- Le relazioni tra uomo e IA miglioreranno grazie all’Explainability
Max Heinemeyer, Director of Threat Hunting
Per quasi un decennio i professionisti della sicurezza hanno applicato l’IA nella difesa contro gli attacchi informatici, dal rilevamento delle minacce alle micro-decisioni autonome per rispondere agli attacchi alla velocità di macchina. In futuro, tuttavia, i progressi nell’ambito della sicurezza informatica potrebbero non essere legati solo a questi algoritmi matematici avanzati. Nel 2022, infatti, l’innovazione sarà generata attraverso l’eXplainabile AI, l’Intelligenza Artificiale spiegabile (XAI), ovvero dotata della capacità di spiegare la logica delle decisioni, caratterizzare i punti di forza e debolezza del processo decisionale, e fornire indicazioni sul loro comportamento futuro.
I processi e i criteri che permettono agli utenti di comprendere e affidarsi ai risultati degli output generati dai metodi di apprendimento automatico saranno sempre più centrali per i Security Operations Center di tutto il mondo. Infatti, l’attenzione sarà rivolta maggiormente alle tempistiche di comprensione piuttosto che semplicemente su quelle necessarie ad avviare uno stato di allerta, il che farà progredire anche le modalità di valutazione dell’efficacia dei team di sicurezza. La maggiore attenzione alla XAI porterà infatti a una maggiore consapevolezza in netto contrasto con il concetto di “black box “, poiché gli esperti di sicurezza saranno pronti a capire e valutare potenziali pregiudizi e ripercussioni di quanto previsto dall’AI.
Un esempio è l’utilizzo dell’elaborazione del linguaggio naturale (NLP) per spiegare le ipotesi dietro un attacco informatico, le indagine eseguite dall’IA, i risultati raggiunti, le azioni raccomandate da intraprendere – e anche come evitare che l’attacco si ripeta.
- Ransomware: sempre di più e sempre più evoluti
Marcus Fowler, Director of Strategic Threat
Parallelamente alla pandemia globale, abbiamo assistito a una crescente diffusione di ransomware. I nostri ricercatori hanno scoperto che negli Stati Uniti il numero di attacchi alle organizzazioni è triplicato nel 2021 rispetto al 2020, e in UK è raddoppiato.
Questa emergenza ransomware ha fatto sì che 30 nazioni si riunissero per discutere un’iniziativa di difesa informatica incentrata sulla regolamentazione delle criptovalute, la resilienza della sicurezza, l’eliminazione degli attacchi e la diplomazia informatica internazionale. Nonostante gli sforzi dal punto di vista politico e le crescenti pressioni dei governi che perseguono penalmente le gang di cybercriminali e costringono i gruppi di ransomware a sciogliersi, questi continueranno a ripresentarsi sotto nuovi nomi e con tecniche e capacità ancora più sofisticate.
Se lasciamo che il ransomware si diffonda, nel prossimo anno gli aggressori probabilmente evolveranno le loro tecniche prendendo di mira i provider di servizi cloud e quelli di backup e archiviazione. Arriverà un momento in cui questo non sarà più visto come un semplice “inconveniente” informatico. Le organizzazioni che si occupano di infrastrutture critiche, al pari delle altre aziende, continueranno a valutare in quanto tempo possano ripristinare le operazioni in seguito a un attacco e in che misura facciano affidamento sulle assicurazioni per coprire il riscatto e i costosi ripristini dei sistemi.
Se giocare in difesa contro il ransomware non è più sostenibile, qual è la risposta? Alla fine le organizzazioni dovranno dotarsi di sistemi in grado di resistere ai cyber-attacchi. Pe questo, avranno bisogno di software di sicurezza che imparino, siano in grado di prendere micro-decisioni, e diano risposte per rilevare e fermare gli attacchi prima che avvenga l’esfiltrazione o la crittografia dei dati.
- Gli attacchi alla catena di approvvigionamento del software diventeranno saranno all’ordine del giorno
Justin Fier, Director of Cyber Intelligence and Analytics
La nostra ricerca ha scoperto che il settore più colpito nel 2021 è stato quello dell’ICT, mentre nel 2020 era stato quello finanziario. Un cambiamento che non soprende, considerati gli attacchi di alto profilo alla catena di approvvigionamento del software contro SolarWinds nel dicembre 2020, contro Kaseya e GitLab nel corso del 2021, e più recentemente l’emergere della vulnerabilità ‘Log4Shell’ incorporata in una comune software library o utility, lasciando miliardi di dispositivi esposti.
I cybercriminali considerano le infrastrutture software, le piattaforme e i fornitori come vettori di ingresso all’interno di governi, aziende e infrastrutture critiche. Incorporeranno software maligni in tutta la supply chain del software, compreso il codice sorgente proprietario, i repository degli sviluppatori, le librerie open-source e altro ancora. Probabilmente vedremo diffondersi un maggior numero di attacchi alla supply chain contro le piattaforme software.
Parallelamente, aumenteranno anche gli attacchi scagliati via e-mail per dirottare la catena di comunicazione hackerando direttamente l’account del fornitore e inviando così e-mail di spearphishing da account che sembrano autentici e affidabili, come avvenuto nel takover illecito che ha colpito l’account dell’FBI nel novembre 2021.
Se gli aggressori sono in grado di infiltrarsi all’inizio del processo, le organizzazioni saranno costrette a individuarli e fermarli solo dopo che si sono fatti strada. Questo rafforza sia la necessità che la sicurezza venga integrata prima sia l’importanza di contenere rapidamente gli attacchi per prevenire l’interruzione delle operazioni. Poiché si tratta di attacchi multi-fase, le organizzazioni possono quindi utilizzare l’AI durante ogni fase per contenere e rimediare all’attacco.
- Le innovazioni dell’AI permetteranno di simulare proattivamente gli attacchi
Nicole Eagan, Chief Strategy & AI Officer
L’IA ha contribuito a realizzare innovazioni cruciali nell’ambito della sicurezza informatica per il rilevamento, le indagini e la risposta alle minacce. Il 2022 vedrà le innovazioni dell’AI superare la mera difesa delle aree adiacenti, sostenendo la sicurezza proattiva e le simulazioni di attacco.
I progressi che consentono all’IA di eseguire la modellazione del percorso di attacco, la simulazione del comportamento dell’avversario e il red teaming[1] continuo consentiranno alle organizzazioni di visualizzare e testare gli scenari più probabili di minaccia e mitigare i rischi informatici con misure e controlli di sicurezza. Le priorità fondamentali delle organizzazioni di cybersecurity cambieranno concentrandosi maggiormente sulle tecnologie emergenti per identificare le vulnerabilità, promuovere attacchi controllati e testare le proprie difese.
Questo approccio alla gestione del rischio informatico proattivo e predittivo non ha ancora raggiunto i CdA, ma ha in sé tutto il potenziale per cambiare il modo in cui aziende, enti regolatori, revisori e compagnie assicurativi valuteranno il loro rischio cyber.
Toby Lewis
Durante la pandemia, il fenomeno della “Great Resignation”, ovvero il significativo aumento delle dimissioni, con un numero crescente di persone che lasciano il proprio lavoro, rende ancora più realistico lo scenario che vede dipendenti scontenti rubare informazioni o condividerle, anche involontariamente, con il datore di lavoro successivo. Nell’ultimo anno abbiamo anche visto gruppi criminali tentare di reclutare insider per attaccare le aziende, offrendo grandi somme di denaro o una parte del riscatto.
Che sia intenzionale o non, gli insider saranno una preoccupazione crescente per le aziende nel 2022. Con un numero crescente di organizzazioni che si affidano ad applicazioni di comunicazione e collaborazione in cloud, questo tipo di minacce sarà ancora più difficile da rilevare nelle infrastrutture digitali distribuite e, con i dipendenti che lavorano in remoto, riuscire a imporre restituzioni nel’’utilizzo di device e dati sarà ancora più difficile.
Le organizzazioni sceglieranno quindi tecnologie di sicurezza in grado di comprendere il comportamento dei dipendenti che operano in ambienti divirsi come cloud, SaaS, endpoint. Tecnologie capaci di intervenire automaticamente quando un dipendente si comporta in modo anomalo, inviando ad esempio e-mail a fonti esterne, accedendo a file inusuali, o svolgendo altre attività inconsuete. Queste soluzioni lavoreranno insieme ai nuovi strumenti Zero Trust e si integreranno alle architetture Zero Trust per proteggere le organizzazioni dalle minacce interne.
[1] Un red team o red force è un gruppo indipendente che esegue un attacco a un’organizzazione per studiarne le debolezze, al fine di migliorare l’efficacia della stessa.
