L’industria cibernetica israeliana è riuscita ad arrivare a coprire un ruolo di primo piano all’interno del panorama internazionale, grazie a una combinazione di fattori degni di attenzione.
L’ha messo in risalto con chiarezza il primo ministro Benjamin Netanyahu durante la conferenza del 29 gennaio 2019 in apertura della seconda giornata del CyberTech di Tel Aviv[3], a cui abbiamo partecipato.
A questa storia di successo dovremmo guardare anche in Italia: i fattori fondanti sono riassumibili in una forte sinergia tra esercito e università (e mondo startup collegato). Collaborazione che è essenziale per rilanciare la cyber security italiana, come ribadito nei giorni scorsi anche da Roberto Baldoni del Dis a Itasec19.
Già l’avviamento del cyber working group bilaterale tra Stati Uniti e Israele (annunciato durante il discorso di Thomas P. Bossert presso il Cyber Week di Tel Aviv 2017[1]) può servire a dimostrare in modo ufficiale la già nota centralità di Israele nel contesto della cyber warfare internazionale.
L’ex Homeland Security Advisor di Donald Trump in conclusione del suo speech[2] menziona una qualità peculiare dell’industria tecnologica israeliana cara anche al primo ministro Benjamin Netanyahu: l’agilità in termini di ricerca e sviluppo di soluzioni dedicate alla cyber defence.
Sinergia fra organi militari, politici e civili
L’aspetto più interessante che concerne la rapida crescita delle aziende israeliane nel campo della cyber security riguarda in particolare la conformazione del tessuto socio-economico del paese.
La riguardevole proliferazione di piccole e medie imprese, start-up e freelancer che propongono servizi e soluzioni in materia di cyber security e intelligence è da imputare infatti all’originale sinergia esistente tra gli organi militari, politici e civili del paese.
Tale particolarità è intuitivamente connessa al noto status geopolitico israeliano e alle prassi militari istituzionali[4]. Un esempio del meccanismo sinergico in questione, menzionato anche da Netanyahu durante il suo discorso del 29 gennaio, riguarda alcune implicazioni conseguenti lo stretto rapporto tra esercito e università.
Nello specifico si parla dell’alto livello di formazione fornito da università specializzate sul tema della ricerca e sviluppo in materia cibernetica (come quella di Be’er Sheva[5][6][7]) dotate dell’esperienza derivante dal contesto dello sviluppo tecnologico militare. Come sottolineato dal primo ministro l’incontro tra il sapere militare e l’alto livello qualitativo degli ambienti universitari in tema di cyber security è parallelo allo sviluppo economico il cui primo attore sono le imprese che, da start-up, intraprendono la scalata verso il raggiungimento della stabilità economica.
Il ciclo di vita delle numerose aziende che si occupano di cyber defence e warfare in Israele segue per lo più un percorso definito da tappe prestabilite che hanno come punto di inizio e di arrivo la collaborazione con gli organi della difesa. Infatti è per lo più dal periodo di leva obbligatoria che i futuri manager ricevono l’infarinatura necessaria ai percorsi di specializzazione in materia cyber. Tale avviamento ha come approdo naturale la preparazione universitaria e, successivamente, la formazione di società private che nascono con l’obiettivo di realizzare progetti di ricerca autonomi non di rado supportati da incentivi.
Il destino delle tecnologie sviluppate dalle aziende, infine, è spesso quello di servire ancora una volta gli organi militari fornendo una gamma di soluzioni costantemente aggiornate e in continuo mutamento. Per citare ancora una volta Benjamin Netanyahu: “Cyber is a great business. It’s growing geometrically because there is never a permanent solution, it’s a never-ending business”[8]. Di qui l’esigenza di una costante innovazione che, da un lato, funge da stimolo economico per i privati e, dall’altro, è alla base dell’interesse politico-militare che sostiene il meccanismo di crescita appena descritto.
Nuove tecnologie, nessuna divulgazione
La conseguenza della costante produzione e innovazione tecnologica originata da questo sistema consiste nel generare gruppi di lavoro internazionali come quello citato in apertura. Proprio per questi aspetti l’industria cibernetica israeliana si trova a coprire un ruolo di primo piano all’interno del panorama internazionale.
Nell’approcciare la stesura di un quadro d’insieme descrittivo in merito alle principali soluzioni tecnologiche in ambito di sicurezza informatica sviluppate dalle aziende israeliane, è opportuno sottolineare che parte delle attività condotte dai privati non è soggetta a divulgazione. La ragione principale di tale fenomeno non riguarda solamente la ovvia riservatezza di alcuni aspetti legati al segreto industriale, ma anche la frequente confidenzialità che accompagna lo sviluppo delle tecnologie utilizzate o rivendute a scopo militare. Tuttavia ancora una volta questo aspetto sottolinea come buona parte delle tecnologie fornite dalle aziende siano apertamente sviluppate al duplice scopo di essere oggetto di regolare fornitura di servizi per privati, ma anche adattabili all’utilizzo militare.
Questa tendenza è riscontrata principalmente nel settore della web intelligence e web monitoring. Tale tipologia di servizi si struttura principalmente in due macro aree che coprono due esigenze sensibilmente differenti. La prima riguarda attività di intelligence legate al monitoraggio web finalizzato alla raccolta e analisi di una vasta gamma di tipologie di evidenze come ad esempio: data leakage, fattori di allerta, reputazione web, soggetti di interesse, divulgazione illecita di materiale confidenziale, Sofisticated Adversary Simulation. La seconda concerne invece in modo specifico le attività di cyber intelligence e cyber threat hunting.
In entrambi i casi le attività di raccolta e analisi contestuali alle tecnologie di web intelligence sono generalmente pensate per essere adattabili e customizzabili su differenti tipologie di clientela. Le soluzioni quindi sono spesso distribuite in modalità SaaS (Software as a Service) e presentano un’interfaccia facilmente integrabile.
Anche i canali di raccolta differiscono a seconda delle esigenze del cliente, anche se, la maggior parte delle soluzioni prevede di base tecnologie di monitoraggio in grado di coprire un ventaglio di fonti che sia più completo possibile e comprensivo di surface, deep e dark web.
Fra dark web e social media
Per quanto riguarda in particolare le attività di intelligence legate al deep e dark web e ai Social Media si assiste all’utilizzo diffuso di soluzioni di avatar management. Il ricorso alla creazione di vivai di avatar e profili fantasma ha due funzioni principali. La prima consiste nel fornire l’accesso a tutti quei canali che richiedono un log-in, un invito o un’autenticazione (come ad esempio quasi tutti i social network e i forum privati) al fine di monitorarne le attività e incrementare il data set informativo che alimenta gli applicativi e le piattaforme. La seconda consiste nella creazione di avatar dettagliati destinati ad essere utilizzati direttamente e autonomamente dal cliente finale.
I dati che alimentano le piattaforme sono quasi sempre raccolti e catalogati attraverso l’utilizzo di crawler e algoritmi di classificazione e strutturazione proprietari. Generalmente i servizi sono integrabili con pacchetti aggiuntivi che riguardano differenti servizi di analisi o l’aggiunta di API. Le metodologie di categorizzazione del materiale ricercato sono altamente efficienti e i dati vengono strutturati in interfacce grafiche che prevedono quasi sempre diversi livelli di dettaglio: a partire dalle dashboard che offrono un quadro generale, per terminare nei pannelli di approfondimento per lo studio specifico di fenomeni mirati. Tuttavia una lacuna che spesso caratterizza le tecnologie di web intelligence è riscontrabile nella mancanza di soluzioni metodologiche e tecnologiche finalizzate alla disambiguazione dei dati testuali.
Ad esempio nelle attività di monitoraggio di target specifici all’interno di grandi data set testuali si riscontra spesso la carenza di soluzioni di Natural Language Processing dedicate all’individuazione puntuale di entità fisiche e giuridiche ambigue a livello di significante. Tale carenza è però giustificata dal fatto che la destinazione di questi applicativi non è finalizzata alla strutturazione di un’interfaccia di reperimento dati pensata a emulazione di un motore di ricerca, quanto più alla ricerca di target già predefiniti e perimetrati al momento della raccolta dei dati.
Alla caccia di minacce informatiche
Per quanto riguarda invece le soluzioni di web intelligence orientate alla cyber threat hunting esistono diverse tipologie di servizi che si possono distinguere in due principali categorie. La prima comprende tutti gli applicativi dedicati alla prevenzione delle minacce. Attraverso i metodi sopra descritti e il monitoraggio di canali surface, deep e dark web si accede a un quadro di dettaglio sempre aggiornato sulle minacce legate alla cyber security. Questo servizio è dedicato agli aspetti di risk governance aziendali e si configura come un utile supporto ai processi di cyber security incident mnagement nelle fasi di prevention, threat intelligence e training.
La seconda categoria riguarda invece il monitoraggio specifico di elementi di dettaglio inerenti aspetti più tecnici come l’analisi del codice sorgente. Anche in questo caso la raccolta di dati avviene attraverso i canali precedentemente menzionati, ma il materiale di interesse è costituito da elementi come: classificazione delle vulnerabilità, analisi di codice sorgente malevolo e librerie di software malevoli. Una soluzione particolarmente interessante si basa, ad esempio, su una libreria composta da frammenti di codice sorgente estratti a seguito dell’analisi di software malevoli noti, individuati anche a seguito di una raccolta dati all’interno dei dark market. Lo scopo di tale libreria è quello di identificare una sorta di genoma di tali software permettendo il riconoscimento di pattern conosciuti all’interno di script sconosciuti o inediti. Tale tipologia di analisi del codice sorgente oltre a associare livelli di rischio a ogni singolo software analizzato è in grado di determinare se all’interno di uno script inedito siano presenti stringhe già individuate in codici già noti. Infine, ogni qual volta siano presenti informazioni sulla provenienza del codice analizzato, la piattaforma associa automaticamente a ogni stinga di codice la localizzazione geografica più probabile.
La soluzione appena descritta si presenta in realtà come un ibrido tra le soluzioni di web intelligence e gli applicativi dedicati nello specifico alla sicurezza informatica. In questo ambito esistono innumerevoli tipologie di servizi che riguardano ambiti come: network security (sistemi di detection e remediation), malware analysis, tecnologie di supporto alla gestione degli incidenti, sand-box, piattaforme per attività di formazione, piattaforme per la gestione dei PenTest. I tool di questo genere propongono generalmente differenti approcci a problemi comuni e pertanto risulta più difficile tracciarne le peculiarità.
Per quanto riguarda soprattutto i tool di malware analysis e sand-box, le differenze sostanziali si riscontrano per lo più nei differenti approcci tecnici allo sviluppo degli applicativi, mentre a livello di interfaccia e di servizio non si riscontrano particolari peculiarità.
Il settore più vario in questo contesto risulta invece essere quello della network security e della cyber risk governance. In questo caso le soluzioni più interessanti tendono a proporre approcci specializzati orientati al supporto di una fase specifica dei processi di cyber incident management. Applicativi di particolare interesse sono ad esempio costituiti da interfacce integrabili con sistemi di monitoraggio preesistenti (IDS, IPS, SIEM) e forniscono assistenza durante le fasi di detection, analysis e remediation. Servizi di questo genere si configurano come un eccellente supporto agli analisti durante la gestione degli attacchi o degli incidenti. Offrendo un quadro di analisi completo, dettagliato e in tempo reale su un evento malevolo in corso, tali applicativi consentono di ottimizzare il fattore tempo favorendo le attività di gestione della crisi.
Le soluzioni per la data protection
Infine un ultimo settore degno di nota riguarda lo sviluppo di soluzioni finalizzate alle attività di data protection, privacy e GDPR assessment. L’attenzione sempre più diffusa in merito alla tematica della protezione dei dati personali e confidenziali nel corso degli ultimi anni si spiega nel contesto di differenti fattori quali: i data breach massivi subiti da grandi società (ad esempio Uber), la violazione di norme privacy da parte di colossi come Facebook e Google con il conseguente inasprimento del regime sanzionatorio e l’introduzione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Tali e altri fenomeni hanno contribuito alla proliferazione di strumenti e piattaforme dedicate all’automatizzazione di alcuni aspetti procedurali delle attività di assessment privacy finalizzati al raggiungimento del livello di compliance richiesto dalle rispettive normative di riferimento. Il cliente target di questa tipologia di servizi è pertanto costituito quasi esclusivamente da enti privati e, più raramente, da pubbliche amministrazioni.
Le soluzioni proposte sono per lo più finalizzate a due principali aspetti. Il primo concerne l’analisi dei dati personali presenti all’interno dei data-base aziendali e alla mappatura e categorizzazione degli stessi. Il secondo riguarda lo sviluppo di soluzioni e attività di consulenza destinate alla formazione e sensibilizzazione del personale. Tra le piattaforme più interessanti per l’individuazione e l’analisi dei dati personali all’interno dei data set societari, si riscontra una tipologia di soluzione particolarmente innovativa. A dispetto della tendenza generale degli approcci alla catalogazione dei dati che generalmente si basano sulla strutturazione dei dati all’interno di data base organizzati manualmente, esiste un approccio differente che consente l’individuazione dei dati personali a partire da una base di dati non strutturata. Nello specifico tale soluzione si dota di un algoritmo non supervisionato di analisi semantica che è in grado di identificare all’interno di grandi quantità di dati testuali i dati personali di interesse a partire dal significato contestuale delle parole. La piattaforma è dunque in grado di analizzare intere documentazioni basandosi esclusivamente sulla formato plain-text dei file di interesse attraverso un modello proprietario di Natural Language Processing. L’obiettivo di questa soluzione consiste nel facilitare l’individuazione dei dati personali all’interno di data set non ordinati di grandi e piccole dimensioni.
Il panorama delle aziende preso in considerazione rappresenta solo una piccola parte dell’universo di soluzioni che scaturisce dall’industria tecnologica israeliana. Una prova del continuo divenire di questo settore è individuabile proprio nelle innumerevoli iniziative nazionali e internazionali organizzate da enti pubblici e privati sulle tematiche prese in esame.
In conclusione, risulta opportuno specificare che lo specchietto, qui proposto senza nessuna pretesa di esaustività, scalfisce la superficie di un ambito in continua evoluzione che estende le sue propaggini a settori di rilevanza sociale, politica e militare. In questo universo l’industria tecnologica israeliana ha gettato radici profonde e rappresenta un traguardo a cui tendere e un modello di ispirazione per una pianificazione ad ampio respiro delle attività di ricerca e sviluppo.
- https://www.whitehouse.gov/briefings-statements/remarks-homeland-security-advisor-thomas-p-bossert-cyber-week-2017/ ↑
- Ibidem ↑
- https://www.youtube.com/watch?v=e1uiwJ3m9KM ↑
- https://www.forbes.com/sites/gilpress/2017/07/18/6-reasons-israel-became-a-cybersecurity-powerhouse-leading-the-82-billion-industry/#71dedd66420a ↑
- http://cyberspark.org.il/ ↑
- https://www.ilfoglio.it/stand-up-start-up/2016/08/04/news/il-miracolo-di-beer-sheva-da-periferica-citta-in-mezzo-al-deserto-a-capitale-del-cyber-102453/ ↑
- http://in.bgu.ac.il/en/Pages/default.aspx ↑
- https://www.youtube.com/watch?v=rXVHIfwNK8Y ↑