Embed Size (px)
Citation preview
WHITE PAPER
Le 5 fasi dell'assegnazione
personalizzata dei punteggi
di rischio Perché serve un motore di analisi dei rischi per la reputazione del client, che calcola un punteggio di rischio per ogni indirizzo IP
Le 5 fasi dell'assegnazione personalizzata dei punteggi di rischio 2
Panoramica Client Reputation è un modulo opzionale per Kona Site Defender, che calcola e assegna punteggi di rischio specifici del cliente ai client web dannosi, identificati dal loro indirizzo IP, in base alla relativa propensione a sferrare un attacco. Tra i tipi di attacco, figurano:
• Attacchi a livello di applicazione
• Attacchi Denial-of-Service
• Analisi delle vulnerabilità
• Attività di web scraping
L'elevata qualità del servizio Client Reputation è determinata dall'intelligence e dalle informazioni sulle minacce fornite dalla piattaforma CSI (Cloud Security Intelligence) di Akamai. Ogni ora, questa piattaforma elabora miliardi di eventi di sicurezza e registri di traffico legittimo, utilizzando i dati per prevedere la probabilità che un client costituisca una minaccia per specifici clienti.
Tra i processi di analisi della piattaforma CSI, figurano:
• Sofisticata mappatura dei comportamenti degli autori degli attacchi
• Rilevamento dei payload dannosi e degli attacchi zero-day
• Analisi di comuni modelli di traffico dannosi
• Gestione in cluster delle attività dannose eseguite dalle botnet
Molti servizi di reputazione presenti oggi sul mercato assegnano solo un punteggio singolo di reputazione del client, uguale per tutti i clienti. Al contrario, Client Reputation utilizza un innovativo motore proprietario di analisi dei rischi, che effettua un calcolo del rischio per ogni indirizzo IP di origine, personalizzato in base ad ogni cliente. Questo modello personalizzato di assegnazione dei punteggi in base al rischio è notevolmente più accurato rispetto ad un sistema generico e ha dimostrato che le azioni compiute sulla base del calcolo del rischio andranno ad incidere con minore probabilità sui client e sugli utenti legittimi.
Client Reputation utilizza un innovativo motore proprietario di analisi dei rischi, che effettua un calcolo del rischio per ogni indirizzo IP di origine, personalizzato in base ad ogni cliente.
3
Negli ultimi anni, lo scenario delle minacce è diventato molto più complesso e sofisticato. I criminali ora utilizzano diversi strumenti di attacco e modus operandi, avvalendosi anche di risorse violate o a basso costo, come dispositivi IoT, server compromessi e infrastrutture cloud, per nascondere le loro attività o per organizzare campagne di attacchi su vasta scala. Considerando il loro elevato numero, queste risorse possono essere usate solo per una specifica campagna di attacco e, probabilmente, non costituiscono alcuna minaccia per altri clienti. Inoltre, molte campagne di attacchi durano per un breve periodo di tempo, al termine del quale, le risorse utilizzate potrebbero non costituire alcuna minaccia per i clienti.
In risposta a queste tendenze, Akamai ha sviluppato un proprio modello personalizzato di assegnazione dei punteggi in base al rischio, che riesce a valutare il rischio posto da ciascun client per ogni cliente Akamai in qualsiasi momento.
La chiave per l'elaborazione di un più efficace modello di assegnazione dei punteggi è determinata dalle informazioni che vengono ricavate da big data di alta qualità. Akamai occupa una posizione di leader nel mercato delle reti per la distribuzione dei contenuti (CDN) come un hub centrale nell'ecosistema di Internet, poiché gestisce il 15 - 30% di tutto il traffico web in qualsiasi momento.
Akamai occupa una posizione di leader nel mercato delle reti per la distribuzione dei contenuti (CDN) come un hub centrale nell'ecosistema di Internet, poiché gestisce il 15 - 30% di tutto il traffico web in qualsiasi momento.
Sfruttando questa sua esclusiva posizione, Akamai registra il traffico legittimo e quello dannoso che attraversano la sua piattaforma. Akamai utilizza la piattaforma CSI per monitorare e classificare i client dannosi facendoli rientrare almeno in una delle seguenti categorie di punteggi di rischio:
• Autori di attacchi web - Client web o criminali che sferrano attacchi generici orientati al web, come attacchi SQL injection (SQLi), RFI (Remote File Inclusion) o XSS (Cross-Site Scripting)
• Autori di attacchi DoS (Denial-of-Service) - Client web o botnet che utilizzano strumenti automatizzati per sferrare attacchi DoS volumetrici
• Strumenti di analisi - Strumenti utilizzati per eseguire la scansione di applicazioni web al fine di individuare eventuali vulnerabilità durante la fase di ricognizione di un attacco
• Scraper web - Strumenti automatizzati, utilizzati per raccogliere informazioni, come i dati relativi ai prezzi, dalle pagine web in modo sistematico
Il modulo Client Reputation calcola un punteggio di rischio su una scala da 1 a 10 per ciascuna categoria. Un punteggio di rischio pari a 1 prevede una bassa probabilità di futuri attacchi da tale client, mentre un punteggio di rischio pari a 10 prevede un'elevata probabilità che l'indirizzo IP venga usato da un criminale.
4
Una volta assegnati a un client per uno specifico cliente, questi punteggi di rischio vengono condivisi e applicati agli edge server sull'Akamai Intelligent Edge Platform. I clienti che utilizzano il modulo Client Reputation possono quindi scegliere la modalità di gestione dei client con uno specifico punteggio di rischio da parte degli edge server di Akamai.
Una pratica comune consiste nel segnalare un client quando il relativo punteggio di rischio è pari a 5 o più e bloccarlo quando il punteggio di rischio è pari a 9 o 10. Questi punteggi rappresentano un compromesso tra le probabilità di un futuro attacco e la possibilità che il client generi anche traffico legittimo in futuro.
Oltre al punteggio di rischio, i clienti Akamai possono regolare ulteriormente le misure di sicurezza
applicando altre condizioni, come:
• Numero di sistema autonomo (ASN) dell'IP di origine
• Elenchi di reti IP o geografiche
• Indirizzo IP/CIDR
• Nomi e/o valori specifici per l'intestazione HTTP
• Nomi e/o valori specifici per i cookie HTTP
• Nome host di destinazione
• Percorso di richiesta HTTP di destinazione
I due esempi riportati di seguito illustrano come i clienti Akamai possono trarre vantaggio dall'applicazione delle condizioni aggiuntive summenzionate:
1. Anche se le aziende prosperano in un'economia globale, molti clienti conducono la maggior parte delle loro attività aziendali con partner e consumatori in un limitato numero di aree geografiche. Pertanto, i clienti possono facilmente intraprendere azioni più severe nei confronti di indirizzi IP dannosi che provengono da specifiche aree geografiche o reti di origine non coinvolte nelle loro attività aziendali.
2. A volte, alcune attività condotte tra partner aziendali potrebbero venire interpretate come dannose e, di conseguenza, segnalate. Tuttavia, le interazioni tra i sistemi IT di partner aziendali vengono solitamente configurate in modo da verificarsi a partire da specifiche reti di origine e in modo da inviare richieste HTTP utilizzando specifiche intestazioni e/o cookie. Di conseguenza, i clienti che desiderano ignorare il traffico proveniente da questi partner (per evitare che venga rifiutato dai controlli di reputazione) possono usare le condizioni necessarie per escludere (senza bloccarlo) il traffico originato da specifiche reti, intestazioni e cookie.
5
Come vengono calcolati i punteggi di rischio personalizzati Il motore di analisi dei rischi di Client Reputation esegue cinque diverse fasi di analisi. Alla fine di tutte le fasi, un punteggio di rischio personalizzato viene calcolato per il criminale esaminato e propagato all'Akamai Intelligent Edge Platform su base oraria.
Fase 1: identificazione e classificazione delle attività dannose
Client Reputation identifica i criminali tramite diverse tecniche, inclusi i modelli statistici, l'analisi dei comportamenti e le firme degli attacchi. In questa fase, Client Reputation utilizza le tecniche di fingerprinting del client e gestione in cluster dei comportamenti per rilevare le botnet. Si tratta di un approccio molto efficace perché, se analizzati singolarmente, i client possono apparire innocui, mentre, spesso si sottovaluta il fatto che, collettivamente, possono causare un danno maggiore in quanto parte di una botnet molto più grande.
Fase 2: calcolo del punteggio di rischio personalizzato
Un punteggio di rischio personalizzato viene calcolato per categoria e per cliente considerando i seguenti fattori:
• Portata dell'attacco: la quantità di traffico dannoso che viene generato
• Distribuzione dell'attacco: il numero degli obiettivi oggetto dell'attacco
• Persistenza dell'attacco: la frequenza con cui viene generato il traffico dannoso nel corso del tempo
• Gravità dell'attacco: il danno potenzialmente causato dall'attacco
• Settore dell'obiettivo: il segmento verticale del settore a cui mira l'autore dell'attacco
• Clienti Akamai oggetto dell'attacco: gli specifici clienti a cui mira l'autore dell'attacco
Oltre ai fattori elencati sopra, il motore di analisi dei rischi classifica i client dannosi in base al tipo e agli schemi di comportamento precedenti. In tal modo, Client Reputation riesce a comprendere meglio la natura dell'autore dell'attacco (se viene usato sempre un dispositivo compromesso o se l'indirizzo IP è stato usato solo per un singolo evento e non si prevede che venga usato in attacchi futuri). Questi fattori influiscono sul calcolo dei punteggi e forniscono un decadimento intelligente in base al contesto.
Fase 3: euristica e regolazione automatica per la correzione degli errori
In alcuni casi, i client legittimi mostrano un comportamento che potrebbe essere considerato ingiustificato o sospetto. Ad esempio, i client potrebbero inviare grandi volumi di traffico in un breve periodo di tempo o messaggi HTTP contenenti payload potenzialmente pericolosi (query SQL, codice PHP, ecc.).
Per evitare di assegnare punteggi di rischio a client legittimi, il motore di analisi dei rischi contiene vari livelli di meccanismi di euristica e regolazione automatica per la correzione degli errori, che non solo raggruppano e analizzano gli eventi nell'insieme, ma applicano anche i controlli di mitigazione.
6
Fase 4: rilevamento degli indirizzi IP condivisi
Alcuni indirizzi IP presenti in Internet vengono condivisi da più utenti finali, tra cui gateway di sicurezza aziendale, gateway di traduzione degli indirizzi di rete, gateway mobili e proxy. Per assicurarsi che il sistema non penalizzi gli utenti legittimi che condividono l'indirizzo IP con utenti potenzialmente dannosi, Client Reputation applica automaticamente diversi livelli di rilevamento degli indirizzi IP condivisi, come l'analisi dei comportamenti, il fingerprinting e la classificazione degli indirizzi IP. I clienti possono configurare i profili di reputazione designati, i punteggi di rischio e le condizioni necessarie per intervenire sugli indirizzi IP che vengono rilevati come condivisi da più utenti.
Fase 5: recupero del punteggio di rischio per la reputazione (decadimento)
Nei casi in cui un indirizzo IP non costituisce più una minaccia, il suo punteggio viene ridotto nel corso del tempo. La velocità di decadimento dei punteggi dipende da alcuni aspetti, quali:
• Tipo di attività dannosa
• Persistenza dell'attività dannosa
• Frequenza di precedenti eventi dannosi
• Estensione e distribuzione di precedenti attività rilevanti
Il team Threat Operations di Akamai Il monitoraggio dell'integrità del sistema viene eseguito continuamente dal team Threat Operations di Akamai, costituito da analisti di dati e ricercatori della sicurezza delle applicazioni leader del settore, che utilizzano vari strumenti di apprendimento automatico e analisi statistica. Il team si occupa di garantire l'integrità e l'accuratezza del sistema e dei suoi dati, nonché di identificare e ricercare eventi e schemi su larga scala, che richiedono una particolare attenzione.
Riepilogo Client Reputation aggiunge un sofisticato livello di protezione basato sull'intelligence ai sistemi di delivery delle applicazioni web. Client Reputation utilizza le informazioni sulle minacce ricavate dall'esclusiva piattaforma CSI di Akamai, che analizza continuamente il 30% di tutto il traffico web proveniente da migliaia di applicazioni web di vari settori in tutto il mondo.
Il fulcro di Client Reputation è rappresentato da un innovativo motore proprietario di analisi dei rischi, che calcola un punteggio di rischio personalizzato per ogni IP e per ogni cliente, in base al rischio effettivamente rappresentato da un criminale nei confronti di tale cliente. Il punteggio di rischio personalizzato viene ricalcolato regolarmente e tiene in considerazione vari aspetti: classificazione delle attività dannose, euristica per la correzione degli errori, rilevamento degli indirizzi IP condivisi e decadimento del rischio nel corso del tempo. Un accurato modello personalizzato di assegnazione dei punteggi in base al rischio consente di personalizzare la delivery delle applicazioni a ciascun client, migliorando notevolmente la sicurezza delle applicazioni e riducendo, al contempo, la perdita di opportunità commerciali come conseguenza del rifiuto di client potenzialmente legittimi.
7
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. L'Akamai Intelligent Edge Platform permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Per scoprire perché i principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su Twitter. Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 5/20.
Tra i vantaggi tecnici e operativi di Client Reputation, figurano:
• Un ulteriore livello di protezione basato sull'intelligence per difendere da attività dannose quali attacchi a livello di applicazioni web, attacchi DoS, analisi delle vulnerabilità e web scraping
• Miglioramento delle decisioni in materia di sicurezza basate sulle precedenti attività dannose
• Capacità di bloccare i criminali prima che possano lanciare un attacco
• Un'ulteriore fonte di intelligence per i sistemi di sicurezza back-end
Assegnazione dei punteggi di Client Reputation
• Visibilità sul 15 - 30% di tutto il traffico web
• Accurata analisi dei dati in-house in base al contesto
• Personalizzazione per le attività aziendali di ogni cliente
• Calcolo a partire dai comportamenti dei client legittimi e dannosi
