1: L’AI generativa dialogherà con le vittime di phishing
I Large Language Models (LLM) sono destinati a prendere il controllo delle conversazioni tra truffatori e vittime. Le bande di cybercriminali approfitteranno del fatto di non dover più impiegare persone per tradurre i messaggi delle vittime e agire come “centro di assistenza”. Al contrario, l’intelligenza artificiale generativa sarà impiegata per tradurre i messaggi provenienti da lingue non native utilizzate dagli aggressori e per fornire risposte autentiche. Incorporando le informazioni personali accessibili pubblicamente per elaborare truffe incredibilmente realistiche, i gruppi di criminalità informatica organizzata utilizzeranno il phishing-as-a-service che già conosciamo, ma espandendolo sia in scala che in efficienza.
2: La criminalità organizzata sfrutterà l’AI generativa per la contraffazione degli account
Esiste un enorme potenziale nell’impiego degli account falsi creati con l’intelligenza artificiale che contengono post e immagini indistinguibili dai contenuti umani reali. Le strategie di attacco che si originano dall’utilizzo dagli account falsi, tra cui frodi, credential stuffing, diffusione di disinformazione e manipolazione del mercato, potrebbero diventare molto più efficaci, se consideriamo che il costo per ottenere post e immagini dal realismo umano davvero incredibile sarà praticamente nullo.
3: Gli Stati nazionali utilizzeranno l’AI generativa per diffondere disinformazione
Gli strumenti di intelligenza artificiale hanno il potenziale per cambiare radicalmente il modo in cui vengono fatte le operazioni di disinformazione. Possono creare contenuti falsi, generare testi automaticamente per diffondere informazioni errate, condurre campagne mirate di disinformazione e superare le pratiche di moderazione dei contenuti. Abbiamo già notato l’utilizzo su piccola scala di contenuti generati da intelligenza artificiale generativa nei conflitti di oggi a livello globale. Ci aspettiamo che questo fenomeno si estenderà su scala più ampia, anche prima degli eventi di maggior rilievo del 2024, come le elezioni presidenziali negli Stati Uniti e le Olimpiadi a Parigi. Queste preoccupazioni hanno portato aziende come Adobe, Microsoft, la BBC e altre a sviluppare lo standard C2PA, una tecnica per apporre un watermark crittografico all’origine dei media digitali. Sarà interessante vedere se ciò avrà un impatto misurabile nel tempo…
4: L’hacktivismo si rafforzerà grazie all’AI generativa e all’avanzamento generale della tecnologia
Si prevede che l’hacktivismo connesso agli eventi globali di maggior rilievo aumenterà man mano che la potenza di calcolo diventa più accessibile e, soprattutto, facile da utilizzare. Con l’impiego di strumenti di intelligenza artificiale e smartphone e laptop oggi molto potenti, è probabile che anche gli attori meno sofisticati si uniscano alla sfida nello spazio cibernetico in veste di hacktivisti.
Negli ultimi anni, abbiamo visto un aumento delle attività hacktivistiche, con gruppi criminali che esprimevano solidarietà o opposizione durante l’invasione russa dell’Ucraina. Nei conflitti più recenti, si è inizialmente osservato un modesto aumento di queste attività, ma con l’escalation della violenza sui campi di battaglia fisici, gli hacktivisti hanno intensificato gli attacchi, divenendo sempre più distruttivi. I rapporti di intelligence hanno segnalato attacchi di denial-of-service distribuiti, violazioni di dati, defacement di siti web e un evidente impegno nel tentativo di disturbare le infrastrutture critiche.
Con eventi mondiali di rilievo come le Olimpiadi, le elezioni e le guerre in corso nel 2024, gli hacktivisti probabilmente sfrutteranno queste opportunità per ottenere notorietà per il loro gruppo e simpatia per le cause che sostengono. Partecipanti, sponsor e altre organizzazioni potrebbero diventare bersagli, se non vittime, di questi hacktivisti motivati dal punto di vista geopolitico.
5: Attacchi web: input in tempo reale grazie all’AI generativa
Grazie alla straordinaria capacità di generare codice, gli LLM saranno impiegati per orchestrare procedure in tempo reale durante gli attacchi, consentendo agli aggressori di reagire alle difese nel momento in cui le incontrano. Sfruttando le API di sistemi di GenAI aperti come ChatGPT, o sviluppando i propri LLM, gli aggressori potranno integrare in diretta insights e input di un sistema AI durante un attacco a un sito web o a una rete. Se le difese del sito web avversario bloccassero l’attacco per via dei controlli di sicurezza, un sistema di intelligenza artificiale potrebbe essere usato per valutare la situazione e suggerire nuovi approcci d’attacco. Ci aspettiamo che, a nostro svantaggio, gli LLM diversifichino presto le proprie catene di attacco.
6: LLLM (Leaky Large Language Models), ovvero modelli linguistici di grandi dimensioni non affidabili)
Recenti studi hanno evidenziato modi tanto inquietanti quanto semplici con cui è possibile ingannare gli LLM, portandoli a rivelare i loro dati di addestramento, che spesso contengono informazioni personali e proprietarie. La corsa alla creazione di LLM proprietari potrebbe portare a numerosi casi di esposizione dei dati di addestramento, non solo a causa di nuovi attacchi, ma anche a causa di controlli di sicurezza affrettati e configurazioni errate. Ci aspettiamo di assistere a “spettacolari” fallimenti delle tecnologie guidate dalla GenAI, come fughe di dati personali su larga scala, nuove tecniche di accesso non autorizzato e attacchi denial of service. Come nel caso delle violazioni del cloud, l’impatto derivante dagli LLM non affidabili può essere massiccio, data la vasta quantità di dati coinvolta.
7: Vulnerabilità generative
Sempre più sviluppatori, sia esperti che principianti, si affidano all’intelligenza artificiale generativa per la scrittura del codice e la verifica di eventuali bug. Tuttavia, senza adeguate precauzioni, molti prevedono che gli LLM possano generare una vasta quantità di codice vulnerabile, difficile da proteggere. Se da un lato l’Open Source Software rappresenta un rischio, dall’altro offre un vantaggio intrinseco con l’approccio “fix-once”. In caso di scoperta di una vulnerabilità in una libreria OSS, è possibile correggerla una sola volta e poi applicare la correzione a tutti coloro che la utilizzano. Con la generazione del codice GenAI, ogni sviluppatore si troverà con un codice unico e personalizzato.
Gli assistenti alla scrittura del codice generano codice così velocemente che gli sviluppatori potrebbero non avere il tempo di revisionarlo. A seconda del momento in cui è stato addestrato, l’LLM potrebbe non essere nemmeno a conoscenza delle vulnerabilità più recenti, rendendo impossibile per il modello generare codice che eviti tali vulnerabilità o eviti di importare librerie vulnerabili. Nell’era dell’intelligenza artificiale generativa, le organizzazioni che privilegiano la velocità rispetto alla sicurezza introdurranno inevitabilmente nuove vulnerabilità.
8: Attacchi all’edge
Manomissioni fisiche, vulnerabilità software e delle API, e sfide di gestione sono tutti rischi che si accentuano in un contesto edge. Il 75% dei dati aziendali sarà generato ed elaborato al di fuori dei tradizionali confini dei data center o del cloud. Questo nuovo paradigma ridefinisce i limiti organizzativi, poiché i carichi di lavoro dell’edge possono contenere informazioni e privilegi sensibili.
Proprio come nel caso della multi-factor authentication (MFA), gli aggressori concentreranno i loro sforzi dove possono ottenere il massimo impatto nel minor tempo possibile. Se il passaggio all’edge computing viene gestito con la stessa negligenza con cui talvolta viene gestito il cloud computing, è possibile che assisteremo a un numero significativo di incidenti di alto profilo nel corso del prossimo anno.
9: I cybercriminali potenzieranno la loro capacità di scagliare attacchi LOTL (Living-off-the-land)
L’aumento della complessità negli ambienti IT, soprattutto nelle architetture cloud e ibride, renderà sempre più arduo il monitoraggio e il rilevamento degli attacchi LOTL (Living-off-the-land). Gli aggressori stanno sempre più adottando queste tecniche, che sfruttano software di gestione legittimi già presenti nei sistemi delle vittime, per raggiungere i loro obiettivi. In aggiunta, gli attacchi LOTL possono essere integrati negli attacchi alla supply chain per compromettere le infrastrutture critiche e interrompere le operazioni. Se non riusciremo a migliorare la visibilità delle nostre reti, sarà probabile che gli aggressori utilizzino sempre più frequentemente i nostri stessi strumenti contro di noi.
10: Una prospettiva inedita: la matrice della povertà della cybersicurezza
Oggi sembra che le organizzazioni abbiano bisogno di orchestrazione della sicurezza, automazione e risposta agli incidenti (SOAR), soluzioni di Security Information and Event Management (SIEM), strumenti di gestione delle vulnerabilità e servizi di threat intelligence, oltre a programmi come la gestione della configurazione, la risposta agli incidenti, i penetration test e la governance, la conformità e il rischio. Il problema principale è che molte aziende scelgono di consumare queste soluzioni come servizi gestiti, garantendo così l’esperienza necessaria, ma comportando anche dei costi. L’incremento dei costi di ingresso in ciascuna di queste nicchie significa che diventeranno sempre più una scelta “tutto o niente”, e un numero sempre maggiore di organizzazioni si troverà a dover effettuare scelte tra di esse.
In altre parole, l’idea di una semplice “soglia di povertà” non coglie più il compromesso che esiste oggi tra la capacità di concentrarsi su una nicchia e quella di coprire tutte le basi. Al posto di una “soglia di povertà”, avremo una “matrice di povertà” composta da n-dimensioni, dove n è il numero di nicchie, e persino le imprese dotate di buone risorse faranno fatica a metterle insieme.
[1] Un attacco Living off the Land (LotL) si riferisce a un attacco informatico in cui gli intrusi sfruttano software e funzionalità legittimi già presenti nel sistema per compiere azioni dannose.
