Contrastare le minacce informatiche prima che si manifestino richiede non solo competenza, ma anche velocità e capacità operativa su scala globale. Su questi tre pilastri si fonda l’approccio di AWS alla threat intelligence.
Sempre più organizzazioni richiedono informazioni sull’origine dei dati raccolti, sulle tipologie di minacce rilevate, sulle modalità di intervento e sulle azioni da intraprendere per proteggere le proprie infrastrutture. Queste domande riflettono la crescente consapevolezza, da parte dei Chief Information Security Officer (CISO), dell’importanza strategica della sicurezza informatica come leva per la resilienza e la continuità del business. Questo approfondimento, il primo di una serie, illustra l’ecosistema di threat intelligence di AWS e il suo valore per clienti, partner e stakeholder.
Un programma di intelligence leader di settore
Milioni di organizzazioni si affidano ad AWS per la protezione dei dati più sensibili. Tra le soluzioni più avanzate in ambito sicurezza rientra un programma proprietario di threat intelligence, progettato per intercettare e bloccare attività dannose prima che possano generare impatti operativi. Precisione, tempestività e capacità predittiva costituiscono i principali criteri alla base di un’iniziativa supportata da investimenti continui e mirati.
Dati, AI e infrastruttura globale: il vantaggio competitivo
Ogni giorno, l’infrastruttura AWS rileva e contrasta numerosi tentativi di attacco informatico. Grazie alla rete più estesa tra i provider cloud, è possibile monitorare in tempo reale flussi di dati su scala globale, identificando pattern anomali in modo tempestivo. Per garantire l’efficacia della threat intelligence, è essenziale analizzare grandi quantità di dati grezzi, ridurre i falsi positivi e riconoscere comportamenti sospetti. Un processo che richiede l’integrazione tra risorse umane specializzate e tecnologie avanzate basate su intelligenza artificiale (AI) e machine learning (ML).
MadPot: sensori distribuiti e risposta automatizzata
Tra gli strumenti adottati figura MadPot, una rete globale di honeypot automatizzati per il rilevamento di tecniche, tattiche e procedure (TTP) utilizzate da attori malevoli. MadPot osserva quotidianamente oltre 100 milioni di potenziali minacce, classificandone circa 500.000 come effettivamente dannose. Le informazioni raccolte vengono integrate in Amazon GuardDuty, servizio di rilevamento delle minacce progettato per offrire protezione in tempo reale a milioni di account AWS.
Mithra: un modello neurale per la classificazione dei domini malevoli
A supporto delle attività di prevenzione, AWS utilizza Mithra, un modello neurale basato su grafo composto da 3,5 miliardi di nodi e 48 miliardi di connessioni. Analizzando fino a 200.000 miliardi di richieste DNS al giorno, Mithra è in grado di identificare in media 182.000 nuovi domini dannosi ogni 24 ore. A ogni dominio viene assegnato un punteggio di reputazione, utile a ridurre la dipendenza da feed esterni e ad aumentare la capacità di rilevare tempestivamente minacce emergenti.
Il sistema non solo classifica i domini con elevata accuratezza e bassa incidenza di falsi positivi, ma è anche in grado di prevedere la comparsa di minacce ben prima della loro registrazione su fonti terze, consentendo interventi proattivi e mirati.
Tra le principali applicazioni del modello:
- generazione di liste affidabili di domini malevoli da integrare in GuardDuty;
- ottimizzazione di servizi che utilizzano feed di terze parti, con significativa riduzione dei falsi positivi;
- supporto alle attività di indagine dei security analyst attraverso dati contestualizzati.
Condivisione delle informazioni e azione preventiva
Le informazioni raccolte non alimentano esclusivamente i servizi di sicurezza AWS, ma vengono condivise proattivamente con clienti e organizzazioni potenzialmente a rischio. Questo approccio consente di correggere vulnerabilità—come database esposti o configurazioni errate—e di rafforzare le difese di sicurezza.
In molti casi, le notifiche rappresentano il primo segnale di compromissione per le organizzazioni coinvolte. I destinatari ricevono anche raccomandazioni operative, tra cui: analisi dei log, blocco dei domini sospetti, aggiornamento delle configurazioni, indagini forensi, applicazione di patch, e segmentazione della rete dietro firewall.
La condivisione dei dati genera un ecosistema collaborativo: gli indicatori di compromissione (IOC) restituiti dalle organizzazioni supportate arricchiscono ulteriormente la conoscenza globale, migliorando l’efficacia dei meccanismi di difesa per l’intero ecosistema digitale.
Esempi concreti di threat intelligence ad alta fedeltà
- Backscatter e traffico anomalo: MadPot ha rilevato traffico di rete classificato come backscatter proveniente da una multinazionale del settore food service. Nonostante l’organizzazione avesse dichiarato la risoluzione della minaccia, i dati hanno evidenziato la persistenza dell’attacco. La collaborazione diretta tra i CISO ha consentito l’interruzione tempestiva dell’attività malevola.
- Vulnerabilità Ivanti: A seguito della scoperta di due vulnerabilità zero-day su Ivanti VPN, i sensori AWS hanno rilevato diverse campagne di sfruttamento attive. Le informazioni raccolte sono state integrate nel feed CVE di GuardDuty, abilitando il rilevamento immediato da parte dei clienti.
- Minacce legate al conflitto in Ucraina: All’inizio dell’invasione russa dell’Ucraina, sono state individuate infrastrutture utilizzate per campagne di phishing contro servizi governativi ucraini. I dati sono stati condivisi con il governo e integrati nei servizi di rilevamento, contribuendo alla sicurezza di istituzioni e clienti.
Prospettive future
L’infrastruttura cloud AWS, riconosciuta come la più affidabile al mondo, offre una visione unica del panorama delle minacce informatiche. La condivisione delle informazioni di threat intelligence rappresenta un pilastro dell’impegno AWS verso la sicurezza digitale globale. I prossimi approfondimenti della serie tratteranno temi quali la velocità di risposta (Mean Time to Defend), la piattaforma Sonaris e ulteriori innovazioni in ambito threat detection.
