Phishing automatizzati, malware su misura, attacchi invisibili guidati dall’intelligenza artificiale: sono solo alcuni degli strumenti impiegati dalla nuova frontiera della criminalità informatica per compromettere la cybersecurity mondiale.
Nell’articolo che condividiamo di seguito, Nadir Izrael, co-fondatore e CTO di Armis, analizza un contesto in rapida evoluzione: l’87% dei leader IT è preoccupato per l’impatto che le minacce informatiche più avanzate potrebbero avere sulle proprie organizzazioni. Gruppi cybercriminali puntano a colpire infrastrutture critiche sfruttando ogni vulnerabilità disponibile. Il vero punto di svolta è l’uso dell’intelligenza artificiale da parte dei malfattori: oggi è possibile automatizzare campagne di phishing, generare malware personalizzati in tempo reale, identificare punti deboli ed entrare nei sistemi in modo quasi impercettibile.
Ma c’è anche una via per reagire e consiste nel non limitarsi a rispondere dopo l’incidente, ma anticipare le minacce puntando su visibilità, analisi predittiva e automazione.
Buona lettura!
Un pericolo chiaro e attuale: prepararsi alla Cyberwarfare
Secondo una recente ricerca condotta da Armis, quasi nove leader IT su dieci (87%) sono preoccupati per l’impatto che la cyberwarfare potrebbe avere sulle loro organizzazioni. Ci sono prove sempre più evidenti che Cina, Russia e Corea del Nord continuino a colpire settori critici delle infrastrutture statunitensi. Questi attacchi informatici condotti da stati-nazione, noti come minacce persistenti avanzate (APT), affondano le loro radici in un contesto che risale a quasi due decenni fa.
Prevenire questi attacchi rappresenta una sfida, perché le risorse di cui dispongono gli avversari superano la media di quelle dei team di cybersecurity aziendali. Le APT devono solo individuare un punto debole – un asset vulnerabile o delle credenziali esposte – al contempo i team di sicurezza devono gestire centinaia di alert. Di conseguenza, sebbene l’81% dei leader IT indichi il passaggio a un approccio proattivo alla cybersecurity come priorità assoluta per il prossimo anno nella loro organizzazione, il 58% delle aziende ammette di limitarsi ancora a rispondere alle minacce solo quando si verificano, o addirittura a danno già avvenuto.
Inoltre, l’intelligenza artificiale sta trasformando il modo in cui gli attori delle minacce possono condurre attacchi informatici con maggiore velocità ed efficacia. Quasi tre quarti (73%) dei leader IT esprimono preoccupazione per l’uso dell’AI da parte di stati-nazione per sviluppare attacchi informatici sempre più mirati e sofisticati. I responsabili della cybersecurity devono essere consapevoli della portata di una cyberwarfare basata sull’IA e sapere come proteggere le loro organizzazioni in futuro, iniziando dal comprendere la natura della minaccia.
Guida operativa alle APT
APT e Cyberwarfare vanno di pari passo. Volt Typhoon è attribuita alla Cina, Cozy Bear alla Russia e Reaper alla Corea del Nord, solo per citare alcuni esempi.
Volt Typhoon effettua attività di ricognizione delle architetture di rete, sfrutta vulnerabilità per ottenere l’accesso iniziale e mira a ottenere accessi amministrativi. L’industria della sicurezza definisce queste strategie come tattiche, tecniche e procedure (TTP). Comprendere le TTP più comuni è essenziale per prevenire gli attacchi.
Il rischio legato alla guerra cibernetica non riguarda soltanto la Cina. Cozy Bear, è un esempio di una nota APT russa che ha preso di mira i sistemi governativi statunitensi da oltre un decennio. La violazione a SolarWinds – che ha fatto emergere con forza il tema dei rischi nella catena di fornitura – è stata presumibilmente condotta da Cozy Bear. Le sue TTP si concentrano sull’ottenimento delle credenziali tramite phishing o accessi RDP memorizzati.
Che si tratti di asset vulnerabili, credenziali esposte o tecniche di social engineering, gli attori delle minacce hanno ormai compreso che l’uso dell’intelligenza artificiale può aumentare l’efficacia degli attacchi.
Come le APT utilizzano l’AI
Gli attacchi abilitati dall’intelligenza artificiale hanno il potenziale per essere più adattivi, elusivi e distruttivi rispetto alle generazioni precedenti.
I ricercatori di cybersecurity hanno dimostrato quanto siano efficaci gli attacchi di phishing generati tramite l’IA. Considerando la propensione di Cozy Bear per il social engineering, è allarmante pensare che oggi possa automatizzare l’invio di messaggi altamente personalizzati su larga scala contro enti governativi statunitensi.
In maniera analoga, Volt Typhoon ha dimostrato una particolare predilezione per gli asset vulnerabili. I modelli IA possono essere addestrati per identificare specifiche vulnerabilità o concentrarsi su un singolo target per individuarne i punti deboli.
L’IA può persino eseguire attacchi in modo automatico non appena rileva una vulnerabilità, senza necessità di intervento umano. Inoltre, può generare malware in maniera dinamica, creando codice ad hoc per eludere i sistemi di rilevamento.
E questo, francamente, è solo la punta dell’iceberg. Sappiamo che questi siano gli scenari più ovvi, perché abbiamo cominciato a osservarli.
Anticipare il disastro: shift left
È ora di agire. Le organizzazioni non possono cambiare la natura della minaccia, ma possono decidere come rispondere. Con la maggior parte di loro che continua a rispondere solo ad attacco avvenuto, è fondamentale che i responsabili della cybersecurity spostino i loro programmi “a sinistra dell’esplosione”.
La sicurezza proattiva comincia da una visibilità completa su ambienti IT, OT, IoT, IoMT e cloud. Non si tratta solo di scoprire asset e creare inventari, ma anche di comprenderne le connessioni e verificare se ci sono vulnerabilità per poi dare priorità e intervenire sui rischi.
La buona notizia è che le soluzioni di sicurezza basate sull’IA offrono una serie di funzionalità per contrastare la guerra informatica. Ad esempio, l’analisi comportamentale è una capacità dell’intelligenza artificiale che consente di rilevare deviazioni rispetto ai pattern di comportamento usuale.
Questo è un vero e proprio appello all’azione. Così come i nostri avversari possono automatizzare la scoperta delle vulnerabilità e l’esecuzione degli attacchi, la cybersecurity abilitata dall’IA può identificare le aree cieche, scoprire asset vulnerabili, automatizzare le attività di threat hunting e persino riconfigurare le impostazioni di sicurezza in tempo reale per rispondere alla minaccia prima che causi danni.
di Nadir Izrael, Co-Fondatore e CTO, Armis
