=Paper=
{{Paper
|id=Vol-1816/paper-20
|storemode=property
|title=Web-based Intelligence in Adaptive Security Models and Multidisciplinary Aspects of Activation and Analysis (in Italian)
|pdfUrl=https://ceur-ws.org/Vol-1816/paper-20.pdf
|volume=Vol-1816
|authors=Giampiero Bonfiglio,Ludovica Coletta,Alessandra Teresa Coscarella,Martina Limonta,Panfilo Ventresca
|dblpUrl=https://dblp.org/rec/conf/itasec/BonfiglioCCLV17
}}
==Web-based Intelligence in Adaptive Security Models and Multidisciplinary Aspects of Activation and Analysis (in Italian)==
https://ceur-ws.org/Vol-1816/paper-20.pdf
In Proceedings of the First Italian Conference on Cybersecurity (ITASEC17), Venice, Italy.
Copyright c 2017 for this paper by its authors. Copying permitted for private and academic purposes.
La Web-based Intelligence nei modelli
adattativi di sicurezza e gli aspetti
multidisciplinari di attivazione ed analisi
Giampiero Bonfiglio, Ludovica Coletta, Alessandra Teresa Coscarella,
Martina Limonta, Panfilo Ventresca
Business Integration Partners s.p.a.
giampiero.bonfiglio@mail-bip.com; ludovica.coletta@mail-
bip.com; alessandrateresa.coscarella@mail-bip.com;
martina.limonta@mail-bip.com; panfilo.ventresca@mail-bip.com
Abstract
L’ascesa del cyberspazio come centro delle realtà sociali, politiche, economiche e culturali
(SPEC) ha evidenziato una perdita di efficacia nell'approccio tradizionale di Sicurezza a favore di
un nuovo modello di Adaptive Cyber Security capace di riconoscere e adattarsi all’evolversi delle
minacce del cyberspazio.
La Web-based Intelligence rappresenta lo strumento abilitante per l’Adaptive Cyber Security,
attraverso il monitoraggio e l’analisi del canale web in tutte le suedimensioni (open, deep web,
dark web).
La stretta relazione tra la realtà SPEC e le azioni nel cyberspazio richiede quindi che la stessa
Web-based Intelligence si muova secondo un approccio multidisciplinare che integri la
componente tecnologica di rilevazione, l’analisi comportamentale degli attacchi e quella socio-
politica del contesto di azione.
Tale approccio si caratterizza per una maggiore efficacia nella correlazione e interpretazione
degli eventi, consentendo il riconoscimento di vere e proprie modalità di azione e la rilevazione
dei motivi scatenanti l’esecuzione di attacchi, a favore di un modello di sicurezza che si adatta alla
continua evoluzione del cyberspazio.
1 Introduzione
La “Digital Transformation” sta riscrivendo i modelli di business e di governo attraverso una
digitalizzazione che rivoluziona la sfera pubblica e privata delle nostre vite, rendendo il
cyberspazio il centro delle realtà sociali, politiche, economiche e culturali (SPEC).
Da un’accurata analisi di tale fenomeno emerge una dipendenza sempre maggiore dal
cyberspazio da parte dei principali contesti produttivi e decisionali, dei sistemi aziendali e
finanziari, delle infrastrutture critiche e persino dei sistemi elettorali e politici.
202
� Negli ultimi anni l’equilibrio di tali sistemi è stato minato da un incremento senza precedenti
degli attacchi informatici perpetrati nel cyberspazio e veicolati da motivazioni che spaziano da
vantaggi economici e competitivi fino a ragioni di natura sociale, con ingenti impatti sulla solidità
delle più grandi realtà istituzionali e industriali.
Tale evoluzione è strettamente connessa alla rivoluzione digitale che ha determinato un
incremento nella disponibilità di strumenti sempre più complessi e potenti, ad uso del vasto
pubblico, benevolo e non.
L’evoluzione delle minacce può essere analizzata secondo un andamento a fasi: dagli anni
‘70/80, con i primi attacchi di hacker individuali mossi da curiosità tecnica, agli anni ‘90 in cui
gruppi organizzati hanno iniziato a veicolare virus e worm con l’intento di manomettere sistemi e
alterare siti web (il cosiddetto Defacement). Nei primi anni del 2000, si è verificata una sempre
crescente organizzazione dei gruppi criminali attivi nel cyberspazio, complici i maggiori ritorni
economici a basso rischio derivanti, ad esempio, dalla possibilità di anonimato reso possibile dal
web.
Sono nate e continuano a nascere realtà criminali fortemente organizzate, sia a livello
nazionale sia internazionale, caratterizzate dal ricorso a sistemi di attacco complessi e strategici,
quali gli “Advanced Persistent Threats” (APT) 1, per scopi governativi (es. attacchi DDoS2 su
obiettivi nazionali come la Georgia ed Estonia) o aziendali (campagna di attacchi “Aurora” diretti
a Google).
Una nuova fase di attacchi è appena iniziata. Si tratta di azioni estremamente complesse e
sovranazionali che mirano al furto di dati direttamente da realtà multinazionali, come ad esempio
le azioni intraprese su Google3, Ebay4 e Yahoo5 negli ultimi anni.
Il Cyber attacco su larga scala, inoltre, ha oramai assunto una connotazione di minaccia
internazionale e a forte impatto sull’economia mondiale, nonché sugli equilibri socio-economici,
al pari degli attacchi terroristici, delle crisi finanziarie o della disoccupazione.
Fronteggiare il Cybercrime rappresenta una sfida sempre più complessa a causa del numero
di realtà coinvolte, di architetture decentralizzate e transnazionalità della rete. È dunque sempre
più evidente come l’approccio “statico” della Information Security mostri i suoi limiti
nell’assicurare un adeguato livello di protezione, a favore invece di un modello adattativo,
l’Adaptive Cyber Security Model, in grado di adeguare il livello di protezione rispetto
all’eterogeneità di eventi e alla variabilità/volubilità delle minacce.
La capacità di adattamento fonda la sua efficacia sull’attività di Intelligence, diretta al
reperimento di informazioni su eventi, minacce e attacchi. Questo avviene su canali tradizionali e
oramai in maniera massiva sul cyberspazio, dove è emerso il ruolo cruciale della Web-based
Intelligence come centro del monitoraggio e identificazione delle informazioni rilevanti e dei
potenziali eventi malevoli da cui proteggersi.
Operando nel cyberspazio, la Web-based Intelligence ne eredita caratteristiche e
interconnessioni, analizzando gli eventi (IT e non) secondo un approccio multidisciplinare che
integra l’ambito politico, economico e sociale per riuscire a interpretare e contestualizzare le
informazioni in modo appropriato.
1
Advanced Persistent Threat (APT), processo di attacco basato su tecniche di hacking utilizzate su base furtiva e
continua mirato alla raccolta di informazioni in maniera indebita da una realtà target
2
Distributed Denial of Service (DDoS), attacco in cui una moltitudine di sistemi compromessi vengono utilizzati per
rendere indisponibile un singolo sistema target verso i suoi utenti
3
Attacco Aurora, operazione di attacchi cyber del 2009 condotti attraverso tecniche APT da gruppi basati in Cina verso
multi-nazionali americane come Google, Adobe, Juniper, Rackspace. U.S.-China Economic and Security Review
Commission, 2010 Report to Congress
4
Furto di informazioni ai danni di Ebay nel 2014, compromesso database con i dati dei clienti, impattati 145 milioni di
utenti http://blog.trendmicro.com/trendlabs-security-intelligence/ebay-latest-victim-of-massive-data-breach/
5
Furto di informazioni ai danni di Yahoo nel 2014, evento segnalato nel 2016 con impatto su 500 milioni di utenti della
piattaforma internet. https://help.yahoo.com/kb/account/SLN27925.html
203
�2 Adaptive Cyber Security Model
L’Adaptive Cyber Security Model va oltre la tradizionale architettura di sicurezza basata sul
principio di definizione di un perimetro di difesa statico, non più sufficiente a fronteggiare i
continui stimoli e le sfide sempre nuove provenienti dal cyberspazio. La peculiarità del modello
risiede nella sua capacità di adeguare il perimetro e le misure di sicurezza in maniera puntuale e
continuativa rispetto al contesto attraverso una combinazione di tecnologie e processi che
consentano di far fronte a tale dinamicità.
Questo nuovo paradigma di sicurezza si compone sia della parte più canonica di protezione
degli asset, sia di quella più avanguardista di analisi di intelligence e contestuale per il
monitoraggio real-time dei rischi.
Proprio gli standard di sicurezza ISO/IEC 27004, ISO/IEC 27032 e il NIST SP 800-55 e i
framework di Cyber security sia di carattere nazionale (Framework Nazionale per la Cyber
Security-CIS) che internazionale (Framework for Improving Critical Infrastructure Cyber
Security-NIST), sottolineano la necessità per le organizzazioni di avere una piena comprensione
del proprio ambiente operativo e dei possibili rischi di sicurezza da fronteggiare.
L’Adaptive Cyber Security Model, pertanto, fa propri questi concetti e va oltre un modello
di sicurezza tipicamente reattivo nei confronti delle minacce che si presentano ed è, invece,
orientato verso un’azione proattiva in cui il costante monitoraggio del contesto alimenta le attività
di rilevazione e di prevenzione.
Il modello prevede dunque specifiche azioni dirette all’analisi delle informazioni e
all’adozione delle contromisure di sicurezza appropriate, vedi CERT e SOC, i quali risultano
evoluti secondo logiche proattive al fine di agire prima che un evento malevolo si verifichi.
Funzioni distintive in tale nuova architettura di sicurezza sono, ad esempio, quelle di Intelligence
tra cui: Early Warning and Security Intelligence, Feed and Reputation, Industry Threats Reporting,
Countermeasures Efficacy evaluation, Threats Categorisation and Monitoring; altre legate alla
Security Analysis come l’Ethical Hacking e la Source Code Review; e altre ancora più di natura
tecnica come il Vulnerability Assessment (VA) e il Penetration Test (PT).
In considerazione proprio della moltitudine di funzioni e sorgenti, va ricordata l’importanza
dell’Information Sharing per assicurare una base di informazioni quanto più consistente e
uniforme.
Al fine di intervenire preventivamente a difesa degli asset aziendali e realizzare adeguate
contromisure di sicurezza, il modello adattativo si basa sulla raccolta e analisi di dati e
informazioni provenienti da diverse fonti. Oltre alle più tradizionali (es. bug reports dei vendor,
nuove vulnerabilità tecniche, risultati dei VA), la Cyber Intelligence ha assunto recentemente
particolare rilevanza. La consapevolezza della realtà mutevole e l’esigenza del costante
adattamento alla stessa fa sì che il modello necessiti di un’attenzione particolare al Web, sia aperto
che sommerso, in quanto fonte dal contenuto informativo più ricco. Il web è, infatti, oramai
largamente utilizzato come canale principale di comunicazione e al tempo stesso come luogo di
incontro e collaborazione per scopi leciti e non leciti.
3 La Web-based intelligence
L’intelligence è ben rappresentabile dall’unione tra “information” e “analysis”6, per cui si
configura come “actionable knowledge”. È’ un processo e un prodotto dell’analisi informativa che
consente di dedurre dagli elementi, dai fatti e dagli aspetti del tempo presente, ciò che avverrà in
quello futuro. In tal senso, la Web-based intelligence si configura come intelligence che utilizza il
web come ambiente nel quale rinvenire le informazioni e come strumento sul quale effettuare il
6
M.E. Bonfanti, A.P. Rabera, Internet-based Intelligence: Prediction or Foreknowledge? in E. Mordini, M. Green,
Internet-based Intelligence in Public health emergencies; p.11;
204
�processo di analisi, per mezzo di strumenti più o meno complessi dal punto di vista tecnologico 7.
Le molteplici definizioni disponibili in letteratura ne evidenziano, inoltre, il fattore caratterizzante
della multidisciplinarietà. Proprio questo suo sviluppo su una moltitudine di piani tematici, può
essere una delle ulteriori chiavi interpretative con cui è possibile definirla come nuova forma di
intelligence che si sviluppa utilizzando il web come canale e strumento abilitante per le attività di
analisi e investigazione8.
La Web-based Intelligence si focalizza sul web, aperto e sommerso, per raccogliere
informazioni attraverso metolodologie e tecniche a volte specifiche per l’OSINT, il Deep Web e
il Dark Web.
Il suo obiettivo consiste nel facilitare il riconoscimento preventivo di eventuali attacchi cyber,
individuando ex-ante comportamenti e/o azioni preparatorie all’attacco.
Rispetto alle altre tecniche esistenti dirette a una pura analisi del traffico e delle attività
malevole, il modello di Web-based Intelligence è arricchito da tecnologie avanzate e paradigmi
propri della ricerca investigativa, molecolare e multicanale, nonché fortemente guidata da logiche
preventive e predittive.
Le tecniche di ricerca, analisi e contestualizzazione proprie della Web-based Intelligence,
sono affinate con l’obiettivo di tenere in piena considerazione gli aspetti non esclusivamente
tecnologici, ma anche economici, geopolitici, giuridici, socio-comportamentali e criminologici
legati a un particolare evento. Questo nella piena consapevolezza che un attacco informatico a
un’organizzazione potrebbe costituire un danno esteso all’intero sistema paese qualora colpisse,
ad esempio, le sue infrastrutture critiche.
L’analisi secondo tali direttrici permette dunque di contestualizzare opportunamente eventi e
azioni malevole, in modo da identificare mandanti, motivazioni e obiettivi.
3.1 Il patrimonio informativo del Web
Se la Web-based Intelligence può essere considerata come la fonte più ricca di contenuti per
il modello proattivo di Cyber security precedentemente descritto, questa a sua volta in quanto
prodotto di un’analisi, attinge a un vasto patrimonio informativo/umano presente sul Web. Questo
è costituito da fonti indicizzate e fonti informative desumibili dal Deep Web e dal Dark Web.
Per ciò che concerne le fonti indicizzate (Open) rinvenibili sul web, queste sono caratterizzate
da ampia accessibilità e disponibilità, ma non sempre da autenticità. Non è, infatti, universalmente
possibile verificare la veridicità della notizia e della sua fonte. Di conseguenza per le fonti Open è
necessario il procedimento di analisi che porta alla validazione dell’informazione stessa e
all’elaborazione del prodotto finito. Le informazioni e i dati desumibili, invece dal Deep Web e
dal Dark Web si differenziano da quelle Open in quanto non presentano immediata disponibilità.
Il rinvenimento di tali informazioni, infatti, prevede un passaggio investigativo aggiuntivo,
mediante l’inserimento e l’omologazione dell’utente in questi particolari contesti governati da
regole culturali, in alcuni casi, linguistiche, proprie. Gli attori che agiscono nel Deep Web e nel
Dark Web sono, infatti, soggetti a un riconoscimento reciproco che è anche il fattore inclusivo
nell’ambiente stesso. La reperibilità delle informazioni dipende, pertanto, da questo accesso
soggetto a limitazioni. Oltre a tale difficoltà di accesso, resta appropriato il ragionamento circa la
veridicità delle informazioni desumbili da tali fonti. Il contesto socio-culturale che circonda gli
ambienti del Deep e del Dark Web fa sì che le fonti non indicizzate si caratterizzino per una
veridicità ancora meno certa delle fonti “open”. Ciò è dato dal peculiare popolamento di tali
ambienti da parte di attori con interessi leciti e non, i quali, di conseguenza, possono avere interessi
propri nella diffusione di informazioni false e/o nella disinformazione.
7
Ibidem;
8
Ivi, cit. p. 13, “The Laplacian model gains additional support from the (relatively) recent ascent to prominence of
“Internet-based Intelligence”. For present purposes, we may characterize Internet-based Intelligence as what is produced
when information (data and metadata)is sourced from the Internet and analyzed for actionable insight via manual - but more
often and more powerfully ( at least in terms of processing capacity) automated means.”
205
� Una componente essenziale sia delle sorgenti Open sia delle informazioni desumibili da Deep
Web e dal Dark Web, consiste nell’intervento umano con cui verranno selezionati i filtri più
appropriati per procedere con l’analisi e la validazione delle suddette informazioni. C’è da
considerare anche la complessità degli strumenti a supporto della raccolta e dell’analisi delle tre
principali aree del Web (Open, Deep, Dark), abilitati da tecnologie spesso eterogenee ma sempre
caratterizzate da motori (statistici, semantici, ontologici e di tipo machine learning) che devono
essere configurati anche con competenze di natura non solo tecnica, bensì multidisciplinare (es.
conoscenza linguistica, ontologica etc).
3.2 Un processo multidisciplinare di analisi delle informazioni
Molte delle tecniche di Web-based Intelligence adottate finora si focalizzano su una pura
analisi del traffico e delle attività̀ malevole, attraverso raccolta di informazioni ad ampio spettro,
indirizzata a un puro supporto per una successiva azione di sicurezza di tipo reattivo che tuttavia
può risultare insufficiente nel reagire agli attacchi odierni spesso ad alto spettro e intensità (come,
ad esempio, il DDoS).
L’esigenza attuale è che questo approccio venga arricchito, secondo un’ottica
multidisciplinare, da un livello di interpretazione delle informazioni e di loro correlazione secondo
una nuova dimensione socio-criminologica, politica, economica e culturale, per permettere
l'identificazione e il riconoscimento di strategie di attacco complesse, nonché di vere e proprie
operazioni di e-crime.
La dimensione socio-criminologica e psicologica è utile a tracciare il profilo dell’attaccante,
il suo modus operandi e la sua fingerprint. Mediante questa attività di interpretazione, condotta
con dinamiche proprie dell’analisi comportamentale, è possibile inquadrare varie tipologie di
attaccanti e di attacchi per categorizzarli, semplificando di conseguenza la capacità di risposta alle
tipologie individuate.
La contestualizzazione secondo la dimensione politico-economica di riferimento è utile per
poter inquadrare quanto raccolto in precedenza e ottenere una sintesi del contesto e delle
motivazioni per cui determinati attacchi informatici nascono e vengono perpetrati. Ad esempio,
un cyber criminale potrebbe sferrare un attacco verso un’infrastruttura critica di un paese, in
occasione di un importante negoziato su tematiche globali, al fine di destabilizzarlo e far prevalere
propri interessi. La contestualizzazione delle informazioni tecniche e comportamentali su un
attacco cyber con quelle relative a un particolare scenario di riferimento, è dunque fondamentale
per poter associare degli elementi comuni e ricercare dei collegamenti.
Le informazioni raccolte sono di tipo strutturato e non strutturato in base al livello di
organizzazione e pertanto seguono un iter di processamento basato su logiche differenti.
Nel primo caso, sono caratterizzate da un alto grado di organizzazione e derivano dalle
sorgenti dati che forniscono flussi continui di informazioni e che è possibile utilizzare con un
minimo effort di standardizzazione.
Nel caso di informazioni non strutturate, al contrario, non è possibile identificare modelli dati
specifici, in quanto queste provengono invece dalla raccolta da sorgenti come articoli, report
tecnici, forum, blog e social media. La raccolta e conseguente analisi di tali informazioni risulta
un’attività ad alta complessità, in relazione all’eterogeneità dei contenuti (es. riconoscimento
linguistico) e del contesto; per tale motivo vengono utilizzate tecniche specifiche per il contesto e
perimetro analizzato, quali la social media analytics, text mining, sentiment analysis e geospatial
analysis.
Le informazioni nella loro complessità vengono quindi parametrizzate e filtrate secondo
logiche fuzzy per confluire in una base di conoscenza caratterizzata da strutture di dati comuni e
interpretabili automaticamente che è possibile correlare per riconoscere, ad esempio, legami
temporali, logici, e/o di causa/effetto.
206
� Qui si inserisce l'utilizzo di tecniche di machine learning basate su logiche semantiche,
statistiche e ontologiche con l’obiettivo di integrare e combinare le informazioni sugli eventi con
quelle di contesto, derivanti dalla componente geo-politica, economica, sociale e culturale.
Il modello confluisce in un sistema di near-real time analytics, dedicato all’identificazione
delle minacce di sicurezza che immagazzina i dati rilevanti di contesto, di eventi e attacchi, per
compararli con serie storiche attraverso tecniche di big data analysis.
La Web-based Intelligence permette, quindi, di comprendere la motivazione e la natura degli
attacchi, le evoluzioni e i fattori che influenzano la loro emersione, con l’obiettivo di sviluppare
strategie di difesa efficienti rispetto ai vari tipi di minacce che affiorano. Per tali ragioni, la Web
Based Intelligence costituisce la componente più ricca di informazioni per l’attuazione di un
modello adattativo efficace.
La necessità di sfruttare al meglio le informazioni contenute in ciascun canale di analisi
(tecnologico, comportamentale o geopolitico), richiama l’approccio multidisciplinare nella forma
di una specifica conoscenza del singolo ambito, nonché degli strumenti e delle metodologie per
analizzare, interpretare e contestualizzare.
Pertanto, è necessario dotarsi competenze specifiche di settore che siano in grado di
aggiungere il fattore esperienziale al fine di coglierne gli aspetti rilevanti per l’organizzazione.
Il bagaglio di conoscenze e competenze per approcciare a ciascun ambito differiscono dunque
necessariamente tra loro: ne deriva che per un’applicazione efficace del modello adattativo con
componenti di Web-based Intelligence, è necessario dotarsi di competenze e skill eterogenei,
multidisciplinari e non esclusivamente tecnici.
L’approccio multidisciplinare e multidimensionale permette quindi di ottenere
un’informazione quanto più possibile completa, in grado di tenere conto delle variabili endogene
ed esogene che ruotano attorno a un attacco informatico.
L’attuazione della Web-based Intelligence combinata con un modello adattativo all’interno
di un’organizzazione consente di avere un quadro quanto più esteso di una possibile minaccia
cyber, con l’obiettivo di sviluppare strategie preventive di difesa, efficaci rispetto ai vari tipi di
minacce che affiorano. Di seguito viene discusso un focus su due filtri applicabili al processo di
analisi, effettuabile a partire dal patrimonio informativo Web di cui sopra:
Focus sull’analisi di tipo comportamentale;
Focus sull’analisi di tipo geopolitico.
3.3 Focus sull’analisi di tipo comportamentale
Le fonti informative su citate acquisiscono particolare valore per la rilevazione, l’analisi, il
confronto ed il riconoscimento di variabili socio-comportamentali riferibili ai cyber criminali
poiché dall’altro lato dei devices, quali vettori di attacco, si nasconde un essere umano, con la
tendenza innata a personalizzare l’ambiente con cui interagisce, e a lasciare, anche inconsciamente,
tracce digitali distintive ed associabili alla propria identità “virtuale”,
Di conseguenza l’approccio ed i principi della tecnica investigativa del “Psychological
Profiling”9, integrati con le logiche dell’Informatica Forense, consentono di elaborare specifici
profili e modelli comportamentali, quali punti di partenza per la riconduzione dell’identità digitale
dell’offender alla sua identità reale.
Il “Digital Profiling” rappresenta dunque l’applicazione, al contesto cyber, della metodologia
di riferimento per il “Psychological Profiling”, al fine di definire e/o convalidare specifici profili
e modelli comportamentali riconducibili agli offender che popolano ed operano nel Cyberspace.
Questo in ottica di fornire elementi di valore a supporto dell’attività investigativa per
l’identificazione dell’offender stesso.
In una prima fase dell’approccio viene portata avanti l’acquisizione di evidenze di natura:
9
Tecnica elaborata dall’Unità Speciale di Scienze Comportamentali dell’FBI per l’identificazione degli autori seriali di
crimini tradizionali
207
� Tecnica, derivanti dalle proprietà di un attacco informatico e riconducibili a
specifici modus operandi (vettori, tecniche di attacco, metodologia…)
Socio-comportamentale, riferibili all’offender (livello di competenza e capacità
tecniche, signature, linguaggio, simbolismo, immagini, motivazione…) ed alla
vittima (target) dell’attacco medesimo.
La “Vittimologia”, quale studio delle caratteristiche distintive della vittima di reato (es. sesso,
categoria sociale di appartenenza, professione…), fornisce infatti importanti contributi e spunti per
l’attività di analisi, al fine di identificare potenziali collegamenti con l’identità criminale, ed in
primis, con le motivazioni (curiosità, vendetta, profitto economico, notorietà e visibilità personale)
quali componenti direzionali di orientamento di un comportamento verso uno specifico obiettivo.
E’ importante sottolineare come, diversamente dalla tecnica del “Psychological Profiling”,
per i reati informatici risulta di difficile applicazione il principio relativo all'invariare nel tempo
delle modalità di attacco. Ciò coerentemente con la consapevolezza che l’evoluzione tecnologica
e la diffusione e condivisione di informazioni “devianti” nel cyberspace, consentono ad un
offender di potenziare le proprie competenze, ponendo in essere attacchi sempre più complessi e
differenziati.
Ciò che tende però a rimanere costante nel tempo, è la tendenza da parte dell’offender a
personalizzare il proprio operato, mediante per esempio il ricorso a specifici segni di
riconoscimento quali, simboli, immagini o specifici messaggi lasciati a seguito dell’esecuzione di
un attacco. E’ dunque questo il valore aggiunto dell’analisi comportamentale applicata al contesto
digitale.
Alla prima fase di acquisizione delle evidenze, segue un’attività di loro confronto (sistema
linking) con dati storicizzati, derivanti dall’analisi di attacchi informatici perpetrati in passato.
Questo, al fine di rilevare potenziali connessioni e modelli ripetuti, verso cui focalizzare
l’attenzione.
Nel dettaglio, il confronto con tale base dati potrebbe fornire concreti spunti investigativi per
indirizzare ulteriori attività di ricerca, a carattere “proattivo”, in considerazione del contesto
digitale di riferimento dell’offender (es. canale IRC), dove, mediante l’interazione personale o
automatizzata, sarà possibile raccogliere ulteriori variabili socio-comportamentali riferibili alla sua
identità “virtuale” e “reale” (età, gruppo di appartenenza, ruolo e specializzazione,
motivazione…).
Risulta dunque propedeutico a tal fine, la previsione di database strutturati, in continuo
aggiornamento, ed alimentabili con informazioni provenienti da fonti diversificate (Forze
dell’Ordine, Enti accreditati, fonti OSINT, forum specialistici…).
Tra le fonti OSINT è importante sottolineare la presenza sul mercato di tool, nati e pensati
per finalità che esulano da attività di profilazione, ma che presentano al contempo funzionalità
adottabili nell’ambito delle attività di ricerca ed analisi connesse alla definizione di un profilo
criminale. Ne è un esempio la piattaforma Hootsuite 10 le cui funzionalità, consentirebbero per
esempio, di individuare utenti “influencer” (tramite ricerca per attribuzione di punteggio)
relativamente a tematiche sensibili discusse sui “Social Network” ed al contempo, gli “hot spot”
corrispondenti, ovvero, aree geografiche (es. Milano Centro) dove le medesime sono
principalmente oggetto di interesse.
La reale potenzialità di tale strumento, non risiede però nel suo utilizzo singolo, ma al ricorso, in
concomitanza, di altre piattaforme OSINT (es. Cree.py, Foca, Maltego, UCINET…) al fine di
acquisire ed incrociare una pluralità di dati di natura diversificata e potenzialmente riconducibili
ad un medesimo evento criminoso.
Al termine delle attività di raccolta ed analisi dati, potrà essere delineato uno specifico
modello comportamentale, riconducibile ad un profilo deviante consolidato (Wannabe, Script
Kiddie, Cracker, Ethical Hacker, Hacktivist, Cyber Warrior/Mercenary, Industrial Spy Hacker,
Military Hacker/State-sponsored attacker, Cyberterrorist…), o indicativo della presenza di una
nuova figura deviante non ancora categorizzata.
10
Hootsuite – Social Media Management Dashboard, https://hootsuite.com/it
208
� In conclusione è possibile sottolineare la peculiarità della tecnica del profilo psicologico,
quale tassello di un approccio multidisciplinare che riconosce l’importanza di analizzare le
dinamiche del Cyberspace senza prescindere dalla componente umana, e quale strumento per
indirizzare, accanto a risposte passive ad attacchi informatici, interventi proattivi di contrasto a
potenziali minacce cyber.
3.4 Focus sull’analisi di tipo geopolitico
Il rapido sviluppo del cyberspace ha avuto impatti anche sui tradizionali paradigmi della
geopolitica, i quali sono venuti progressivamente meno, determinando uno stravolgimento delle
dinamiche di difesa e sicurezza. In primo luogo, al contrario delle altre minacce quella cyber è
asimmetrica, multipolare e anonima. Il cyberspace stesso è un luogo in cui le identità si
scompongono, facendo sì che a un’identità personale corrispondano infinite identità digitali, non
sempre riconducibili alla prima. In secondo luogo, nel cyberspazio viene meno il concetto
geopolitico di limes (confine), sostituito da concetti come aterritorialità e anarchia. Infine, anche
il tradizionale concetto di guerra viene radicalmente ripensato, in quanto la cyber war è un tipo di
conflitto che non si svolge su un territorio definito, tra fazioni riconosciute e con armi
convenzionali: sul web chiunque può essere potenzialmente colpito da un attacco informatico,
ovunque nel mondo e in qualsiasi momento.
In questo contesto il Web assume una rilevanza più profonda di quella che ha avuto dalla sua
nascita ad oggi. Non è più considerabile come solo veicolo di comunicazione. Si va arricchendo
di una dimensione interattiva che consente agli utenti di entrare in un’altra dimensione, governata
da costumi propri e che determina dinamiche che influenzano anche la vita reale. In quanto tale,
essa assume rilevanza dal punto di vista innanzitutto socio-politico: gli eventi accaduti o in fase di
accadimento, non vengono più esclusivamente comunicati o notiziati sul web, in esso avviene
anche la fase dell’organizzazione degli stessi. Si pensi, ad esempio, al recente fenomeno del
reclutamento, a opera dell’organizzazione terroristica ISIS, di combattenti sui Social Network. Il
Web fornisce anche una serie di elementi che aiutano nella comprensione delle intenzioni degli
utenti engagées attivamente nella vita sul web. In esso è possibile, infatti, innanzitutto, rinvenire
rumors che diano il sentore di ciò che sta accadendo nell’ambiente, ma anche determinare il
sentiment diffuso. Ciò sposta il piano su cui si giocano le relazioni diplomatiche e internazionali
su un altro livello. Di elementi di questo tipo devono tener conto i servizi di Intelligence nazionale
nella protezione degli asset statali.
Inoltre, la pervasività della tecnologia e del web fa sì che da un lato, gli attacchi cyber
colpiscono non solamente gli apparati tecnologici ma impattano anche la sfera personale, delle
organizzazioni e di un intero paese. Dall’altro le motivazioni e gli obiettivi da raggiungere a livello
sociale, politico e economico possono costituire i presupposti per compiere azioni benevole o
malevole nel cyberspazio.
Per interpretare correttamente gli attacchi cyber si rende dunque necessario studiarne la
natura, le modalità con cui vengono eseguiti e le motivazioni sottese. Il Web consente, in questo
senso, di avere un vasto patrimonio informativo e una serie di indicatori utili al lavoro dell’analista:
Politica: considerare elementi quali l’andamento politico del paese di interesse, la sua
posizione e i suoi interessi strategici in campo internazionale, i paesi competitor e quelli
alleati, le organizzazioni e i panel internazionali di cui fa parte, i conflitti in cui è coinvolto
più o meno direttamente e i fattori di destabilizzazione interni e esterni;
Economica: considerare l’andamento economico dell’organizzazione di riferimento,
eventuali investimenti, fusioni o acquisizioni, i suoi competitor, le countries e i settori
strategici, l’andamento dell’economia del paese in cui l’organizzazione si trova, l’area
economica di cui il paese fa parte ed eventuali investimenti e/o accordi economici con
altri paesi o società straniere;
Sociale: considerare elementi quali l’orientamento dell’opinione pubblica, il sentiment, i
fattori di malcontento, le proteste sociali in corso, le disuguaglianze tra fasce sociali;
209
� Culturale / Religiosa: considerare gli usi, i costumi e l’orientamento religioso del paese
in cui l’azienda si trova e di tutti quelli con cui ha accordi economici/commerciali o ha
fatto investimenti, eventuali minoranze etniche e/o religiose, il loro livello di integrazione
nella società civile, eventuali emarginazioni, radicalizzazioni e intolleranze.
Un evento che può rappresentare un esempio di interconnessione tra gli indicatori di cui sopra
e la componente cyber, è l’attacco perpetrato nei confronti delle infrastrutture critiche ucraine
mediante il trojan Black Energy11, nel Dicembre 2015. L’evento ha provocato un black out della
rete energetica del paese lasciando al buio circa 225.000 cittadini. Analisi di settore hanno
consentito di dimostrare una plausibile relazione tra l’evento descritto e la situazione geopolitica
contemporanea che vede coinvolte Ucraina e Russia. Ciò evidenzia la necessità dell’intervento di
specifiche competenze per l’interpretazione di eventi che sempre più si allontanano dalla sfera
prettamente tecnologica e informatica e che impattano , invece, sulle relazioni internazionali.
Un’analisi complessa, effettuabile attivando tali direttrici, ma che tenga fortemente conto
degli elementi sopra esposti di cui il web è pervaso, fornisce un prodotto completo che non solo
consenta la difesa ma anche e soprattutto la prevenzione da attacchi cyber, rivolti sia alla
dimensione pubblica che a quella privata, in modo tale da identificare mandanti, motivazioni e
obiettivi a questi correlati.
Conclusione
La Web-based Intelligence ha assunto un ruolo primario nello sviluppo di un modello di
Adaptive Cyber Security che permetta un’azione predittiva efficace nei confronti delle minacce
cyber.
Il modello proposto, andando oltre la tradizionale e unica dimensione IT, beneficia di una
forte integrazione tra le tecnologie esponenziali, l’analisi comportamentale e SPEC, permettendo
di incrementare l’accuratezza, ridurre l’annoso problema dei falsi positivi e identificare quindi
azioni complesse in termini di preparazione e tentativi di attacco veri e propri.
Le nuove componenti si basano su specifiche capacità multidisciplinari tradizionalmente
esterne alle aree dell’Information Technology, da cui scaturisce il vantaggio competitivo di nuove
prospettive di analisi e riconoscimento.
L’evoluzione verso tale nuovo modello suggerisce quindi che l’investimento tecnologico sia
affiancato dall’integrazione della componente altamente qualificata di tipo umano necessaria
all’analisi della dimensione comportamentale e SPEC.
Come abbiamo visto, l’informazione rilevante, rapida e precisa ha un valore inestimabile:
ogni realtà, aziendale e non, anche a fronte di tecnologie e modelli avanzati potrà agire su perimetri
limitati e circoscritti. Pertanto emerge che proprio la collaborazione tra ogni realtà, sia a livello
pubblico che privato, può beneficiare di sinergie in cui mettere a fattor comune pratiche, skills e
informazioni strategiche che solo combinate possono fornire un seria azione predittiva di contrasto
al cybercrime, in continua e sempre più veloce evoluzione.
11 Cyber attacco nei confronti dell’infrastruttura energetica ucraina Ukrenergo attraverso il trojan Black Energy che ha
interrotto il servizio a centinaia di migliaia di utenti per circa 75 minuti nella notte tra il 23 ed il 24 dicembre 2015.
“BlackEnergy APT Attacks in Ukraine employ spearphishing with Word documents” in
https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-spearphishing-with-word-
documents/
210
�Bibliografia
World Economic Forum, The Global Risks Landscape 2016
ENISA, National/governmental CERTs - ENISA's recommendations on baseline capabilities 2015
R.A. Gandhi, A. Sharma, W. Mahoney, W. Sousan, Q. Zhu, P.A. Laplante, Dimensions of Cyber-
Attacks: Cultural, Social, Economic, and Political
A. Sharma, R. Gandhi, Q. Zhu, W. Mahoney and W. Sousan, A Social Dimensional Cyber Threat
Model with Formal Concept Analysis and Fact-Proposition Inference
S. Das, T. Nayak, Impact of Cyber Crime: Issues and challenges
Policy Department External Policies, European Parliament, Cyber Security and politically, socially
and religiously motivated cyber attacks
A. Karatzogianni, Cyber-Conflict and Global Politics
N. Naghshineh, HUMINT OR WEBINT? Concept Study on possible routes for improving
knowledge discovery within organizations
T. Stevens, Cyber Security and the Politics of Time
M.D. Cavelty, Cyber Security and Threat Politcs
T. M. Cheung, D. S. Reveron, China and Cybersecurity: Espionage, Strategy, and Politics in the
Digital Domain
A. Teti, Cyber Intelligence e Cyber Espionage
T. Townsend, M. Ludwick, J. McAllister, A.O. Mellinger, K.A. Sereno, SEI Emerging Technology
Center: Cyber Intelligence Tradecraft Project
A. Vivaldi, Cultural Intelligence - Geopolitica, intelligence e scienze umane
M. Caligiuri, Cyber intelligence, la sfida dei data scientist
M. Mayer, L. Martino, P. Mazurier, G. Tzvetkova, How would you define Cyberspace?
K. Geers, D. Kindlund, N. Moran, R. Rachwald, WORLD WAR C: Understanding Nation-State
Motives, Behind Today’s Advanced Cyber Attacks
Intelligence and National Security Alliance, Strategic Cyber Intelligence
Politique Etrangère, The Incomplete Governance of the Internet
A. Lamanna, La cyber-geopolitica e le sue rappresentazioni
M. Mayer, N. De Scalzi, I. Chiarughi, La politica internazionale nell’era digitale: dispersione o
concentrazione del potere?
J.E. Douglas, A. E. Burgess, Criminal Profiling. A viable Investigate Tool Against Violent Crime
Payments UK, Cyber Threat Intelligence: Criminological Review
Italian Team for Security, Terrorism Issues & Managing emergencies, Sicurezza, Terrorismo e
società
Roberto Baldoni, Luca Montanari (a cura di), Framework Nazionale di Cyber Security
NIST, Framework for Improving Critical Infrastructure Cybersecurity
ISO-IEC 27004:2009 Information Technology-Security Techniques-Information Security
Management-Measurement
ISO-IEC 27032:2012 Information technology -- Security techniques -- Guidelines for
cybersecurity
NIST 800-55 Rev.1, Performance Measurement Guide for Information Security
FireEye, Cyber attacks on the Ukrainian grid: what you should know
Mihaela Teodor, Bogdan-Alexandru Teodor, Cyber Threats in Hybrid Warfare: the Ukrainian
Case in Countering Hybrid Threats: Lessons Learned from Ukraine, 2016, IOS Press
ICS-CERT, Cyber-Attack against Ukrainian Critical Infrastructure
A.Toti, Open source, intelligence & cyberspace. La nuova frontiera della conoscenza
GReAT, Kaspersky Lab's Global Research & Analysis Team, BlackEnergy APT Attacks in Ukraine
employ spearphishing with Word documents in
https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employ-
spearphishing-with-word-documents/
M.E. Bonfanti, A.P. Rabera, Internet-based Intelligence: Prediction or Foreknowledge? in E.
Mordini, M. Green, Internet-based Intelligence in Public health emergencies, 2013, IOS Press.
211
�