La crescente complessità degli attacchi informatici richiede soluzioni capaci di garantire visibilità profonda e tempestiva a livello di sistema operativo, riducendo al minimo l’impatto prestazionale e preservando il valore forense dei dati raccolti.
In questo contesto, la tecnologia eBPF (extended Berkeley Packet Filter) si afferma come uno strumento innovativo per il campo della Digital Forensics & Incident Response (DFIR), consentendo l’esecuzione sicura di programmi personalizzati direttamente nel kernel Linux.
Il presente lavoro esplora le potenzialità di eBPF in ambito DFIR, con particolare attenzione a due direttrici principali:
- osservabilità avanzata, attraverso il tracciamento di attività critiche come le sessioni SSH, i comandi eseguiti e i cambi di utenza, garantendo completezza e integrità della telemetria;
- difesa proattiva, mediante meccanismi di controllo in grado di bloccare connessioni verso indirizzi IP malevoli, trasformando la raccolta di eventi in uno strumento di reazione immediata.
La soluzione proposta integra aspetti di forensic readiness (accuratezza temporale, integrità e formato log RFC 5424) con funzionalità di sicurezza operativa, ponendo le basi per un approccio DFIR più rapido, affidabile e integrabile con strumenti SOC e SIEM.
I risultati evidenziano come eBPF possa rappresentare una tecnologia strategica per la prossima generazione di strumenti di indagine e risposta, aprendo scenari di ricerca e sviluppo legati alla sicurezza di container, correlazione multi-evento e applicazioni di Machine Learning per rilevamento di anomalie a livello kernel.
Se desideri approfondire ecco il link al nostro studio completo, in lingua italiana e in lingua inglese.
Inoltre, puoi registrarti alla mailing list specifica Cyber Studios by Tinexta Defence, per ricevere aggiornamenti sulle prossime ricerche:
