Nel settore della sicurezza informatica si parla spesso di attacchi sempre più sofisticati e difficili da fermare. In realtà, il problema non è solo la forza degli attori statali, ma il fatto che molte organizzazioni restano ancorate a un approccio reattivo, prive della visibilità e della proattività necessarie per difendersi in modo efficace.
In questo articolo, Alex Mosher, Presidente di Armis, evidenzia come l’intelligenza artificiale — la stessa tecnologia oggi sfruttata da gruppi di criminali come Volt Typhoon e Salt Typhoon — possa diventare l’arma che riequilibra le difese. Soluzioni basate su IA e automazione permettono di individuare vulnerabilità in tempo reale, rilevare comportamenti malevoli e agire prima che un attacco si concretizzi, trasformando la gestione della sicurezza informatica da reazione a protezione preventiva.
Buona lettura!
Prima che le tessere del domino cadano: la cyberwarfare al punto di svolta
La Cyberwarfare è ormai una minaccia imminente.
Attori di minacce sponsorizzati da stati, come Volt Typhoon e Salt Typhoon, hanno puntato a infrastrutture critiche per anni.
Secondo l’ultimo report di Armis, “Warfare Without Borders: AI’s Role in the New Age of Cyberwarfare,” più dell’87% dei decision-maker in ambito IT a livello globale è preoccupato per l’impatto di una guerra informatica. In tutto il mondo, i responsabili delle decisioni IT indicano costantemente tre minacce dominanti sponsorizzate dagli Stati: Russia (73%), Cina (73%) e Nord Corea (40%). In particolare, il 73% ritiene che gli autori delle minacce provenienti dalla Cina rappresentino il rischio maggiore. Allo stesso modo, il 74% dei decision-maker concorda sul fatto che gli attacchi basati sull’intelligenza artificiale (IA) costituiscano una minaccia significativa per la sicurezza delle proprie organizzazioni.
All’ombra degli attacchi informatici provenienti dalla Cina, i professionisti della sicurezza informatica devono essere pragmatici. Le organizzazioni devono assumersi la responsabilità dei propri programmi di cybersecurity e conformità: comprendere la natura delle minacce, valutare come mitigare gli attacchi informatici basati sull’IA attraverso soluzioni basate sull’IA e adottare un approccio più proattivo con una protezione preventiva.
Pensare globalmente, agire localmente
Attribuire gli APT (Advanced Persistent Threat) – come Volt Typhoon e Salt Typhoon – è utile per comprenderne le motivazioni. Tuttavia, i professionisti della sicurezza informatica non devono trascurare le TTP (Tattiche, Tecniche e Procedure) e i relativi IOC (Indicatori di Compromissione).
Storicamente, la CISA si è rivelata una risorsa fondamentale per comprendere queste sfumature. Il modus operandi di Volt Typhoon include un’intensa esplorazione delle architetture di rete, degli obiettivi di accesso iniziali, delle vulnerabilità dei dispositivi di rete accessibili al pubblico e una serie di tecniche LOTL (Living-off-the-Land) per eludere il rilevamento e garantire la persistenza. Salt Typhoon ha esibito un comportamento simile, puntando a dispositivi di rete vulnerabili e utilizzando tecniche LOTL.
Il successo di questi attacchi mette in luce una realtà inquietante. Molte organizzazioni presentano ancora parti esposte, come dispositivi vulnerabili o servizi non configurati in modo corretto e hanno difficoltà a rilevare l’uso dannoso di strumenti e processi di sistema legittimi.
I team di cybersecurity sanno bene che neppure le soluzioni più avanzate possono arginare simili attacchi senza una solida attenzione ai fondamenti. In questo senso, focalizzarsi sulla compliance e sui common security framework (CSF), come la NIST 800-53, può fornire una base efficace per creare difese robuste, a partire dall’inventario degli asset e da un programma di gestione delle vulnerabilità.
La corsa agli armamenti nell’IA
Il fatto che OpenAI abbia vietato account ChatGPT di gruppi di hacker statali mettono in luce un’altra cruda realtà: l’IA è uno strumento incredibilmente potente, ma viene anche utilizzata come arma.
Il report di OpenAI si inserisce nel solco delle conversazioni con executive della sicurezza informatica. Gli attori malevoli sfruttano l’IA per condurre attacchi con maggiore rapidità ed efficacia, e i team di difesa devono tenere il passo.
Secondo OpenAI, hacker statali cinesi stanno sfruttando l’intelligenza artificiale per condurre campagne di social engineering e per ottimizzare codici dannosi. La ricerca Armis Labs “China’s AI Surge: New Front in Cyber Warfare”, mette in luce ulteriori vettori di minaccia da considerare. Per esempio, Google ha dimostrato che l’IA può scoprire vulnerabilità zero-day e fungere da proof-of-concept per gli attori di minacce cinesi.
La Cina può anche utilizzare l’IA per automatizzare le esplorazioni e gli attacchi: strumenti di IA in grado di scandagliare costantemente le reti alla ricerca di vulnerabilità, eseguire exploit senza intervento umano o identificare obiettivi meno esposti ai controlli. Tutte queste funzionalità richiamano le TTP comuni di Volt Typhoon e Salt Typhoon, a dimostrazione di quanto sia cruciale correggere in modo preventivo le vulnerabilità prese di mira.
Concentrazione dello sforzo
Le APT cinesi sono state incoraggiate dal successo dei loro attacchi a infrastrutture critiche e stanno integrando attivamente l’IA all’interno delle loro campagne. Nonostante il divieto su ChatGPT, gli attori malevoli possono facilmente rivolgersi ad altri modelli di IA.
I team che si occupano di sicurezza informatica devono identificare i punti ciechi e colmare le lacune all’interno degli ambienti IT, OT e cloud, compresi i dispositivi IoT e gli ambienti virtualizzati. Un focus su conformità e CSF può essere utile, ma la conformità richiedono visibilità su questi rischi ed esposizioni.
Le soluzioni basate sull’IA possono contribuire a ridurre il rischio di attacchi cyber. Il monitoraggio continuo consente di individuare i rischi non appena emergono, dalle nuove vulnerabilità ai dispositivi non gestiti.
Modelli di IA predittiva possono rivelare minacce in tempo reale, inclusi comportamenti anomali tipici di tecniche LOTL. Queste, tra le TTP più comuni degli APT cinesi, vanno affrontate direttamente per rafforzare la difesa.
Si è discusso a lungo della necessità di un approccio proattivo alla cybersecurity, ma secondo il report Armis “Warfare Without Borders: AI’s Role in the New Age of Cyberwarfare”, più della metà delle organizzazioni risponde agli attacchi cyber solo dopo che sono avvenuti. È arrivato il momento di passare dalle intenzioni ai fatti: le organizzazioni devono implementare una protezione preventiva per affrontare questa minaccia imminente.
di Alex Mosher, President di Armis
