l cyber crimine si evolve a un ritmo inquietante ed è passato in pochi anni dall’essere un fenomeno emergente a rappresentare un mercato globale di servizi professionali di attività cyber criminali.
Oggi, le tensioni geopolitiche si riflettono sempre di più sul cyber spazio; una tendenza apparsa evidente fin dalla scoperta di Stuxnet nel 2010, l’attacco informatico contro le strutture nucleari iraniane attribuito agli Stati Uniti e a Israele, che ha rappresentato un cambiamento di paradigma nella protezione delle infrastrutture nazionali critiche nei conflitti tra le diverse Nazioni. Da allora, la natura della guerra cyber è cambiata radicalmente e i governi hanno progressivamente aumentato le risorse destinate allo sviluppo delle armi informatiche avanzate con l’obiettivo di spodestare gli avversari sulla scena internazionale.
Ma cosa succede quando gli interessi della criminalità informatica e quelli dei governi vengono in contatto? Alla recente conferenza RSA di San Francisco, l’ex membro della National Security Agency Patrick Wardle ha evidenziato un allarmante progresso: gli hacker, a volte limitati dalla mancanza di competenze e risorse, stanno oggi raccogliendo e riciclando i malware sviluppati dagli Stati stessi.
Mostrando al pubblico come il malware potesse essere utilizzato contro un Apple Mac, Wardle ha provato che la riprogettazione degli strumenti di attacco avviene in modo rapido e semplice, dimostrando così come migliaia di cyber criminali possano fare altrettanto con armi informatiche avanzate, persino più sviluppate di quelle create dai vari Stati, sfruttando in questo modo proprio gli investimenti effettuati da tali Governi nelle armi cyber.
La creazione da zero di nuovi strumenti di attacco richiede molto tempo, denaro e risorse – perché quindi gli hacker non dovrebbero usare le loro competenze tecniche per riciclare semplicemente il meglio di ciò che già esiste? Soprattutto quando questo contribuisce a rendere l’attribuzione del crimine molto più impegnativa, fornendo ai cyber criminali l’anonimato che desiderano.
Contemporaneamente, dal punto di vista dei costi, la barriera di ingresso per l’acquisto di strumenti di cyber attacco di tipo militare si è notevolmente abbassata e di conseguenza i danni, anche fisici, che potrebbero derivarne sono sempre più elevati e diffusi.
Le vulnerabilità introdotte dalla convergenza dei sistemi IT e della tecnologia operativa (OT), ad esempio, sono già evidenti, come hanno dimostrato gli attacchi ransomware WannaCry, iniziati nelle reti aziendali e delle organizzazioni sanitarie ma propagatisi rapidamente negli impianti industriali in Europa e in Asia, causando significativi downtime.
Tale propagazione da un ambiente all’altro sarà sempre maggiore man mano che gli aggressori sceglieranno di utilizzare sempre più strumenti sponsorizzati dai vari Governi senza avere l’intelligenza specifica per testarli o implementarli, causando in questo modo conseguenze indesiderate e danni collaterali nello spazio OT, che renderanno l’infrastruttura più a rischio che mai.
Se pensiamo anche come presto l’IA stessa sarà utilizzata come arma dai Governi per scoprire e progettare nuovi metodi di attacco, preoccupa la considerazione che questi strumenti sempre più sofisticati possano uscire dai laboratori governativi e finire nelle mani dei criminali.
Sono quindi gli stessi progressi nella corsa agli armamenti informatici a far sì che anche il livello delle minacce si evolva, superando gli strumenti di sicurezza tradizionali e spingendo le organizzazioni ad adattarsi il prima possibile o, in caso contrario, a scomparire. Se i cyber criminali si dotano delle stesse capacità degli Stati, saranno le organizzazioni a dover intensificare le proprie operazioni per tenere il passo. Da questo punto di vista, è stato lo stesso Wardle durante il suo intervento a chiarire che le difese “signature-based” non avranno alcuna possibilità di successo contro strumenti di attacco riconvertiti, perché quando viene riciclato il malware può essere facilmente modificato in modo tale da eludere i radar di questi strumenti tradizionali.
Un aspetto preoccupante è proprio come il cyber crimine si stia innovando molto più velocemente di quanto non faccia l’industria della sicurezza. Chi produce antivirus non è in grado di creare nuove firme con la stessa rapidità con cui si sviluppano le nuove varianti dei malware e, con l’avvento di sistemi digitali sempre più complessi, i tentativi di creare regole che prevedano come un dipendente utilizzerà un particolare sistema e come i dati interni dovranno fluire sono diventati inefficaci.
La sicurezza informatica necessaria oggi, e indispensabile domani, è caratterizzata da un approccio agnostico alle minacce, in grado di interrompere gli attacchi senza bisogno di definire il tipo di attacco.
Cercare di predire come saranno gli attacchi non è più sufficiente, farlo con certezza risulta impossibile.
Ciò di cui le organizzazioni hanno bisogno è una comprensione in tempo reale di come si presenta il comportamento “normale” delle proprie attività digitali. Con una comprensione “comportamentale” dei loro sistemi, le organizzazioni possono monitorare costantemente le minacce emergenti e contrastare gli attacchi più sofisticati, anche quando il malware è stato nel frattempo modificato.
Davanti a un accesso sempre più semplice a strumenti di attacco iper sofisticati, molte aziende nel mondo hanno già compreso come non si possa più fare solo affidamento sugli esseri umani in quella che è diventata ormai una lotta tra macchine. Il futuro dei team di sicurezza è ibrido.
Saranno le difese abilitate dall’IA, infatti, a permettere a queste organizzazioni di comprendere l’insieme complesso delle attività “normali” in tutto il loro patrimonio digitale, migliorando le indagini sulle minacce e individuando gli schemi all’interno della complessa trama delle reti, che gli strumenti convenzionali non rivelerebbero, oltre ad aiutarle a far rispettare autonomamente i percorsi corretti, rispondendo tempestivamente alle possibili deviazioni mentre emergono.
Particolarmente cruciale in questo caso è il machine learning non supervisionato, perché, piuttosto che affidarsi a modelli del passato o a set di dati potenzialmente distorti, gli algoritmi di apprendimento non supervisionati analizzano le informazioni in tempo reale per trovare anomalie, senza categorie o etichette fisse. Libero dalle catene dei dati storici degli attacchi, il machine learning non supervisionato può analizzare una quantità enorme di dati in tempo reale e ad altissima velocità, svelando modelli e anomalie che passano inosservati all’occhio umano e alle difese tradizionali.
L’autoapprendimento alla sicurezza – libero dalla necessità di definire la minaccia o anche solo comprenderne chi possa essere l’autore – renderà possibile allontanarsi da un approccio centrato solo verso l’esterno, volto solo a chiedersi come sarà il prossimo attacco, per riportare invece l’attenzione sul proprio spazio e chiedersi quale aspetto abbia il mondo digitale della propria organizzazione.
Credo sia così e che, armate di questa nuova consapevolezza, le organizzazioni saranno in grado di affrontare meglio le prossime fasi della corsa alla cyber difesa. Con l’utilizzo dell’IA da parte degli aggressori, i sistemi di sicurezza basati su di essa, capaci di prendere decisioni alla velocità delle macchine basandosi su dati in tempo reale, diventeranno ancora più cruciali.
In conclusione, appare evidente come i progressi nelle strategie di attacco debbano essere affrontati compiendo gli stessi progressi nella difesa: a volte la sensazione purtroppo è che la situazione stia sfuggendo dalle nostre mani, ma credo che l’Intelligenza Artificiale saprà ancora una volta rimescolare le carte in tavola, riconsegnando a chi si occupa di cyber difesa la possibilità di essere più innovativi dei criminali.
A cura di Marcus Fowler, Director of Strategic Threat di Darktrace
