Dimostratore 1: generazione e condivisione di informazioni sulle minacce tra autorità locali
Partner: A questo dimostratore partecipano due autorità locali, una della regione spagnola dell’Aragona e una della regione italiana del Veneto. Lo sviluppo tecnico è supportato da S2 Grupo, un’azienda tecnologica spagnola specializzata in Cybersecurity.
Descrizione del problema: Verrà implementato uno scenario di condivisione di informazioni sulle minacce tra due regioni europee che collaborano (Aragona e Veneto). I governi sono uno dei principali obiettivi degli aggressori della criminalità informatica e sono esposti a grandi rischi, poiché forniscono servizi importanti come la sanità, l’istruzione e i servizi sociali. Per combattere questi rischi, entrambe le regioni dispongono di serie di dati rilevanti di dimensioni significative che possono essere sfruttate in modo collaborativo utilizzando le tecniche di privacy preserving machine learning (PPML).
Uno dei fattori chiave nella lotta alla criminalità informatica è sempre stata la condivisione delle informazioni tra le diverse organizzazioni, sia pubbliche che private. Tradizionalmente, la condivisione di informazioni sulle nuove tecniche, le tendenze e gli obiettivi dei criminali informatici o anche sulle campagne in corso è stata una pratica comune per prevenire gli attacchi o, almeno, per individuarli in una fase iniziale o per mitigarne gli effetti. Più di recente, l’applicazione del Machine Learning, come gli algoritmi di Deep Learning, nella cybersecurity ha guadagnato una notevole popolarità grazie alla sua flessibilità e capacità di affrontare non solo le minacce note, ma anche quelle sconosciute (come le minacce zero-day). Poiché questi algoritmi richiedono grandi quantità di dati per essere addestrati, la loro crescente popolarità ha ulteriormente enfatizzato la necessità di condividere i dati.
Tuttavia, la condivisione di grandi quantità di dati relativi alla sicurezza informatica tra diverse entità è spesso complicata, non solo per la complessità e l’eterogeneità dei dati, ma anche per la loro potenziale sensibilità. Ad esempio, una rete neurale potrebbe essere addestrata per rilevare le campagne di phishing di un’azienda ispezionando le e-mail dei dipendenti e calcolando il grado di somiglianza con le campagne di phishing esistenti. Tuttavia, ciò richiederebbe che l’azienda (e i suoi dipendenti) diano il permesso di ispezionare queste e-mail, che potrebbero contenere informazioni private e sensibili. Inoltre, le aziende e gli individui sono riluttanti a condividere i dati relativi ai modi in cui sono stati attaccati, soprattutto quando gli attacchi hanno avuto successo, perché non vogliono che la loro immagine pubblica venga danneggiata.
In questo dimostratore, entrambe le organizzazioni partecipanti (le amministrazioni locali di Aragona e del Veneto) beneficeranno dei meccanismi avanzati di condivisione dei dati forniti dal framework HARPOCRATES, che consente loro di condividere informazioni private e sensibili senza danneggiare la loro immagine pubblica o violare la legge sulla privacy. Tale meccanismo aiuterà a raccogliere e scambiare nuovi indicatori di compromissione e informazioni sulle minacce, portando la sicurezza informatica a un punto tale da poter far fronte al suddetto aumento del grado di intelligenza e sofisticazione della criminalità informatica.
Applicazione dimostrativa pianificata: Il dimostratore sarà implementato come segue:
- Creazione del set di dati: include (1) la selezione del sottoinsieme di utenti/host di ciascuna organizzazione che farà parte del set di dati; (2) il recupero dei dati durante la normale attività di ciascuna organizzazione e l’anonimizzazione di base per consentire la pubblicazione dei set di dati al resto del consorzio; (3) l’iniezione di log dannosi per il rilevamento delle minacce e gli esperimenti di condivisione.
- Progettazione e architettura della piattaforma di intelligence delle minacce: comprende (1) la progettazione del dimostratore
piattaforma, utilizzando i servizi di HARPOCRATES, attraverso la quale le informazioni sulle minacce saranno rese anonime e condivise; (2) progettazione di modelli di minacce. - Formazione ML con dati anonimizzati, sfruttando i servizi PPML sviluppati da HARPOCRATES.
- Implementazione e valutazione del dimostratore. La valutazione comprenderà (1) l’analisi del panorama delle minacce prima di HARPOCRATES; (2) la caratterizzazione delle minacce e dei dati necessari per prevenirle; (3) il confronto delle minacce prevenibili con e senza i servizi HARPOCRATES.