Migliorare l'Intelligence sulle Minacce Cyber per Dispositivi IoT
Un nuovo approccio leggero per migliorare la condivisione delle minacce informatiche tra i dispositivi IoT.
― 5 leggere min
Indice
- Cos'è l'Intelligence sulle Minacce Informatiche (CTI)?
- Sfide dei Sistemi CTI Attuali
- La Necessità di un Nuovo Approccio
- Comprendere le Basi dei Formati CTI
- Perché tinySTIX è Necessario
- Vocaboli e Parole Chiave Controllati
- Rappresentazione Compatta degli Oggetti
- Misure di Sicurezza Personalizzate
- Protocolli Applicativi per IoT
- Costruire il Motore MISP4IoT
- Analizzare la Riduzione della Dimensione degli IoC
- Conclusione
- Fonte originale
- Link di riferimento
Con l'aumento della tecnologia digitale, soprattutto in settori importanti come la salute, la finanza e la sicurezza, c'è una crescente necessità di capire e affrontare le minacce informatiche. L'Intelligence sulle Minacce Informatiche (CTI) è fondamentale per le organizzazioni per proteggersi da queste minacce. Man mano che più dispositivi si connettono a Internet, specialmente i dispositivi IoT a basso consumo, raccogliere e condividere informazioni sulle minacce informatiche diventa ancora più necessario.
Gli attuali sistemi di CTI spesso faticano ad andare d'accordo con i dispositivi a basso consumo. Questo articolo discute un nuovo approccio per migliorare questa situazione, concentrandosi sulla creazione di sistemi migliori per condividere informazioni sulle minacce informatiche, progettati specificamente per i dispositivi IoT.
Cos'è l'Intelligence sulle Minacce Informatiche (CTI)?
La CTI si riferisce alle informazioni raccolte dalle organizzazioni per capire e difendersi dalle minacce informatiche. Queste informazioni possono includere dettagli su vulnerabilità, tattiche usate dagli attaccanti e log dai sistemi che registrano attività sospette. Tradizionalmente, la condivisione di queste informazioni tra le organizzazioni è stata fatta manualmente, ma ora si stanno sviluppando sistemi automatizzati per rendere il tutto più facile ed efficace.
La CTI di solito include Indicatori di Compromesso (IoCs), che sono schemi o indizi usati per identificare azioni dannose. Per le organizzazioni, avere CTI accurata e tempestiva può portare a risposte più efficienti a potenziali attacchi informatici.
Sfide dei Sistemi CTI Attuali
Molte organizzazioni affrontano sfide nel creare la propria CTI a causa della mancanza di risorse e competenze. Inoltre, poiché le minacce informatiche evolvono rapidamente, le organizzazioni spesso faticano a mantenere aggiornata la loro intelligence sulle minacce. Per affrontare queste sfide, le piattaforme di condivisione CTI sono diventate essentiali. Queste piattaforme consentono alle aziende di scambiare informazioni, migliorando la loro capacità di rispondere alle minacce.
Tuttavia, le piattaforme CTI esistenti potrebbero non essere adatte per i piccoli dispositivi IoT. Questi dispositivi hanno spesso potenza di elaborazione e durata della batteria limitate, rendendo difficile per loro utilizzare efficacemente i framework CTI attuali.
La Necessità di un Nuovo Approccio
Dato i vincoli dei dispositivi IoT, è essenziale progettare un'architettura CTI su misura per questi dispositivi. La nostra proposta si concentra sulla riesaminazione dei framework CTI esistenti e sulla creazione di una versione leggera per migliorare la condivisione dei dati sulle minacce informatiche.
Introduciamo un nuovo sistema chiamato tinySTIX che semplifica il processo di condivisione della CTI in ambienti pieni di dispositivi piccoli e con risorse limitate. In questo modo, questi dispositivi IoT possono comunicare efficacemente sulle minacce informatiche mentre gestiscono le loro risorse limitate.
Comprendere le Basi dei Formati CTI
L'Structured Threat Information Expression (STIX) è un formato importante per organizzare i dati CTI. STIX consente alle organizzazioni di condividere informazioni strutturate sulle minacce informatiche, rendendo più facile analizzarle e rispondere. Tuttavia, il formato STIX attuale può essere pesante in termini di risorse per i dispositivi IoT.
Un altro framework importante è il Trusted Automated eXchange of Indicator Information (TAXII), che fornisce linee guida per la condivisione dei dati CTI. TAXII supporta diversi modi di condivisione, inclusi i sistemi peer-to-peer, che possono essere utili in vari scenari.
Perché tinySTIX è Necessario
Il formato STIX tradizionale richiede una potenza di elaborazione e una memoria significative, il che può essere problematica per i dispositivi IoT. Quindi, è necessaria una versione più leggera di STIX. tinySTIX lo realizzerà concentrandosi su quattro aree chiave:
- Vocaboli e parole chiave controllati
- Rappresentazione compatta degli oggetti
- Misure di sicurezza personalizzate
- Protocolli applicativi progettati per IoT
Vocaboli e Parole Chiave Controllati
Ogni oggetto CTI contiene proprietà che descrivono l'oggetto, incluso il tipo e la descrizione. In tinySTIX, queste proprietà saranno rappresentate come valori interi invece di etichette di testo lunghe. Questo cambiamento mira a ridurre la dimensione dei dati trasmessi attraverso le reti IoT.
Rappresentazione Compatta degli Oggetti
Attualmente, STIX usa il formato JSON, che è più esigente in termini di risorse. tinySTIX utilizzerà il Concise Binary Object Representation (CBOR), che è più piccolo e veloce da codificare e decodificare. Utilizzare CBOR consente un'elaborazione più efficiente, rendendolo meglio adatto per l'IoT.
Misure di Sicurezza Personalizzate
Lo STIX standard non specifica metodi di sicurezza per lo scambio di dati. tinySTIX adotterà il CBOR Object Signing and Encryption (COSE) per garantire la sicurezza dei dati condivisi tra i dispositivi IoT. COSE è progettato per dispositivi piccoli che richiedono meccanismi di sicurezza efficaci ma leggeri.
Protocolli Applicativi per IoT
I sistemi CTI tradizionali utilizzano spesso TAXII per la condivisione dei dati. Tuttavia, tinySTIX utilizzerà il Constrained Application Protocol (CoAP), che è adatto per dispositivi con risorse limitate. CoAP semplifica il modo in cui i dispositivi IoT comunicano e condividono dati.
Costruire il Motore MISP4IoT
La Malware Information Sharing Platform (MISP) è una piattaforma open-source che supporta la condivisione della CTI. MISP offre molti vantaggi, tra cui facilità d’uso e aggiornamenti regolari. Per la nostra architettura proposta, MISP sarà estesa per includere il formato tinySTIX.
L'estensione comporterà la creazione di un'API per CoAP, supportando la serializzazione CBOR e implementando i due modelli di condivisione dei dati: collezioni e canali.
Analizzare la Riduzione della Dimensione degli IoC
Utilizzando tinySTIX, siamo stati in grado di ridurre significativamente la dimensione degli IoC trasferiti attraverso le reti IoT. I test sono stati eseguiti su dataset provenienti da fonti note e i risultati hanno mostrato una riduzione di quasi il 50% della dimensione dei dati per alcuni dataset. L'uso di valori interi e della rappresentazione binaria ha svolto un ruolo importante in questo abbattimento.
Conclusione
In sintesi, affrontare la crescente necessità di una CTI efficace negli ambienti IoT è cruciale. Sviluppando un modello di CTI leggero chiamato tinySTIX, possiamo garantire una migliore comunicazione e condivisione dei dati sulle minacce tra i dispositivi a basso consumo. Questo approccio non solo migliora la sicurezza dell'IoT, ma aiuta anche le organizzazioni a prepararsi meglio contro le minacce informatiche. I prossimi passi si concentreranno sull'implementazione di tinySTIX tra i dispositivi IoT e sulla valutazione della sua efficacia.
Titolo: Towards Cyber Threat Intelligence for the IoT
Estratto: With the proliferation of digitization and its usage in critical sectors, it is necessary to include information about the occurrence and assessment of cyber threats in an organization's threat mitigation strategy. This Cyber Threat Intelligence (CTI) is becoming increasingly important, or rather necessary, for critical national and industrial infrastructures. Current CTI solutions are rather federated and unsuitable for sharing threat information from low-power IoT devices. This paper presents a taxonomy and analysis of the CTI frameworks and CTI exchange platforms available today. It proposes a new CTI architecture relying on the MISP Threat Intelligence Sharing Platform customized and focusing on IoT environment. The paper also introduces a tailored version of STIX (which we call tinySTIX), one of the most prominent standards adopted for CTI data modeling, optimized for low-power IoT devices using the new lightweight encoding and cryptography solutions. The proposed CTI architecture will be very beneficial for securing IoT networks, especially the ones working in harsh and adversarial environments.
Autori: Alfonso Iacovazzi, Han Wang, Ismail Butun, Shahid Raza
Ultimo aggiornamento: 2024-06-19 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2406.13543
Fonte PDF: https://arxiv.org/pdf/2406.13543
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://dx.doi.org/10.1109/DCOSS-IoT58021.2023.00081
- https://www.arcadian-iot.eu/
- https://www.oasis-open.org/
- https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=cti
- https://cybox.mitre.org/language/archive/index.html
- https://capec.mitre.org/data/xsd/ap_schema_v2.4.xsd
- https://maec.mitre.org/language/version2.1/
- https://www.iana.org/assignments/xml-registry/schema/iodef-1.0.xsd
- https://datatracker.ietf.org/wg/mile/documents/
- https://www.mitre.org/
- https://veriscommunity.net/
- https://attack.mitre.org/resources/working-with-attack/
- https://www.circl.lu/doc/misp/feed-osint/
- https://github.com/MISP/
- https://oasis-open.github.io/cti-documentation/stix/intro.html