apps that are part of the operating system) as well as user-downloaded apps, and counts each version of an app as a unique app instance.
A COLPO D’OCCHIO
Sensori Mobili Registrati 150+ milioni
Partner API Molti, compresi alcuni dei più grandi app store del mondo
App binaries rilevatiI 67.500.000+
App binaries acquisite 30.000.000+
Codici binari delle app rilevati su un unico dispositivo in tutto il mondo
875.000+
App acquisite quotidianamente
90.000+
WHITE PAPER
9
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
2. Arricchimento
Ciascuna app acquisita dalla piattaforma di Lookout è
sottoposta ad un processo di arricchimento unico che
descrive il modo in cui lavora e la mette accuratamente in
relazione con il mondo delle applicazioni conosciute.
Metadata Lookout appends data that includes app name,
digital signature, app store description, and developer name.
Analisi Comportamentale La piattaforma genera dati sul
comportamento delle app, generate tramite tecnologie
dinamiche e di esecuzione simbolica the eseguono l’app in
un ambiente simulato e analizzano le capacità del codice.
Analisi delle Similarità Binarie La piattaforma stima
automaticamente le ambigue similarità di codice che una app
condivide con tutto il codice noto nel dataset di mobile intelligence
di Lookout, rivelando dove il codice di quell’app (o i suoi genitori)
compaiono nel mondo con l’analisi di simitarità approssimate tra
singole classi di codice e con il calcolo di un punteggio di similarità
aggregato.
Reputation Lookout inserisce i dati relative all’autore,
all’origine, alla distribuzione geo-storica di un’app, come la
durata e la popolarità.
ESEMPI DI METADATI
• Package name: com.android.service
• Signer: bb626d3b8406e7fc330d0f4b304cbfc5f610721f
• Signer metadata: CN=Dragon, L=SZ, ST=GZ, C=CN
• Packaged date: 2012-09-20 18:36:44 UTC
• Signed date: 2012-09-20 18:36:42 UTC
ESEMPI DI REPUTATION
• 95% delle APK conosciute che utilizzano questo firmatario sono malware.
ESEMPI DI COMPORTAMENTI
RISULTATI DELL’ANALISI COMPORTAMENTALE:
• write_file (Osiris[0.1.217])
• read_contacts (Static Behavior Extraction[3.1.469])
• write_contacts (Static Behavior Extraction[3.1.469])
• read_sms (Static Behavior Extraction[3.1.469])
• read_imsi (Static Behavior Extraction[3.1.469])
ESEMPI DI SIMILARITA’ BINARIA
• INDEX CLASS:
• • Lorg/linphone/MapAPP$1$1;
• • Lorg/linphone/MapAPP;
• • Lorg/linphone/util/Constant;
• • Index match:
• SCORE:
• • 0.9433
• • 0.9846
• • 1.0000
• • 0.9923
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
WHITE PAPER
10
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
Lookout ha brevettato la propria tecnologia di analisi delle
similarità binarie, che costituisce una differenza chiave su cui
si fonda il modello di sicurezza guidato dalla machine-
intelligence. Mentre gli attaccanti possono evitare le signature
modificando una singola linea di codice, la tecnologia di
Lookout (conosciuta come App Genome Sequencing) non
dipende su precisi match 1 a 1 e può stimare match
approssimativi sia a livello granulare (classi o blocchi di codice)
che olistico (app). Questo incrementa grandemente il costo di
un attacco perché richiede agli attaccanti di modificare l’intero
codice per evitare la rilevazione.
Persino alcune delle tecniche di arricchimento meno potenti
possono giocare un ruolo essenziale nell’identificare e
tracciare codice malevolo aggiungendo informazioni rilevanti
per alimentare il motore di sicurezza di Lookout e metterlo in
grado di trovare correlazioni multidimensionali molto
complesse.
3. Analisi
Il motore di Lookout introita i dati generate dai processi di
acquisizione ed arricchimento della piattaforma e quindi
confronta automaticamente questi dati puntuali con
centinaia di milioni di dati presenti nel dataset di mobile
intelligence.
La correlazione multidimensionale delle minacce rende la
piattaforma notevolmente più difficile da evitare perché
richiede che gli attaccanti re-implementino la loro intera
piattaforma e l’infrastruttura di comando e controllo, invece di
modificare semplicemente le poche componenti che
corrispondono alla signature o oscurare l’attività malevola che
potrebbe far scattare un alert. Nel caso in cui Lookout
Security Cloud non trovasse alcuna correlazione, la
piattaforma si affida ad un modello di risk-scoring che riceve
input dai processi di arricchimento ed analisi per predire
minacce zero-day.
Le straordinarie ampiezza e complessità delle correlazioni
multidimensionali generate dal motore guidato dalla machine
intelligence di Lookout superano grandemente le possibilità di
analisti umani e i modelli di analisi comportamentale.
Consideriamo i diagrammi alle pagine seguenti che visualizzano
queste correlazioni per due distinte famiglie di malware,
Mouabad e NotInstalledYo.
WHITE PAPER
11
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
Analisi delle Correlazioni Multidimensionali della famiglia di malware Mouabad:
Questo diagramma mostra esempi del malware
mobile Mouabad, correlate per firmatario
condiviso, comunicazioni IP e similarità binarie
calcolate dalla tecnologia App Genome
Sequncing della piattaforma. Mouabad è una
famiglia di trojan che permette a terze parti di
acquisire il controllo di un dispositivo
compromesso, permettendo ad attaccanti remoti
di inviare SMS ad alta frequenza e effettuare
attività telefoniche da remoto.
WHITE PAPER
12
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
Analisi delle Correlazioni Multidimensionali della famiglia di malware NotInstalledYo:
Questo diagramma mostra un esempio della famiglia di malware NotInstalledYo, correlati
per firmatari condivisi e similarità binarie calcolate dalla tecnologia App Genome
Sequencing della piattaforma. Il nodo al centro di questa galassia rappresenta un
firmatario ampiamente condiviso che usa una chiave di firma compromessa.
NotInstalledYo è una famiglia di spyware che intercetta messaggi SMS su dispositivi -
vittima e li inoltra agli attaccanti.
Ingrandimento dell’area segnata in rosso:
Campioni che condividono un alto grado di similarità binaria sono raggruppati per colore e I nodi
a cui più nodi colorati si connettono rappresentano un firmatario condiviso da questi campioni.
WHITE PAPER
13
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
4. Protezione
L’output della piattaforma di Lookout è una decisione di
sicurezza dinamica che identifica sia le minacce conosciute
in evoluzione che attacchi unici targhettizzati. Quando la
piattaforma rileva nuove minacce inizia immediatamente un
processo di indagine. Allertando il team di Research &
Response di Lookout perché indaghi ulteriormente sulle
attività e le motivazioni degli attaccanti, esegua azioni dii
remediation come richieste di server takedown, e si assicuri
che i principali partner, i clienti e le organizzazioni
eseguano azioni di remediation se necessarie.
IV. Architettura dell’Analisi dei Dispositivi
Architettura dell’Analisi dei Dispositivi in Lookout Security Cloud
Per proteggere la sottostante sicurezza dei dispositivi mobili
dalle minacce tipo rooting malevolo e jailbreaking, Lookout
Security Cloud raccoglie un insieme di informazioni
telemetriche di sicurezza per formare un fingerprint digitale di
ciascun dispositivo.
Queste informazioni comprendono:
1. Dati su SO/Firmware data – metadata dei file di sistema,
come il nome file e l’hash:
2. Dati di Configurazione – proprietà di sistema della configurazione SO
3. Dati sul dispositivo – informazioni identificative sul dispositivo per scopi di remediation.
Dopo aver raccolto questi dati la piattaforma li ri-assembla
nel cloud per formare una fingerprint del dispositivo.
Correla quindi i vari dati puntuali di questa fingerprint
confrontandoli con il dataset di mobile intelligence di
Lookout per individuare quando un dispositivo è vulnerabile
o è stato compromesso, e può anche predire il rischio di
quel dispositivo in base ad anomalie o correlazioni a
segnali noti di compromissione. Quando la piattaforma
rileva un dispositivo compromesso esegue azioni di
remediation tramite un client integrato di Mobile Device
Management (MDM).
Attualmente, la maggior parte dei modelli di rilevazione della
compromissione di un dispositivo si basano su una manciata
di test puntuali codificati sul cliente mobile. Gli attaccanti
hanno identificato e analizzato questi test, e implementato
contromisure atte ad evitarli facilmente. Il modello di
rilevazione di Lookout, tuttavia, differisce in modo
significativo da questi approcci nel fatto che esso raccoglie
una fingerprint olistica del profilo del dispositivo e la invia al
cloud per analizzarla lato server. Il modello di sicurezza di
Lookout offre due vantaggi chiave: invece di effettuare una
reverse engineering di test puntuali lato client, gli attaccanti
devono imitare l’intero stato del dispositivo e i suoi segnali
corrispondenti, il che significa accrescere significativamente il
costo di un attacco. Inoltre, l’analisi lato server impedisce agli
attaccanti di effettuare la reverse engineering della
metodologia di rilevazione di Lookout.
WHITE PAPER
14
34134 Trieste, via di Romagna 9/1 | +39 040 662453 | [email protected] | www.digitree.it
V. Machine Intelligence in Azione
I seguenti casi di studio dimostrano come Lookout Security
Cloud ha mantenuto la promessa di una sicurezza guidata
dalla machine intelligence e può rilevare minacce per le
quali non esistono signature, rilevando una minaccia
persino prima che esibisca un comportamento malevolo.
Case Study 1: BadNews
Consideriamo il caso di BadNews, una rete malevola di ad
mobili. Lookout ha trovato BadNews annidato in 32 differenti
app su Google Play che hanno avuto milioni di download.
BadNews permette l’installazione di APK aggiuntivi e
potrebbe aprire URL nel browser, sebbene non abbia esibito
nessuno di questi due comportamenti al momento della sua
scoperta. Lookout Security Cloud, tuttavia, ha rilevato che
BadNews conteneva codice condiviso in maniera
statisticamente significativa con un noto malware russo e, ed
ha protetto in modo proattivo i dispositivi abilitati Lookout.
Dopo la protezione, Lookout ha continuato a monitorare
BadNews in the wild e in seguito ha osservato che distribuiva
nuovi trojan zero-day tramite funzionalità di installazione APK.
In particolare, BadNews si dedicava a questa attività malevola
soltanto per 5 minuti al giorno, mascherando in modo efficace
la propri attività dall’ambiente sicuro della sandbox dove
l’analisi comportamentale isolata e point in time non poteva
rilevare l’attività. Per saperne di più su BadNews, vai al blog di
Lookout.
Case Study 2: MalApp.D
La potenza di un modello predittivo risulta evidente nella
rilevazione da parte di Lookouti di MalApp.D, una minaccia
mobile che non matchava con nessuna precedente signature
né esibiva alcun comportamento malevolo, ma nondimeno
metteva a rischio i dati di contatto aziendali e le
comunicazioni vocali.
MalApp.D era annidata in una app VoIP apparentemente
benigna che si trovava in Google Play Store al tempo della
sua rilevazione da parte di Lookout. Con una manciata di
recensioni positive ed un punteggio di 4.2 stelle, l’app
appariva legittima. Tramite la correlazione
multidimensionale, tuttavia, la piattaforma di Lookout ha
rivelato che questa app VoIP era stata probabilmente
sviluppata da un noto autore di malware mobile e perciò
metteva l’azienda in una posizione di rischio inaccettabile
dato il suo accesso ai contatti sul dispositivo e la potenziale
capacità di registrare le chiamate vocali. Per leggere di più
su MalApp.D, visita il sito web di Lookout.
VI. Conclusioni
Lookout Security Cloud analizza le potenziali minacce mobile
non nel contesto di un singolo server, di un singolo dispositivo
o di una singola applicazione, ma nel contesto di codice e
dispositivi mobili globali.
Il continuo fallimento di signatures ed analisi
comportamentale nell’individuare regolarmente le minacce
senza un oceano di falsi positive o falsi negative rivela
l’importanza critica di avere dataset ampi e contestuali. La
piattaforma di Lookout eccelle nel trovare il segnale in mezzo
al rumore perché ha una visione del codice – sia app che
firmware - mai avuta prima d’ora dal momento che viene
eseguita su milioni di dispositivi in tutto il mondo. Questo
enorme dataset produce centinaia di milioni di datapoint che
la piattaforma può utilizzare per correlare e predire minacce e
rischi per la sicurezza.
I modelli di sicurezza predittiva richiedono la machine
intelligence per individuare correlazioni estremamente
complesse e segnali di rischio che gli uomini non sono in
grado di identificare. Oggigiorno, la maggior parte dei sistemi
di rilevazione eccellono soltanto nell’individuare il rapinatore
dopo che ha già sfondato la cassaforte. Dovremmo invece
sfruttare l’immenso patrimonio di dati disponibili per predire le
prossime rapine basandoci sulle loro correlazioni rispetto a
dimensioni multriple a noti rapinatori.