La posta elettronica rimane il principale vettore di attacco: il 75% delle aziende in EMEA ha subìto almeno un attacco riuscito tramite questo canale nell’ultimo anno, secondo Proofpoint, azienda specializzata nella cybersecurity e nella compliance.
In Europa, il rigore normativo è inasprito dalla complessità operativa. Le minacce email sono più specifiche, sofisticate e difficili da rilevare, motivo per cui la posta in gioco è più elevata.
“Dagli attacchi di phishing, alla compromissione delle email aziendali (BEC), fino alla personificazione dei fornitori, il rapporto segnale/rumore non fa che peggiorare”, afferma Kevin Leusing, Chief Technology Officer di Proofpoint. “In questo contesto, gli approcci tradizionali alla protezione delle email, basati su regole statiche, firme o tattiche di sandboxing, non sono in grado di far fronte agli attacchi polimorfici e di ingegneria sociale altamente avanzati di oggi”.
Come proteggere le email dagli attacchi?
Questi limiti della sicurezza tradizionale si traducono in un elevato numero di falsi positivi e negativi, una mancanza di contesto sul comportamento dell’utente o sull’identità del mittente dell’email e un atteggiamento reattivo che rileva le minacce dopo che la compromissione si è verificata. Il risultato? Attacchi non rilevati, utenti frustrati e aziende esposte.
Per migliorare questo approccio oggi è necessario fare affidamento sull’intelligenza artificiale come fattore di difesa fondamentale: il 61% dei CISO in EMEA utilizza funzionalità basate su AI per proteggere le proprie organizzazioni dall’errore umano e da cyber minacce avanzate incentrate sull’individuo.
“Tuttavia, dato l’attuale panorama di attacchi sofisticati, non si tratta affatto di una soluzione risolutiva,” continua Kevin Leusing. “È essenziale che i CISO comprendano come l’AI venga applicata al rilevamento delle minacce via email e quali siano i suoi limiti, al fine di creare una strategia di cyber difesa resiliente”.
AI: da minaccia ad arma di difesa
L’intelligenza artificiale è spesso utilizzata in modo intercambiabile con il machine learning e può essere suddivisa come segue: ML supervisionato, che addestra modelli su minacce note rispetto a email legittime; ML non supervisionato, che rileva anomalie nel comportamento senza etichette predefinite; elaborazione del linguaggio naturale per analizzare tono, intento e struttura dei messaggi; e AI comportamentale, che apprende i modelli di comunicazione di utenti e mittenti per rilevare deviazioni. Insieme, queste tecnologie possono creare un profilo di rischio multidimensionale per ciascun messaggio email, basato non solo sul contenuto o sugli allegati, ma anche sulla cronologia del mittente, sulle tattiche di impersonificazione, sul contesto e sull’intento percepito.
Allo stesso modo, però, anche i criminali informatici stanno integrando gli strumenti di intelligenza artificiale generativa, che stanno diventando sempre più accessibili, per creare truffe di phishing e impersonificazioni personalizzate, tra le altre cose, senza che la lingua o la cultura dei loro obiettivi costituiscano un deterrente.
“Ci troviamo di fronte a un panorama complesso in EMEA, poiché si tratta di una regione che ospita un insieme di aziende manifatturiere globali, istituzioni finanziarie e servizi altamente affidabili e tutti rappresentano target molto interessanti per gli attacchi di ingegneria sociale tramite email. A ciò si aggiungono altre circostanze, come un contesto normativo particolarmente complesso, nel quale il GDPR e i requisiti di cybersecurity richiedono elevata precisione e sovranità dei dati; sfumature linguistiche diverse dall’inglese, che pongono sfide nell’elaborazione del linguaggio naturale e altre sfide legate alla rete di fornitori, poiché l’elevata interconnettività rende più dannosa la compromissione della supply chain”, spiega ancora Kevin Leusing.
Rilevamento delle minacce via email: caratteristiche principali
Per quanto riguarda la protezione, è importante tenere presente che non tutte le AI sono uguali, e ognuna presenta caratteristiche differenti. Un rilevamento efficace delle minacce via email deve soddisfare i seguenti requisiti:
- Accuratezza e comprensibilità: è necessario fidarsi dei rilevamenti, quindi, il sistema deve spiegare cosa rende un messaggio pericoloso e non solo sospetto.
- Apprendimento continuo: poiché sempre più criminali informatici ricorrono ad attacchi generati dall’AI, i modelli difensivi che utilizzano questa tecnologia devono evolversi in tempo reale, in base alle nuove campagne e al riscontro degli utenti, senza la necessità di continui aggiustamenti manuali.
- Adattamento linguistico e regionale: gli strumenti di AI devono rilevare la manipolazione linguistica nei tentativi di phishing multilingue.
- Integrazione con la percezione umana: l’AI integra, ma non può sostituire, l’analisi umana.
L’ultimo passaggio consiste nel proteggere le persone colpite degli attacchi email. Applicata correttamente, l’AI può trasformare la sicurezza della posta elettronica fornendo numerosi vantaggi, tra cui ad esempio, isolare i messaggi pericolosi prima che raggiungano l’utente, fornire avvisi in tempo reale sui potenziali tentativi di impersonificazione, formare le persone sulla sicurezza basandosi su minacce reali e rimuovere le email dannose dopo la consegna.
“In particolar modo in EMEA, dove gli attaccanti sfruttano un mix di fiducia, lingua e processi, l’AI deve essere comprensibile, adattabile e profondamente contestuale. In Proofpoint non crediamo nell’AI fine a sé stessa, ma nel proteggere le persone attraverso un’intelligenza artificiale più avanzata, trasparente e incentrata sulla persona”, conclude Kevin Leusing.
