Cisco ETA analizza i pacchetti dati crittografati alla ricerca di malware

Author: IlSoftware.it

Il volume dei pacchetti dati scambiati in forma crittografata sulla rete è in continua crescita: un sempre maggior numero di applicazioni e servizi stanno correttamente abbandonando l’utilizzo di protocolli che non applicano alcuna forma di cifratura.
Il fine ultimo è evidentemente quello di scambiare dati in modo sicuro evitando che possano essere letti, modificati o danneggiati lungo il percorso, dalla sorgente alla destinazione.

Secondo Cisco il traffico crittografato aumenta del 90% a cadenza annuale e, come confermato nelle previsioni di Gartner, entro il 2019 l’80% del traffico web sarà cifrato.
Inoltre, più del 50% dei nuovi malware faranno ricorso a varie forme crittografiche e di offuscamento del codice in modo da rendere più complessa la loro tempestiva individuazione.

Utilizzando una pratica che abbiamo sempre messo all’indice, molti antivirus – per esaminare anche il traffico HTTPS o le email scambiate usando server di posta che supportano i protocolli SSL/TLS – pongono in essere una sorta di attacco man-in-the-middle, seppur effettuato in locale. Tali software installano un proxy locale che viene frapposto tra il server remoto e l’applicazione che ha richiesto i dati.Quest’operazione permette di fatto di leggere il contenuto di qualunque pacchetto dati scambiato in forma cifrata: Certificati digitali cosa sono e come rimuovere quelli fasulli.
Cisco ha appena tolto il velo dalla sua tecnologia Encrypted Traffic Analytics (ETA): essa permetterà di identificare i malware all’interno dei pacchetti dati scambiati in forma cifrata, senza la necessità di operare alcuna attività di decodifica.
La soluzione proposta da Cisco non nasce all’improvviso ed anzi è stata messa alla prova all’interno dell’infrastruttura di molte società partner, a partire dal mese di giugno 2017.
I tecnici di Cisco hanno spiegato che ETA utilizza un sistema multi-livello basato sul machine learning per esaminare il traffico dati crittografato e differenziare i pacchetti dati malevoli da quelli legittimi.
ETA analizza in primis i pacchetti scambiati all’avvio della connessione: già queste informazioni possono contenere informazioni preziose per fare ipotesi sul contenuto dei pacchetti successivi.
Si passa poi all’analisi del flusso di dati codificato con l’aiuto del machine learning: via a via che il traffico di rete sarà esaminato, ETA si comporterà in maniera sempre migliore ottimizzando la sua efficacia nel corso del tempo.
Il principale vantaggio di ETA, come spiega Cisco, consiste nel preservare la privacy senza compromettere la sicurezza e senza alterare il funzionamento dei protocolli.

Il debutto di ETA è previsto, per il momento, solo nei router e nei dispositivi per il networking destinati alle grandi aziende ma scommettiamo che in futuro Cisco si rivolgerà anche alle società di piccole e medie dimensioni oltre che ai professionisti attraverso il cloud, magari integrando la nuova tecnologia in Umbrella: Cisco Umbrella protegge la rete aziendale e i dispositivi dei dipendenti, ovunque ci si trovi.