Protezione dal phishing con VisualPhishNet: integrazione di un modello di phishing detection visuale in un sistema di security orchestration, automation and response = Phishing protection using VisualPhishNet: integration of a visual phishing detection model in a security orchestration, automation and response solution

Negli ultimi anni si è assistito ad un incremento nell'utilizzo di soluzioni di deep learning applicate alla cybersecurity. Alcuni contesti di applicazione di tali tecnologie, sono la rilevazione di anomalie negli Intrusion Detection System (IDS), i sistemi di rilevazione e classificazione dei malware e la rilevazione del phishing. Uno dei vantaggi forniti da algoritmi di deep learning è quello di essere molto efficaci nei compiti di classificazione di immagini, specie in termini di velocità e processamento di elevate quantità di dati. Per questo motivo, diversi studi hanno recentemente iniziato a studiare l'applicazione del deep learning alla phishing detection usando approcci di similarità visuale. In ambienti aziendali, prevenire il phishing è cruciale in quanto esso rappresenta un rischio concreto nei confronti degli individui e dell'organizzazione. Considerando la quantità di email giornalmente ricevute da un'organizzazione di media grandezza, sarebbe impensabile analizzare manualmente tutte le email segnalate dagli utenti come tentativi di phishing. A questo scopo, vengono solitamente messi in atto degli automatismi volti a processare in automatico tali segnalazioni e ridurre il lavoro degli analisti. Esistono diversi studi che valutano l'efficacia di approcci visuali alla phishing detection e alcuni di essi hanno ottenuto risultati promettenti, tra cui VisualPhishNet. Questa tesi propone l'integrazione di un modello visuale di phishing detection all'interno di un sistema di Security Orchestration, Automation and Response (SOAR) ai fini di valutarne le sue prestazioni sia in termini di accuratezza che in termini di utilizzo delle risorse all'interno di uno scenario di test aziendale. Questa integrazione prevede la creazione di un ambiente di rete opportunamente isolato e monitorato la scrittura di playbook per Splunk SOAR e la valutazione dell'efficacia in diverse configurazioni. Successivamente, la soluzione è stata modificata a scopi di test includendo dei controlli sul campo dNSName dei certificati TLS per la verifica del domain name, come raccomandato dall'RFC 9525. Dai risultati ottenuti negli scenari di test, la soluzione che usa unicamente il modello visuale non è sufficientemente accurata nelle predizioni. Tuttavia, aggiungendo un controllo sui dNSName si è registrato un importante miglioramento delle prestazioni, suggerendo che l'adozione di più parametri ai fini della phishing detection conduce a risultati più accurati.