armasuisse – il team del Politecnico di Zurigo presenta un metodo di nuova concezione per identificare i cyberattacchi mirati

Berna, 12.06.2017 – armasuisse Scienza e tecnologia e il Politecnico federale di Zurigo hanno sviluppato un nuovo metodo per identificare i cyberattacchi mirati contro le reti informatiche. Il metodo sviluppato funge da supporto per la Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC).

Enti pubblici e aziende sono confrontati sempre più alla minaccia di attacchi da parte di cybercriminali intenzionati a rubare dati sensibili. Il recente attacco ai danni della RUAG è un tipico esempio di questo tipo di attacchi. Gli aggressori sono riusciti a infettare un PC interno dell’impresa, che hanno quindi utilizzato per analizzare il sistema informatico interno e per sottrarre una grande quantità di dati.
Gli attacchi di questo tipo, detti «minacce costanti evolute» (dall’inglese «Advanced Persistent Threat (APT)»), sono molto difficili da identificare con i sistemi di sicurezza attuali. Spesso passano mesi e mesi prima che un’organizzazione si accorga che gli aggressori si sono insinuati nella sua rete informatica.

Vincent Lenders (di armasuisse Scienza e tecnologia) e Pavlos Lamprakis, Ruggiero Dargenio, David Gugelmann, Markus Happe e Laurent Vanbever (del Politecnico federale di Zurigo) hanno sviluppato un metodo di nuova concezione per identificare i canali di comunicazione tra il malware installato sui PC infetti e i server di controllo degli aggressori. Il metodo presentato è in grado di distinguere nel giro di poche ore i canali di comunicazione basati sul sistema HTTP (C&C-Channels) dal malware ordinario e APT.

Il testo pubblicato, intitolato «Unsupervised Detection of APT C&C Channels using Web Request Graphs», sarà presentato a Bonn a inizio luglio nell’ambito della DIMVA (SIG SIDAR Conference on Detection of Intrusions and Malware & Vulnerability Assessment). L’opera pubblicata è il frutto di un progetto di ricerca realizzato da armasuisse Scienza e tecnologia in collaborazione con l’Information Security and Privacy Center (ZISC) del Politecnico federale di Zurigo. Il lavoro pubblicato è stato realizzato a sostegno della Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC).

La DIMVA, tenutasi per la prima volta 14 anni fa, è organizzata dallo Special Interest Group Security – Intrusion Detection (SIDAR) e dalla Gesellschaft für Informatik (GI). Si tratta di una delle più importanti conferenze nel campo dell’identificazione delle intrusioni e del malware e dell’analisi delle vulnerabilità. La conferenza richiama annualmente esperti internazionali degli ambienti scientifici, industriali e statali che si incontrano per un aggiornamento reciproco sugli ultimi risultati della ricerca.

Per ulteriori informazioni

Kaj-Gunnar Sievert
resp. Comunicazione armasuisse
058 464 62 47

Editore