Analisi di Big Data con Astraea

La tecnologia Astraea rappresenta il "cyberbrain" chiave della soluzione cloud Kaspersky Security Network (KSN), ulteriore elemento della protezione multilivello Next Generation di Kaspersky. Tale sistema aggrega in tempo reale l'insieme delle statistiche raccolte con meta-informazioni relative alle attività sospette e alle minacce individuate in tutto il mondo, generando rapidi verdetti inerenti al rilevamento di oggetti nocivi. Queste informazioni divengono poi immediatamente disponibili per tutti gli utenti attraverso il Kaspersky Security Network.

Ogni giorno oltre 80 milioni di utenti beneficiano dei vantaggi offerti dall'utilizzo del servizio cloud KSN. I prodotti Kaspersky chiedono e ricevono informazioni sulla reputazione degli oggetti richiesti, partecipando alla condivisione di statistiche e meta-informazioni riguardo agli oggetti sospetti. Ciò si traduce in un flusso di centinaia di milioni di notifiche e centinaia di gigabyte al giorno.

Tutti questi dati vengono inoltrati a un avanzato sistema di filtraggio e rilevamento, denominato Astraea. Il sistema verifica la coerenza dei dati in entrata, al fine di evitare qualsiasi tentativo, anche solo ipotetico, di manipolazione dei dati. I dati raccolti vengono in seguito accumulati in un database di Big Data, contenente oggetti come file, URL, ecc. con le rispettive meta-informazioni e le relative interconnessioni.

Ad esempio, un prodotto potrebbe inviare informazioni su un oggetto sospetto, come:

• Oggetto 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
• il nome dell'oggetto è "modifica fattura e packing list.docx.exe"
• l'oggetto si trova nell'archivio "modifica fattura e packing list.docx.zip"
• l'oggetto è stato avviato dal percorso c:\windows\temp
• l'oggetto è privo di firma
• ecc.

Una volta aggregate le informazioni in entrata, risulta possibile generare elementi di knowledge, come:

• Il momento in cui un determinato file sospetto è comparso nel panorama delle minacce
• Elenco completo degli URL dai quali è stato scaricato il file in questione, oppure per quale motivo lo stesso è stato richiesto
• Elenco completo dei percorsi attraverso i quali è stato archiviato su disco
• Elenco completo dei rilevamenti eseguiti nei confronti del file, se si sono verificati
• Elenco completo dei processi che hanno avviato il file
• Prevalenza del file ed eventuali variazioni nel corso del tempo

Ogni oggetto viene sottoposto a opportune verifiche in relazione a un ampio elenco di indicatori creati da esperti e sistemi avanzati. Potrebbe ad esempio essere importante controllare i seguenti elementi:

• Se il file presenta una doppia estensione al momento dell'esecuzione (es. "MyPhotos.jpg .exe")
• Se il file si trova nella cartella C:\Windows\System32, nonostante sia compresso e presenti l'attributo file "hidden" (nascosto)
• Se il file ha un'estensione obsoleta (ad esempio ".com", ".pif", ecc.)
• Se il nome del file è molto simile a quello di un file di sistema attendibile, con una sola lieve differenza (ad esempio "svcnost.exe")
• Se il file è stato scaricato da un oggetto già noto come dannoso
• ecc.

L'analisi effettuata attraverso l'elenco delle regole consente di conferire a ciascun oggetto un punteggio di rischio calcolato, utilizzato da Astraea per determinare se l'oggetto sia dannoso o meno ed emettere quindi il relativo verdetto. Pertanto, quante più informazioni vengono raccolte su un oggetto, tanto più preciso risulterà il verdetto automatico riguardo allo stesso. In alcuni casi, evidentemente, le informazioni raccolte sull'oggetto potrebbero risultare ancora insufficienti per emettere un verdetto. In tal caso il punteggio verrà ricalcolato in seguito, una volta effettuata la raccolta di informazioni aggiuntive.

La valutazione espressa da Astraea riguardo all'oggetto viene trasmessa al servizio cloud Kaspersky Security Network, che potrà a sua volta raggiungere immediatamente gli utenti situati in ogni angolo del globo.

È importante evidenziare come la logica del sistema non sia statica: il sistema, in effetti, si autoaddestra costantemente. In un mondo in cui gli autori di programmi malware verificano sempre il proprio codice nei confronti del rilevamento da parte delle soluzioni di sicurezza, trasformandolo in una potente arma mediante l'implementazione di nuove tecniche, un sistema basato sugli indicatori potrebbe risultare non al passo con i tempi e generare facilmente sia una diminuzione di efficienza in relazione al tasso di rilevamento, sia un aumento dei falsi positivi. Ciò significa che si dovrebbe testare il livello di efficacia dei singoli indicatori e dell'intero elenco degli stessi, aggiornando in modo dinamico entrambi gli elementi, sulla base delle informazioni raccolte attraverso il database di Kaspersky e la knowledge messa a disposizione dagli esperti.

Dagli inizi, nel 2012, la percentuale dei rilevamenti prodotti da Astraea rispetto al numero totale di nuovi rilevamenti è aumentata dal 7,53% al 40,5% entro la fine del 2016 (323.000 nuovi rilevamenti al giorno), per un totale di un miliardo di file dannosi unici.