Implementazione di metodologie di rilevamento delle intrusioni con il sistema Bro

Il numero di cyber attacchi, che ogni anno colpiscono non solamente le aziende ma più in generale chiunque possa collegarsi ad Internet, è in costante aumento. Da qui la necessità sempre più urgente di dotarsi di sistemi di sicurezza adeguati per proteggere i propri dati. Da qui gli ingenti capitali che vengono investiti annualmente nel settore della cybersecurity dalle grandi organizzazioni. Gli strumenti di difesa più utilizzati (firewall, antivirus e IDS) presentano tuttavia grossi limiti e possono essere superati con relativa facilità. Negli ultimi anni stanno perciò prendendo piede nuovi approcci basati sulla threat intelligence che tramite la condivisione di informazioni su minacce note cercano di rilevare e prevenire gli attacchi prima che questi possano colpire. Generalmente si tratta di metodi piuttosto semplici che si limitano a segnalare che un host si è collegato ad un certo IP, ha risolto un determinato DNS, ha scaricato un file con uno specifico hash e così via, metodi che nella pratica non risultano di poi così grande utilità né per le aziende né per i privati. Il progetto realizzato per questa tesi si pone l'obiettivo di estendere l'approccio tradizionale, cercando di proporre nuovi modi di utilizzare le informazioni di intelligence e introducendo il concetto di relazione tra indicatori, lasciando la porta aperta a tanti altri possibili sviluppi.