Nuove tecniche di Artificial Intelligence Fuzzing e machine learning poisoning permetteranno di scoprire nuove vulnerabilità di software e reti
Fortinet ha annunciato le previsioni del team FortiGuard Labs sul panorama delle minacce per il 2019 e oltre. Si tratta dei metodi e delle tecniche impiegate dai cybercriminali previste dai ricercatori Fortinet, insieme a importanti cambiamenti di strategia che aiuteranno le organizzazioni a difendersi dall’arrivo di questi attacchi nel prossimo futuro. Di seguito i punti salienti del report:
Attacchi informatici sempre più smart e sofisticati
Molte organizzazioni criminali valutano le tecniche di attacco non solo in termini di efficacia, ma anche rispetto al lavoro necessario per svilupparle, modificarle e implementarle. Di conseguenza, molte delle loro strategie di attacco possono essere interrotte considerando il modello economico impiegato dai criminali informatici. Cambiamenti strategici a persone, processi e tecnologie possono costringere alcune organizzazioni criminali a ripensare il valore finanziario che deriva dal prendere di mira determinate organizzazioni. Un modo in cui le organizzazioni fanno ciò è attraverso l’adozione di nuove tecnologie e strategie come il machine learning e l’automazione per intraprendere attività ripetitive e che richiedono molto tempo, e che normalmente necessitano di un alto grado di supervisione e intervento umano. Queste nuove strategie difensive avranno probabilmente un impatto sulle strategie dei criminali informatici, inducendoli a spostare i propri metodi di attacco e ad accelerare gli sforzi di sviluppo. Nel tentativo di adattarsi al maggior utilizzo di machine learning e automazione, si prevede che la comunità dei criminali informatici adotterà probabilmente le seguenti strategie, che l’industria della sicurezza informatica nel suo complesso dovrà seguire da vicino:
- Artificial Intelligence Fuzzing (AIF) e vulnerabilità: il fuzzing è tradizionalmente una tecnica sofisticata utilizzata in ambienti di laboratorio da ricercatori specializzati in minacce per scoprire vulnerabilità in interfacce e applicazioni hardware e software, iniettando dati non validi, inaspettati o semi-casuali in un’interfaccia o un programma e monitorando eventi come crash, buchi non documentati alle routine di debug, codici di errore e potenziali perdite di memoria. Storicamente, questa tecnica è stata limitata a una manciata di ingegneri altamente qualificati che lavorano in ambienti di laboratorio. Tuttavia, poiché i modelli di machine learning sono applicati a questo processo, si prevede che questa tecnica diventerà non solo più efficiente e su misura, ma disponibile a una più ampia categoria di individui meno tecnici. Man mano che i criminali informatici iniziano a sfruttare il machine learning per sviluppare programmi di fuzzing automatizzati, saranno in grado di accelerare il processo di scoperta delle vulnerabilità zero-day, che porteranno a un aumento degli attacchi zero-day rivolti a diversi programmi e piattaforme.
- Utilizzo di AIF per attacchi Zero-Day: Una volta che l’AIF è a posto, può essere indirizzato a un codice all’interno di un ambiente controllato per estrarre gli exploit zero-day. Ciò accelererà in modo significativo la velocità con cui vengono sviluppati gli exploit zero-day. Una volta avviato questo processo, verrà abilitata l’estrazione zero-day as-a-service, creando attacchi personalizzati per obiettivi individuali. Questo cambierà drasticamente il modo in cui le organizzazioni devono approcciare la sicurezza poiché non ci sarà modo di prevedere dove appariranno questi zero-day, né come difendersi adeguatamente. Ciò sarà particolarmente difficile laddove si utilizzano strumenti di sicurezza isolati o di legacy che molte organizzazioni oggi hanno implementato nelle proprie reti.
- Il “prezzo” degli Zero-Day: storicamente, il prezzo degli exploit zero-day è stato piuttosto alto, principalmente a causa del tempo, degli sforzi e delle abilità richieste per scoprirli. Ma man mano che la tecnologia AI viene applicata, nel tempo tali exploit passeranno dall’essere estremamente rari a diventare una commodity. Abbiamo già assistito alla mercificazione di exploit più tradizionali, come il ransomware e le botnet, e i risultati hanno spinto al limite molte delle tradizionali soluzioni di sicurezza. L’accelerazione nel numero e nella varietà delle vulnerabilità e degli exploit disponibili, inclusa la capacità di produrre rapidamente exploit zero-day e fornirli as-a-service, potrebbe inoltre avere un impatto radicale sui tipi e sui costi dei servizi disponibili sul dark web.
- Swarm-as-a-Service: i progressi significativi negli attacchi sofisticati basati sulla tecnologia di intelligence swarm-based ci sta avvicinando a una realtà di botnet basate su swarm nota come “hivenets”. Questa generazione emergente di minacce verrà utilizzata per creare grandi “sciami” di bot intelligenti in grado di operare in modo collaborativo e autonomo. Queste reti swarm non solo alzeranno gli standard in termini di tecnologie necessarie per difendere le organizzazioni, ma come il mining zero-day, avranno inoltre un impatto sul modello di business cybercriminale sottostante. In definitiva, con l’evolversi delle tecnologie di exploit e delle metodologie di attacco, il loro impatto più significativo sarà sui modelli di business impiegati dalla comunità dei criminali informatici.
Attualmente, l’ecosistema criminale è in larga parte guidato dalle persone. Alcuni hacker professionisti “a noleggio” costruiscono exploit personalizzati a pagamento, e anche i nuovi progressi come il Ransomware-as-a-Service richiedono ingegneri black hat per far fronte a diverse risorse, come la costruzione e il testing degli exploit e la gestione dei server back-end C2. Ma nel produrre swarm as-a-service autonomi con auto-apprendimento, l’interazione diretta tra un cliente hacker e un imprenditore black hat diminuirà drasticamente.
- Menu a scelta di swarm: La capacità di suddividere e differenziare uno swarm in compiti diversi per ottenere un risultato desiderato è molto simile al modo in cui il mondo si è mosso verso la virtualizzazione. In una rete virtualizzata, le risorse possono accelerare o rallentare le VM basandosi interamente sulla necessità di affrontare problemi particolari come la larghezza di banda. Allo stesso modo, le risorse in una rete swarm potrebbero essere allocate o riallocate per affrontare le sfide specifiche incontrate in una catena di attacco. Uno swarm che gli imprenditori criminali hanno già preprogrammato con una gamma di strumenti di analisi ed exploit, combinato con i protocolli di autoapprendimento che consentono loro di lavorare come gruppo per perfezionare i loro protocolli di attacco, rende l’acquisto di un attacco per i criminali informatici semplice come scegliere da un menu alla carta.
- Poisoning di machine learning: il machine learning è uno degli strumenti più promettenti nel toolkit per la sicurezza difensiva. I dispositivi e i sistemi di sicurezza possono essere addestrati per eseguire autonomamente compiti specifici, come i comportamenti di base, l’applicazione di analisi comportamentali per identificare minacce sofisticate o dispositivi di tracciamento e patching. Sfortunatamente, questo processo può essere sfruttato anche dai cyber-avversari. Prendendo di mira il processo di apprendimento automatico, i criminali informatici saranno in grado di addestrare dispositivi o sistemi per non applicare patch o aggiornamenti a un particolare dispositivo, ignorare specifici tipi di applicazioni o comportamenti o non registrare traffico specifico per eludere il rilevamento. Ciò avrà un importante impatto evolutivo sul futuro del machine learning e della tecnologia AI.
Le difese diventeranno più sofisticate
Per contrastare questi sviluppi, le organizzazioni avranno bisogno di continuare ad alzare gli standard per i criminali informatici. Ognuna delle seguenti strategie difensive avrà un impatto sulle organizzazioni criminali informatiche, costringendole a cambiare tattica, modificare gli attacchi e sviluppare nuovi modi per valutare le opportunità. Il costo del lancio dei loro attacchi aumenterà, richiedendo agli sviluppatori criminali di spendere più risorse per lo stesso risultato o trovare una rete più accessibile da sfruttare.
- Tattiche di inganno avanzate: l’integrazione delle tecniche di inganno nelle strategie di sicurezza per introdurre variazioni di rete basate su false informazioni costringerà gli aggressori a convalidare continuamente la loro intelligence delle minacce, impiegare tempo e risorse per rilevare falsi positivi e garantire che le risorse di rete che possono vedere siano effettivamente autentiche. E poiché qualsiasi attacco a false risorse di rete può essere immediatamente rilevato, innescando automaticamente contromisure, gli aggressori dovranno essere estremamente cauti nell’eseguire anche tattiche di base come sondare la rete.
- Unified Open Collaboration: uno dei modi più semplici per un criminale informatico per massimizzare gli investimenti in un attacco esistente e possibilmente eludere il rilevamento consiste semplicemente nell’apportare un piccolo cambiamento, anche qualcosa di basilare come cambiare un indirizzo IP. Un modo efficace per tenere il passo con tali cambiamenti è la condivisione attiva delle informazioni sulle minacce. La threat intelligence continuamente aggiornata consente ai vendor di sicurezza e ai loro clienti di rimanere al passo con il più recente panorama di minacce. Gli sforzi di open collaboration tra le organizzazioni di ricerca sulle minacce, le alleanze di settore, i vendor di sicurezza e le forze dell’ordine ridurranno significativamente il tempo per rilevare nuove minacce esponendo e condividendo le tattiche utilizzate dai criminali. Invece di essere solo reattivi, tuttavia, l’applicazione dell’analisi comportamentale a feed di dati in tempo reale attraverso una open collaboration consentirà ai difensori di prevedere il comportamento del malware, aggirando così il modello attuale utilizzato dai criminali informatici per sfruttare ripetutamente il malware esistente apportando piccole modifiche.
Velocità, integrazione e automazione fondamentali per la sicurezza informatica
Non esiste una strategia di difesa futura che includa l’automazione o il machine learning senza un mezzo per raccogliere, elaborare e agire sulle informazioni sulle minacce in modo integrato per produrre una risposta intelligente. Per far fronte alla crescente sofisticazione delle minacce, le organizzazioni devono integrare tutti gli elementi di sicurezza in un tessuto di sicurezza per trovare e rispondere alle minacce in maniera rapida e su scala. L’intelligence avanzata sulle minacce correlata e condivisa tra tutti gli elementi di sicurezza deve essere automatizzata per ridurre le finestre di rilevamento necessarie e fornire una soluzione rapida. L’integrazione dei singoli prodotti attraverso la rete distribuita, combinata alla segmentazione strategica, contribuirà in modo significativo a combattere la natura sempre più intelligente e automatizzata degli attacchi.
“Stiamo assistendo a significativi progressi negli strumenti e nei servizi informatici che sfruttano l’automazione e i precursori dell’AI. Le organizzazioni devono ripensare la propria strategia per anticipare meglio le minacce e contrastare le motivazioni economiche costringendo i cybercriminali a rimettersi a tavolino. Piuttosto che impegnarsi in una perpetua corsa agli armamenti, le organizzazioni devono abbracciare l’automazione e l’intelligenza artificiale per ridurre le finestre tra l’intrusione e il rilevamento, e tra rilevamento e il contenimento. Questo si può ottenere integrando elementi di protezione in una struttura di sicurezza coesiva che condivide dinamicamente le informazioni sulle minacce per un’ampia protezione e visibilità su tutti i segmenti di rete, dall’IoT al multi-cloud.” ha dichiarato Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet.