Automatizzazione del processo di dynamic malware analysis in un Security Operation Center

Questa tesi descrive la progettazione e la realizzazione di una prima linea di difesa contro gli attacchi informatici tramite email, costituita da un processo di elaborazione automatico. Con questa tesi, infatti, abbiamo cercato di offrire una soluzione con la quale rendere automatiche le operazioni di analisi di un’email insieme con i link e gli allegati che contiene. Sono stati integrati un sistema di sandbox (CAPE Sandbox), una piattaforma di Cyber Threat Intelligence (MISP), una Security Incident Response Platform (TheHive), un gestore di analizzatori e attuatori (Cortex) e un parser di messaggi di posta elettronica (Ematex) per costituire un flusso di lavoro automatico. Quest’ultimo rileva l’arrivo di nuove email, estrae link e allegati, li analizza tramite analisi dinamica, controlla se sono presenti sulla piattaforma di CTI e, infine, se c’è un pericolo, informa l’operatore del SOC. La tesi introduce gli strumenti citati e descrive il flusso di analisi cui è soggetta un’email in arrivo.