A causa del crescente rischio informatico per aziende, organizzazioni pubbliche e no-profit, la cybersecurity si sta rivelando una delle discipline più richieste sul mercato. Basti pensare che il numero di posizioni aperte in questo settore è aumentato del 350% dal 2013 al 2021. E il mondo accademico è sempre più focalizzato sulla cybersecurity, anche per contribuire a completare il grande mosaico della cyber sicurezza nazionale, una tessera alla volta.
La cybersecurity “snobbata” dal PNRR: Italia in ritardo e impreparata alle nuove sfide
Se è vero che il web si presenta come un dominio aperto a disposizione di tutti gli utenti e, di conseguenza, anche di eventuali attori malevoli, è altrettanto vero che per attuare una difesa contro le attività di questi ultimi sono stati sviluppati centinaia di tool il cui compito è proprio quello di setacciare il web a caccia di possibili vulnerabilità.
Centinaia di aziende, centri studi e pool universitari sia italiani che internazionali sono quotidianamente impegnati nella ricerca e nello studio dei malware. Questa attività rientra sotto il nome di Cyber Threat Intelligence e Threat Hunting, ed è finalizzata alla ricerca e all’acquisizione di dati, all’elaborazione degli stessi e, infine, alla produzione di report. L’obiettivo degli analisti è quindi quello di identificare le minacce in maniera preventiva.
Cybersecurity, collaborazione fra la Federico II e Group-IB
L’Università degli Studi di Napoli – Federico II, in collaborazione con Group-IB, tra i fornitori di soluzioni per il rilevamento e la prevenzione di attacchi online, identificazione di frodi informatiche e indagini su crimini di alta tecnologia, ha recentemente inaugurato il Threat Hunting & Investigation Competence Centre.
Questo centro è un vero e proprio laboratorio per studenti e docenti che potranno avvalersi di tecnologie pionieristiche in tema di sicurezza informatica, così come studiare i vari tipi di minacce e i gruppi criminali informatici noti.
La Federico II e Group-IB svilupperanno la propria cooperazione attorno a tre aree principali:
- il trasferimento di conoscenze;
- i progetti industriali;
- i tirocini per gli studenti.
Il Centro Infosapienza di Roma e la cybersecurity
Impegnata nello studio e nella diffusione di conoscenze cyber, anche l’Università degli Studi di Roma La Sapienza sperimenta ogni giorno tecniche innovative ed avanzate al fine di proteggere nei migliori dei modi i propri sistemi informatici, cercando di anticipare e prevenire attacchi di ultima generazione.
Per tale ragione, il Centro Infosapienza ha sviluppato delle blacklist in cui sono raccolti centinaia di IP malevoli, costantemente aggiornate e derivanti da osservazioni, analisi e studi continui delle anomalie di traffico proveniente da Internet, andando a integrare i sistemi esistenti di Threat Intelligence.
La particolarità di quanto contenuto nelle liste nere de La Sapienza è data dal fatto che al suo interno vi siano la maggioranza di IP non rilevati da altre organizzazioni e pertanto le blacklist si pongono quale utile e valida integrazione alle liste pubblicate in TLP:WHITE, come FireHOL o Talos.
L’accordo fra Polizia di Stato e l’ateneo di Cagliari
Analogamente, la prevenzione e il contrasto ai crimini informatici delle infrastrutture critiche sono al centro anche dell’accordo siglato tra la Polizia di Stato e l’Università degli Studi di Cagliari.
L’accordo nasce dalla necessità di assicurare una maggiore sicurezza al territorio nazionale e al suo sistema economico-sociale, ormai fortemente dipendenti da sistemi informatizzati, attraverso una più stretta cooperazione tra Enti pubblici, così come previsto dal Quadro Strategico Nazionale e dal Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica.
La collaborazione posta in essere avrà come oggetto la condivisione e l’analisi di tutte quelle informazioni adatte a prevenire attacchi o danneggiamenti tali da pregiudicare la sicurezza delle infrastrutture informatiche dell’Università degli Studi di Cagliari, fino ad arrivare alla segnalazione di emergenze relative a vulnerabilità, minacce e incidenti -che danneggino la regolarità dei servizi di comunicazione – e all’identificazione dell’origine degli attacchi subiti dalle infrastrutture tecnologiche universitarie.
Il panorama internazionale della cybersecurity
Ciò che avviene presso gli atenei italiani è riscontrabile da quasi un decennio anche in quelli statunitensi. L’Università del Michigan, ad esempio, attraverso la sua start-up Rapid7 ha lanciato Project Sonar che, dal 2013, conduce approfondite scansioni web, concentrandosi in particolar modo su SSNL, DNS e HTTP; ma anche Zmap Tool, ovvero uno scanner open source a carattere modulare studiato per analizzare il web e raccogliere in circa 45 minuti tutti gli indirizzi IPv4, senza bisogno di ricorrere ad hardware specifici o moduli del kernel.
Cybersecurity e realtà aziendali
Le università non sono state le uniche strutture a investire in strumenti atti a identificare le possibili minacce presenti nella rete. Lo scorso ottobre, infatti, la società Deepfence ha annunciato l’utilizzo di ThreatMapper, una piattaforma open-source dedicata all’esplorazione di ambienti runtime per software della supply chain mediante l’impiego di un sofisticato sistema di mappatura e classificazione delle vulnerabilità attraverso un’attenta circoscrizione delle minacce. Lo scopo di tale attività è quello di prevenire e contrastare eventuali impatti critici che potrebbero riguardare le realtà aziendali.
Lo scanning continuo del web permette di condurre Vulnerability Assessment più mirate e puntuali, con lo scopo di definire, identificare, classificare e rispondere alle minacce informatiche.
Oltre a ciò, la ricerca a tappeto permette di individuare possibili minacce non ancora concretizzate in vero e proprio attacco evitando che questo abbiamo luogo.
Tuttavia, l’attività di ricerca di vulnerabilità che viene effettuata tanto dai centri di ricerca quanto dalle aziende, è che lo stesso tipo di azione che viene svolta dai criminali informatici.
La differenza sostanziale risiede ovviamente nello scopo con cui il lavoro di screening viene effettuato.
Mentre le aziende perseguono l’obiettivo di rendere sicura e impenetrabile la propria rete scovando vulnerabilità per porvi rimedio, i cybercriminali cercano di sfruttare quelle stesse falle.
In maniera più o meno indipendente tali attività sono svolte anche dai centri di ricerca e dalle
università che stanno concentrando i propri sforzi nello sviluppo di tecnologie in grado di effettuare screening su larga scala.
Conclusioni
La nuova attenzione che viene posta sulle attività di Cyber Threat Intelligence denota una presa di consapevolezza da parte del mondo accademico-istituzionale, così come di quello aziendale, riguardo l’importanza di prevenire le potenziali minacce nel dominio cyber piuttosto che affrontarne le conseguenze.
Tra i tool più recenti e di particolare interesse si segnala infatti PunkSpider, un software presentato durante l’ultima edizione della DEF CON Hacking Conference capace di rintracciare centinaia di migliaia di siti online che potrebbero prestare il fianco ad attacchi cyber, grazie alle proprie vulnerabilità.
Una volta raccolti i siti oggetto d’interesse, PunkSpider tenterebbe ripetutamente di forzarli avvalendosi di vari hack e bug. L’intento è quello di stressare le configurazioni di sicurezza e spingerle sino al punto di rottura, cioè rivelandone il punto debole al fine di poterne prendere coscienza.
