Logo Regione Autonoma della Sardegna
RICERCA E SVILUPPO TECNOLOGICO IN SARDEGNA
sardegnaricerche  ›  ...  ›  agenda  ›  archimede webzine  ›  ricerca

Attack Prophecy: un firewall per garantire la cyber security

Il team della startup Pluribus One
La cyber security è il tema su cui si concentrano le attività di Pluribus One, startup sarda costituita da ricercatori del Dipartimento di Ingegneria Elettrica ed Elettronica dell'Università di Cagliari. I recenti fatti di cronaca dimostrano come la consapevolezza dell'importanza della sicurezza informatica stia non solo aumentando in tanti settori industriali e produttivi, ma anche diventando una priorità per i governi nazionali di tutto il mondo.

Il team di Pluribus One, finanziato con il voucher dello Sportello Startup di Sardegna Ricerche, ha messo a punto Attack Prophecy, un Web Application Firewall (WAF) per la rilevazione delle intrusioni sul web e la protezione da eventuali attacchi. Li abbiamo incontrati per farci raccontare qualcosa di più su Attack Prophecy, per parlare di cybersecurity e per scoprire le prospettive di mercato di questo settore.

Cos'è Attack Prophecy?
Attack Prophecy è un Web Application Firewall (WAF) di nuova generazione per la rilevazione delle intrusioni verso i servizi web e la protezione dai corrispondenti attacchi a livello applicativo tramite
funzionalità di analisi e filtraggio del traffico (HTTP/HTTPS). Il funzionamento di Attack Prophecy inizia con il monitoraggio del traffico internet diretto verso l'applicazione web che si intende proteggere. Dall'analisi di questo traffico, Attack Prophecy apprende automaticamente dei modelli legittimi di utilizzo delle applicazioni e dei servizi web e costruisce un insieme di regole fatto su misura per la loro protezione. Queste regole possono essere poi ulteriormente validate e aggiornate dagli operatori e amministratori di sistema.

Per proteggere efficacemente il sistema da potenziali minacce, Attack Prophecy confronta costantemente il flusso di dati in ingresso con i modelli legittimi di utilizzo dei servizi web monitorati. Ogni volta che viene rilevata un'anomalia, Attack Prophecy blocca le corrispondenti richieste in ingresso. Le attività sospette rilevate vengono anche notificate agli operatori, ai quali viene chiesto di convalidarle come legittime o malevole. Gli operatori che utilizzano Attack Prophecy possono interagire in qualsiasi momento con il sistema grazie a una interfaccia grafica avanzata che consente di avere a colpo d'occhio tutte le informazioni essenziali, in un formato che consente di prendere decisioni rapide ed efficaci. La scalabilità di Attack Prophecy ne consente la sua integrazione in qualsiasi sistema, da singoli server a sistemi cloud, garantendo protezione contro tecniche di attacco comuni (come Cross-Site Scripting e SQL Injection), avanzate (come phishing) e contro i cosiddetti attacchi zero-day. Attack Prophecy assicura inoltre un tasso estremamente basso di falsi allarmi.

Com'è nata l'idea?
La genesi di Attack Prophecy ha radici lontane: il software è frutto di un decennio di ricerca accademica in machine learning e pattern recognition da parte dei fondatori di Pluribus One, spin-off universitaria del laboratorio di Pattern Recognition and Applications - PRA Lab, del Dipartimento di Ingegneria Elettrica ed Elettronica dell'Università di Cagliari. Attack Prophecy nasce dalla volontà di far convergere la ricerca accademica con la sempre più necessaria esigenza di proteggere applicazioni e servizi web. Le soluzioni chiamate Web Application Firewall (WAF) sono diventate indispensabili per controllare il traffico di dati e prevenire attività dannose. Ogni giorno, infatti, migliaia di utenti accedono ad applicazioni e servizi web: i malintenzionati si nascondono tra gli utenti comuni e cercano di infiltrarsi nelle infrastrutture delle applicazioni, per comprometterne il funzionamento e ottenere informazioni sensibili, come ad esempio credenziali, dati personali, numeri di conto e codici di accesso. La maggior parte degli strumenti di sicurezza web, tuttavia, si basa su un insieme rigido di regole volte a rilevare i modelli specifici di richieste di traffico malevolo in arrivo. La crescente sofisticazione e l'eterogeneità delle tecniche di attacco ha ridimensionato l'efficacia dei tradizionali WAF. Questi infatti sono spesso in grado di riconoscere solo tipologie di attacco già note e ogni minima variazione di un attacco già noto può essere sufficiente per eluderne il funzionamento e impedire il riconoscimento della minaccia. Attack Prophecy invece propone un approccio differente, basato sull'apprendimento automatico che consente di stabilire un insieme unico di regole, fatto su misura, attraverso le sue tre principali fasi di funzionamento (learning, detecting and protecting). Ciò consente ad Attack Prophecy di continuare a evolversi contrastando ogni tipologia di minaccia presente e futura. Non a caso il motto scelto per questo software è: Attack Prophecy, il WAF che riscrive le regole.

Chi sono le persone coinvolte nel progetto e quali sono le loro competenze?
I componenti del team di Pluribus One afferiscono tutti al DIEE: tra loro due professori, un ricercatore e tre assegnisti di ricerca con esperienza decennale in campo accademico. Davide Ariu, amministratore unico della società, è il responsabile della partecipazione aziendale a progetti di ricerca europei, nazionali e locali. In questa sua veste ha trasferito le sue competenze mettendo a frutto il dottorato in Ingegneria informatica sulla Cyber Security e collaborando alla scrittura del progetto e alla sua gestione in itinere. Battista Biggio è AI Chief Scientist di Pluribus One. Il suo contributo nel progetto ha riguardato, in collaborazione con Igino Corona, la supervisione dello sviluppo software, l'implementazione degli algoritmi, l'ottimizzazione del codice. Igino Corona, Security CTO, è responsabile della ricerca e dello sviluppo di nuovi prodotti nel campo della sicurezza informatica ed è il principale ideatore, autore e coordinatore delle attività inerenti Attack Prophecy: sviluppo software, implementazione degli algoritmi, ottimizzazione del codice. Giorgio Giacinto, Security Chief Scientist di Pluribus One, ha messo al servizio di questo progetto la sua ventennale esperienza professionale e accademica dedicata allo studio di soluzioni per la sicurezza informatica e per il rilevamento automatico di oggetti ed eventi potenzialmente dannosi nel mondo digitale. Luca Piras, Multimedia Chief Scientist, è responsabile per la ricerca e lo sviluppo di prodotti che richiedono la classificazione e il recupero di dati multimediali, immagini e testi. All'interno di questo progetto ha curato aspetti gestionali in qualità di project manager e aspetti di usabilità del software, oltre a coordinare e supervisionare l'implementazione dell'interfaccia grafica di Attack Prophecy. Fabio Roli, R&D Manager di Pluribus One, ha fornito supporto e supervisione alle attività del progetto grazie all'esperienza maturata in più di 25 anni dedicati ad attività di ricerca e di sviluppo di tecnologie di pattern recognition. Sono stati poi coinvolti altri collaboratori, anch'essi legati a vario titolo al DIEE e al PRA Lab, tra cui Guido Mureddu ed Enrico Salis, per quanto concerne l'implementazione e l'ottimizzazione del software e degli algoritmi, e Alessio Mulas, per il design dell'interfaccia web.

In che modo Sardegna Ricerche vi ha aiutato nell'ideazione e realizzazione del progetto?
L'apporto di Sardegna Ricerche è stato fondamentale sia in fase di sviluppo che in fase di promozione del prodotto. In particolare, ha consentito il passaggio e lo sviluppo del software da forma precompetitiva a prodotto proiettabile sul mercato della cyber security. Durante questa fase è stato possibile implementare e ottimizzare gli algoritmi di apprendimento automatico, avvalendosi anche del lavoro di collaboratori esterni. Il prodotto inoltre ha subito una radicale riprogettazione in termini di usabilità: grazie al sostegno di Sardegna Ricerche è stato possibile rivoluzionare l'interfaccia grafica con l'introduzione di comandi intuitivi e sottoporre il prodotto a numerose fasi di verifica. Grazie al supporto del voucher startup è stato poi possibile acquistare prezioso materiale hardware utile allo sviluppo del prodotto e alle fasi descritte in precedenza. Per quanto riguarda la fase di branding, il voucher ha consentito alla società di sviluppare una linea di comunicazione del prodotto trasversale e multimediale, adatta alla promozione sia in contesti scientifici che sui social network, sempre più aperti alla trattazione di temi come la cyber security. La comunicazione è stata notevolmente arricchita anche grazie al supporto di figure esterne esperte del settore (Carlo Turri, esperto di design e di sviluppo video, e Matteo Mauri, esperto di comunicazione e web design) che ha portato alla creazione di un logo ufficiale e alla realizzazione del video promozionale. Inoltre l'apporto del voucher ha consentito di partecipare a importanti fiere di settore.

Quali sono le prospettive del mercato della cybersecurity?
Ogni nuovo attacco informatico, locale o globale, desta immediatamente attenzione, mostrando la fragilità delle strutture informatiche. Solo per citare alcuni episodi degli ultimi 12 mesi: scoperta delle violazioni di 500 milioni di account Yahoo, presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, crescita dei ransomware (wannacry docet). Per tali motivi il mercato è destinato a espandersi, proporzionalmente alla crescente consapevolezza del fatto che i rischi di attacco sono più che concreti. A livello globale il mercato della cyber security vale circa 100 miliardi di euro già oggi, con elevati tassi di crescita: nei prossimi cinque anni si stima che fatturerà complessivamente mille miliardi di euro, mentre il cybercrimine genererà danni per seimila miliardi l'anno. Si stima che in ambito cyber security si creeranno oltre 1,5 milioni di posti di lavoro nei prossimi tre anni.

Anche in Italia il mercato della cyber security è in crescita, così come l'attenzione delle imprese italiane a causa del ritardo nella gestione di sicurezza e privacy. In questo contesto il mercato delle soluzioni di cyber security in Italia nel 2016 supera i 900 milioni di euro. Un mercato quindi in crescita del 5% rispetto al 2015, con una spesa concentrata tra le grandi imprese, suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). (Dati Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, 2 febbraio 2017; realizzata con il supporto di Kaspersky Lab, Poste Italiane, Symantec, Trend Micro; in collaborazione con Cefriel, con il patrocinio di Clusit).

Link utili
Pluribus One
Youtube - Video promozionale Attack Prophecy