Reti aziendali e team di gestione sotto pressione. L’intelligenza artificiale incentrata sulla sicurezza per rilevare le attività anomale, analizzare i rischi, contenere gli attacchi e coordinare le operazioni autonome contro il malware. Approccio multidisciplinare per una strategia di difesa efficace
L’ultimo rapporto CLUSIT sugli attacchi informatici, descrive una situazione veramente preoccupante. Se già il 2021 era stato annoverato come l’anno peggiore, il primo semestre 2022 non solo ne conferma la tendenza, ma ne certifica un notevole aumento, con un +8,3% rispetto allo stesso periodo del 2021, a fronte di un numero mensile di attacchi passato da 171 a 190. Ben il 26% riguarda l’Europa, complice certamente il conflitto in Ucraina. È inquietante rilevare come il 22% degli attacchi sia realizzato con tecniche sconosciute. In altre parole, alle “tecniche tradizionali” si stanno sempre di più affiancando minacce realizzate con algoritmi complessi, ovvero con codice sofisticato – come ci spiega Corrado Giustozzi, membro del consiglio direttivo dell’Associazione Italiana per la Sicurezza Informatica.
Il cybercrime cresce rapidamente in uno scenario di riferimento assai più complesso e articolato. Al di là delle più sofisticate modalità tecniche, anche le modalità operative degli attacchi stanno evolvendo e sono sempre più subdole e micidiali. «Ormai, è prassi comune che un singolo attacco veicoli più di una minaccia contemporaneamente» – spiega Giustozzi. «Il blocco dei sistemi viene preceduto dall’esfiltrazione dei dati, in modo da poter chiedere alla vittima un doppio riscatto, oppure per aumentare la pressione psicologica, minacciando di vendere o divulgare i dati».
COME DIFENDERE LE RETI AZIENDALI
L’aumentata intensità di utilizzo delle applicazioni per la collaborazione, dei dispositivi mobili e della connettività, insieme alla graduale migrazione di applicazioni, carichi di lavoro e dati dal data center aziendale al cloud, evidenziano l’importanza di investire in strumenti di protezione degli endpoint, delle VPN e nell’accelerazione dei processi di identificazione digitale, facendo un passo oltre l’ispezione del traffico di rete e l’autenticazione multi-fattore sinora adottati. Inoltre, quando l’interazione con qualsiasi organizzazione avviene in primo luogo attraverso un front-end digitale – spiega Daniela Rao, senior Research and Consulting director di IDC Italia – «la capacità di un’azienda di garantire e proteggere qualsiasi forma di transazione con i suoi clienti, i suoi dipendenti e qualsiasi altro stakeholder diventa un vantaggio competitivo indispensabile per svilupparsi e crescere». Con il graduale passaggio verso un modello di fruizione delle risorse IT a consumo, anche in Italia è cambiata la sensibilità al rischio. «I servizi gestiti e il cloud hanno cominciato a offrire qualche sicurezza in più rispetto alla localizzazione delle applicazioni di sicurezza on-premise, riscuotendo un discreto successo nelle aree di rischio riconducibili a Insider Threats, DDoS, MITM e BEC, ma l’adozione del cloud rappresenta una nuova e più grande sfida per la rete aziendale e la sicurezza» – commenta Daniela Rao. Per queste ragioni, molte aziende stanno cercando di superare i silos IT e l’approccio funzionale o per soluzioni mirate, incominciando a pensare a nuove architetture in grado di integrare funzioni di identificazione e di rete per mantenere il controllo degli asset aziendali e supportare le attività degli utenti iperconnessi. Entro i prossimi tre anni – secondo le previsioni di IDC – il mercato dei servizi di progettazione, gestione e manutenzione delle reti aziendali, sarà guidato dalla domanda di servizi per l’implementazione di reti in grado di adattarsi al contesto e di offrire una maggiore protezione del patrimonio informativo.
L’Hackmanac Global Cyber Attacks Report ha rilevato 93 attacchi verso infrastrutture critiche della PA in Italia nel periodo 2018-2021. Ma anche nel settore privato, il protrarsi della pandemia ha avuto implicazioni significative – come spiega Mario Manfredoni, country manager Italia di Juniper Networks. «Le reti si sono allargate per includere gli uffici remoti e quest’espansione ha moltiplicato il numero di endpoint obiettivo dei cybercriminali. Da sempre, gli hacker si sono destreggiati tra punti di ingresso circoscritti al data center e agli utenti che lavoravano in un ambiente controllato, ma la pandemia ha aperto loro molte porte». L’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, rileva che il 54% delle grandi imprese ha deciso di rafforzare le iniziative di sensibilizzazione per i dipendenti.
I comportamenti nelle nuove modalità di lavoro ibrido sono fondamentali per meglio identificare rischi e minacce. «Non a caso – sottolinea Manfredoni – gli investimenti previsti dal PNRR in sicurezza puntano proprio a creare una linea di difesa per le infrastrutture della PA e del settore privato». Il mutato scenario geopolitico internazionale aggiunge un ulteriore elemento di instabilità. «Il numero, la frequenza e la pericolosità degli attacchi sono in aumento e le tecniche di attacco si fanno sempre più complesse» – afferma Roberto Marzocca, offering leader cybersecurity di Lutech. «Accanto al malware, sempre saldamente al primo posto, e al DDOS, sono state sviluppate nuove tecniche più sofisticate che possono essere utilizzate in maniera multipla tramite l’innovativo utilizzo di algoritmi di AI». La resilienza globale del nostro Sistema Paese – secondo Marzocca – sta aumentando grazie all’eccellente lavoro svolto dell’Agenzia per la cybersicurezza nazionale. «Il divario tra pubblico e privato si è notevolmente ridotto e andrà ad assottigliarsi ulteriormente grazie anche agli investimenti proposti nel PNRR. Per fronteggiare le nuove minacce e i nuovi rischi occorre essere sempre al passo con competenze e strumenti». Tuttavia, come evidenzia Gastone Nencini, country manager di Trend Micro Italia – i settori più colpiti dai cybercriminali sono quelli della sanità e della pubblica amministrazione. «Il motivo risiede nella criticità delle informazioni sensibili che custodiscono» – spiega Nencini. «Ma fare un confronto pubblico e privato rischia di essere riduttivo. L’ecosistema informatico nel quale siamo tutti immersi, complice ovviamente la remotizzazione di molte attività, si è esteso a dismisura». Le superfici di attacco sono sempre più vaste. I cybercriminali hanno a disposizione molteplici punti di entrata e questo permette di raggiungere realtà sia pubbliche che private in maniera indistinta e sfruttando i punti deboli delle supply chain relative ai fornitori. Il NIS 2 può fornire un esempio. «La direttiva ha esteso le linee guida relative alla security anche alle medie e grandi imprese che possono avere a che fare con il Sistema Paese o che operano in mercati critici. In Italia, l’ampliamento di questa direttiva ha riguardato quasi tutte le grandi aziende produttive, ma in questo modo si è creato un punto debole nel sistema perché gli attacchi cybercriminali si sono così rivolti alla supply chain. coinvolgendo terze parti e fornitori che non sono adeguatamente protetti».
RETI SOTTO PRESSIONE
Nell’ambiente di business digitale iperconnesso, la trasformazione delle architetture di rete, delle tecnologie e delle pratiche di gestione per supportare gli obiettivi aziendali continuerà a essere un imperativo per le aziende e i fornitori di servizi. «Reti pervasive, dinamiche e ad alte prestazioni che collegano l’edge della rete a data center e ambienti cloud sono sempre più complesse e costose. E allo stesso tempo, il modello di business digitale accresce la necessità critica di una connettività sicura sempre e ovunque e di una qualità costante del servizio di rete» – spiega Daniela Rao di IDC Italia. Per le organizzazioni che abbinano risorse limitate e set di competenze a requisiti critici e complessi, progettare e gestire una rete completamente efficiente sta diventando quasi insostenibile. «Pertanto, le reti e i relativi team di gestione sono sottoposti a un’enorme pressione per tenere il passo sia con le esigenze aziendali che con i progressi tecnologici. Nel frattempo, l’espansione dei requisiti di connettività, dei set di strumenti di gestione, delle dipendenze dei servizi e delle minacce alla sicurezza sta complicando la progettazione, l’implementazione e le operazioni dell’infrastruttura di rete sia come dominio IT distinto sia come componente vitale dell’intera infrastruttura digitale».
Soprattutto sul fronte della sicurezza, il tempo è fattore critico. «La velocità di reazione dell’essere umano non è più sufficiente» – spiega Alessandro Berta, manager Systems Engineering – Northern Italy di Fortinet. «Le difese in ambito cyber hanno bisogno della velocità dell’AI. Una piattaforma di cybersecurity mesh altamente integrata e dotata in modo diffuso di tecnologia AI, come Fortinet Security Fabric, permette di velocizzare la detection delle minacce sull’intera superficie di attacco, agendo in modo coordinato e automatizzato per il contenimento e la remediation degli eventuali data breach».
Per Mario Manfredoni di Juniper Networks, le aziende sono costrette a gestire reti diverse e punti di connessione continuamente mutevoli, a seguito della diffusione del lavoro remoto. «Security Access Service Edge (SASE) è la chiave per le strategie di sicurezza per gli ambienti di lavoro ibridi. Attraverso un unico POC cloud sicuro, SASE permette di prevenire le minacce lungo tutto il percorso dei dati, consentendo di riconoscere e organizzare il traffico che ha origine all’esterno della rete e che potrebbe rappresentare una minaccia».
A seguito della migrazione di workload e dati verso il cloud – continua Manfredoni – «le aziende hanno bisogno di un cambio di mindset nella gestione della sicurezza che può avvenire solo con la rimozione del concetto di perimetro e localizzazione del servizio e del dato e un approccio di tipo intent-based o application oriented networking». In questo senso, la mission di Juniper è sviluppare soluzioni che armonizzino un ecosistema complesso, fatto di elementi disgiunti e diversi grazie a un’orchestrazione centralizzata che garantisce una visione end to end. Per rispondere a un aumento consistente, repentino e complesso dei rischi, le organizzazione devono cambiare approccio, passando da una strategia reattiva a una proattiva. Per farlo – spiega Roberto Marzocca di Lutech – è necessario un approccio multidisciplinare in grado di accrescere la consapevolezza del rischio e di organizzare la propria difesa, calandosi nella logica degli attaccanti. Ma come? «Partendo dalla cosiddetta sicurezza predittiva – continua Marzocca – tramite l’utilizzo della cyber threat intelligence e la sicurezza proattiva che, grazie all’utilizzo di tecniche innovative basate sull’utilizzo di AI e machine learning, riesce a scovare le minacce all’interno della propria azienda prima che raggiungano gli obiettivi sensibili prefissati». Un quadro chiaro e definito di regole dal punto di vista normativo rappresenta un requisito indispensabile. «Il Governo italiano – spiega Gastone Nencini di Trend Micro Italia – dovrebbe dare delle linee specifiche in materia di cybersecurity e di utilizzo delle nuove tecnologie per tutte le organizzazioni, piccole o grandi, pubbliche o private. Per proteggere adeguatamente il Sistema è molto importante un coordinamento a livello centrale e un dialogo continuo tra istituzioni, aziende e fornitori di cybersecurity, per far fronte comune ai pericoli cybercriminali in costante aggiornamento e sviluppo». Dal un punto di vista tecnologico, invece è indispensabile – continua Nencini – contare su una piattaforma di cybersecurity che sia in grado di garantire la massima visibilità sull’intera infrastruttura IT in azienda per poter così rispondere immediatamente e in maniera efficace alle minacce che vengono rilevate».
L’INTELLIGENCE GIOCA IN DIFESA
Negli ultimi 12 mesi, secondo i dati di IDC, il 90% delle organizzazioni ha subito attacchi e un terzo ha fatto fronte a violazioni che hanno bloccato l’accesso a dati o sistemi. Per Alessandro Berta di Fortinet, i cybercriminali si stanno avvalendo dell’AI per potenziare una molteplicità di attività malevole. Non solo per automatizzare la fase di ricognizione iniziale – «utilizzando swarmbot, cioè botnet evolute coordinate da un’intelligenza collettiva e decentralizzata». Ma anche – «per creare sofisticate tecniche di elusione degli algoritmi di detection». Altro ambito preoccupante è lo sviluppo dei deepfake – «falsi volti o false voci con una verosimiglianza mai vista finora, pensati per ingannare gli interlocutori».
Arma di difesa ma anche arma di attacco. L’AI è divenuta indispensabile sia per comprendere i comportamenti nell’utilizzo di reti, applicazioni e dati dell’organizzazione, ma anche per definire algoritmi dannosi. «Tramite tali algoritmi viene incrementata la capacità di adattarsi, imparare e migliorare continuamente, in modo da sfuggire ai sistemi di rilevamento tradizionali» – spiega Roberto Marzocca di Lutech. «Tramite l’AI, gli hacker possono predisporre e-mail di phishing sempre più verosimili grazie ad algoritmi che permettono di adattarle automaticamente al contesto aziendale. Oppure, i comportamenti umani possono essere assimilati tramite questa tecnologia per comprendere dove si trovino i dati che servono a un attacco all’interno di una rete aziendale. «In linea con l’attuale periodo storico, un’altra applicazione è quella che utilizza l’intelligenza artificiale per effettuare attacchi più rapidi su più obiettivi contemporaneamente e per analizzare le vulnerabilità dei sistemi critici di un’organizzazione».
Secondo Gastone Nencini di Trend Micro Italia, l’AI può essere utilizzata per svolgere attività di analisi in maniera sempre più efficace anche sul fronte delle attività di prevenzione e difesa dagli attacchi cyber. «Trend Micro raccoglie e mette in correlazione dati su tutti gli incidenti e problematiche legate alla cyber security dal 2005, controllando e certificando questi dati, ed è per questo motivo che possiamo affermare di avere uno dei sistemi di AI tra i più affidabili». Gli algoritmi di AI saranno in grado di analizzare qualsiasi problematica, ma saranno utilizzati anche dai cybercriminali. «In futuro – continua Nencini – vedremo sempre di più attacchi informatici basati su questi algoritmi che raggiungeranno livelli di sofisticazione che non erano immaginabili. Potremmo ipotizzare degli scontri tra AI buone e AI cattive».
L’AI COME ARMA DI DETECTION
I modelli di intelligenza artificiale sono algoritmi matematici addestrati per simulare un processo decisionale umano. Il machine learning e il deep learning sono sottoinsiemi della tecnologia AI. L’apprendimento automatico utilizza tecniche statistiche per dare ai sistemi informatici la capacità di apprendere progressivamente utilizzando i dati. Il deep learning invece è un approccio iterativo all’AI che impila gli algoritmi di machine learning in una gerarchia di crescente complessità e astrazione. «Le piattaforme AI aiutano le organizzazioni a creare, gestire e distribuire modelli di machine learning e deep learning su larga scala» – spiega Daniela Rao di IDC Italia.
«Le piattaforme commerciali di sviluppo di software di intelligenza artificiale e gli strumenti di gestione del ciclo di vita dell’AI vengono sempre più adottati dagli sviluppatori di intelligenza artificiale per garantire sia la gestione che l’integrità dei processi di sviluppo dell’AI». Già da alcuni anni, queste tecniche sono utilizzate per il riconoscimento dei pattern all’interno di sistemi per aumentare la protezione e per identificare attacchi. Tali tecniche si basano sull’analisi di tutte le informazioni sull’utilizzo delle reti, applicazioni e dati a disposizione per definire dei pattern comportamentali da confrontare con le baseline di riferimento. In questo modo – chiarisce Roberto Marzocca di Lutech – è possibile anticipare il rilevamento di una minaccia, identificando un comportamento che differisce da quello che è ritenuto normale e innescando un’azione immediata di verifica». Questo significa non legare l’azione al riconoscimento (signature) di una minaccia ma al suo comportamento.
«È importante ricordare – continua Marzocca – che tali tecniche hanno bisogno di un’azione di tuning iniziale molto rilevante, basata sulle competenze dell’organizzazione e sulla conoscenza dei processi che sono necessari per abbattere il fenomeno dei falsi positivi che potrebbero determinarsi. Non basta, quindi, dotarsi dell’opportuna tecnologia ma occorre conoscere a fondo i processi aziendali e avere le giuste competenze per rendere efficace il sistema di detection delle minacce».
Trend Micro utilizza l’intelligenza artificiale da oltre 13 anni. Avanzati motori di analisi lavorano su file e processi per analizzare ogni caratteristica e fare comparazioni con campioni buoni e malevoli. «Questo sistema – spiega Gastone Nencini di Trend Micro – ci consente di identificare minacce sconosciute e di nuova generazione definite “0 days”, impossibili da intercettare con una analisi statica. Il meccanismo può essere utilizzato per la difesa di un computer, così come per la verifica dello spam e delle e-mail BEC. Questa tipologia di algoritmo è in grado di analizzare le modalità di scrittura della e-mail in modo tale da determinare se questa è stata scritta dal mittente reale o da un’altra persona».
TRE LIVELLI DI EVOLUZIONE
L’intelligenza artificiale è una tecnologia sofisticata che richiederà tempo e risorse per evolversi. La sua evoluzione nella protezione dei dati si può suddividere in tre livelli – come ci spiega Daniela di IDC Italia. Il primo livello prevede il rilevamento delle anomalie, come per esempio nel caso di un picco nell’attività di Input/Output, che può essere un indicatore dell’attività di crittografia, oppure nel caso di alti tassi di cambiamento nell’attività di backup che potrebbero essere un altro indicatore dell’attività di crittografia o di codifica dei dati all’interno dei file. Tuttavia, queste implementazioni potrebbero non qualificarsi veramente come AI, in quanto tale attività può essere rilevata dal software di monitoraggio e avviso. Le capacità di intelligenza artificiale entrano in gioco quando il sistema è in grado di rilevare attività insolite utilizzando correlazioni di attività apparentemente non correlate. Nel secondo livello, troviamo le funzionalità AI più avanzate, come per esempio l’integrazione di fonti esterne di dati (per consentire al sistema di intelligenza artificiale di identificare le minacce non appena entrano o bloccare i sistemi in modo appropriato per evitare l’infiltrazione), l’analisi dei rischi (in modo da rilevare i rischi emergenti, come le modifiche alle politiche di gestione dei dati, le copie dei dati e simili che possono indicare malware) e il contenimento degli attacchi (per poter prevedere quali sistemi saranno interessati ad attacchi e automatizzare la quarantena). Con il terzo livello, arriviamo al funzionamento autonomo, in cui si implementerà un coordinamento uomo-macchina per operazioni autonome contro il malware.
Un elemento base di difesa attiva è la tecnologia di deception (honeypot) che permette di rilevare l’attività degli attaccanti nelle prime fasi della kill chain. «Un approccio ancora più proattivo – spiega Alessandro Berta di Fortinet – può essere fornito dalle soluzioni di digital risk protection come FortiRecon, mediante le quali analisti esperti attuano un monitoraggio continuo dei forum nel Dark Web in cerca di informazioni, in relazione all’organizzazione da proteggere, su attacchi imminenti o messa in vendita di dati esfiltrati illegalmente».
Secondo Roberto Marzocca di Lutech, l’identificazione predittiva di una minaccia rappresenta il fattore determinante per il suo contrasto. «L’attività di intelligence – continua Marzocca – è quel processo di azioni di raccolta e analisi di dati provenienti da varie sorgenti eterogenee, per determinare le capacità e le intenzioni dei potenziali attaccanti e finalizzato all’identificazione di minacce latenti». Questa mole di dati per essere trasformata in informazioni e quindi utilizzata per la prevenzione deve essere accompagnata dall’uso di algoritmi capaci di contestualizzare i comportamenti attesi in modo che l’azione di intelligence sia la più mirata possibile. «Anche in questo caso, i più moderni algoritmi di analisi euristica e comportamentale ci vengono incontro per realizzare un sistema di difesa moderno e proattivo. L’approccio multidisciplinare è sempre più determinante per la realizzazione di una strategia cybersecurity efficace e proattiva. Lutech ha una pluridecennale esperienza nella realizzazione di progetti di digital transformation con un consolidato e diffuso utilizzo di tecniche e di algoritmi di AI e Machine Learning nei propri progetti. «Tale esperienza – afferma Marzocca – si fonde con le competenze su processi, soluzioni e servizi di cybersecurity e consente a Lutech di essere uno dei principali player italiani a cui affidarsi per la realizzazione di un sistema di difesa proattivo moderno e integrato».
Anche il centro ricerca Trend Micro svolge quotidianamente attività di intelligence, grazie al contributo di molti ricercatori che lavorano a stretto contatto con il cybercrime, anche infiltrandosi nel Deep Web per scoprire le nuove minacce e contrastarle. Trend Micro collabora anche con le forze di polizia di tutto il mondo e svolge operazioni che hanno già messo fine alla carriera di celebri gruppi cybercriminali. In particolare, si distinguono le collaborazioni con FBI, Europol e Interpol. Inoltre, Trend Micro ha anche un programma indipendente di scoperta delle vulnerabilità, la Zero Day Initiative, che premia gli scopritori di vulnerabilità e che permette di elaborare patch di protezione con maggior velocità.
CONCLUSIONI
È indubbio che, nel mondo della cybersecurity, le differenze tra attaccanti e difensori siano drammaticamente ampie. Sia perché chi difende non sa quando verrà attaccato e sia perché chi attacca lo fa senza alcun scrupolo né coscienza, usando tutte le armi possibili, anche “non convenzionali”. Spesso, inoltre, è anche più preparato, perché è oramai un mito romantico immaginare il cybercriminale come il giovane nerd che quasi lo fa per gioco. No, purtroppo siamo di fronte a vere e proprie organizzazioni criminali ottimamente strutturate e spalleggiate – se non addirittura inquadrate – dai rispettivi governi. Quindi siamo di fronte aduna vera e propria “asimmetria gestionale e tecnologica” che difficilmente si può colmare con investimenti di tipo tradizionale. Forse, allora, una speranza viene proprio da quelle tecnologie innovative come l’intelligenza artificiale. Bisogna però fare presto, prima che le stesse siano solo un’ulteriore arma in mano ai “cattivi”.