Una protezione proattiva passa da strategie di sicurezza che massimizzino integrazione, intelligenza artificiale avanzata e Actionable Threat Intelligence

2020: cambio di traiettoria per le minacce informatiche

Fortinet presenta le previsioni dei FortiGuard Labs relative al panorama delle minacce informatiche per il 2020 e gli anni a seguire. Le previsioni rivelano le metodologie che verranno utilizzate dai cybercriminali nell’immediato futuro, insieme ad alcune importanti strategie che aiuteranno le aziende a proteggersi dagli attacchi in arrivo. Un’overview dettagliata delle prediction e dei punti salienti è disponibile sul blog di Fortinet.

“Gran parte del successo dei criminali informatici in passato era legato alla loro capacità di sfruttare la superficie di attacco in espansione e le conseguenti lacune di sicurezza dovute alla trasformazione digitale. Di recente, le loro metodologie di attacco sono diventate più sofisticate integrando i precursori dell’IA e della tecnologia swarm intelligence. Fortunatamente, questa tendenza è destinata a cambiare se più organizzazioni usassero, per difendere i propri network, le stesse strategie che i cybercriminali adottano per prenderli di mira. Questo richiede un approccio unico, che sia ampio, integrato e automatizzato per consentire protezione e visibilità su tutti i segmenti di rete e sui vari edge, dall’IoT ai cloud dinamici” dichiara Derek Manky, Chief Security Insights & Global Threat Alliances in Fortinet.

Qui di seguito alcuni dati emersi:

Un cambiamento nella traiettoria dei cyberattacchi

Negli ultimi anni le metodologie di attacco informatico sono diventate sempre più sofisticate, aumentando la propria efficacia e velocità. È probabile che questo trend continui in futuro, a meno che le aziende non cambino il modo di pensare alle proprie strategie di sicurezza. Il volume, la velocità e la raffinatezza delle minacce attuali fanno sì che le aziende debbano essere in grado di rispondere in tempo reale e a machine-speed per contrastare in modo efficace gli attacchi più aggressivi. I progressi nell’intelligenza artificiale e nella threat intelligence saranno fondamentali in questa sfida.

L’evoluzione dell’AI come sistema (immunitario)

Uno degli obiettivi dello sviluppo di un’intelligenza artificiale security-focused nel tempo era creare un sistema immunitario per il network simile a quello del corpo umano. La prima generazione di AI è stata progettata per adottare modelli di machine learning per apprendere, correlare e quindi determinare una specifica linea di condotta. La seconda generazione di intelligenza artificiale sfrutta le sue capacità sempre più sofisticate di rilevare pattern ricorrenti per migliorare in modo significativo, ad esempio, l’access control in un ambiente, e lo fa distribuendo diversi nodi di apprendimento attraverso uno specifico ambiente. La terza generazione di intelligenza artificiale sarà caratterizzata dall’interconnessione dei nodi di apprendimento locali in modo che i dati raccolti possano essere condivisi, correlati e analizzati in modo più distribuito, invece di fare affidamento su un centro di elaborazione statico e centrale, Si tratta di uno sviluppo molto importante in quanto le aziende puntano sempre più a proteggere i propri ambienti periferici in espansione.

L’apprendimento federato

Oltre a sfruttare le forme tradizionali di threat intelligence estratte dai feed o derivate dal traffico interno e dall’analisi dei dati, l’apprendimento automatico farà affidamento su un’incredibile mole di informazioni pertinenti provenienti dai nuovi dispositivi periferici e dai nodi di apprendimento locali. Tracciando e correlando queste informazioni in tempo reale, un sistema di intelligenza artificiale sarà in grado di generare una visione più completa del panorama delle minacce, ma anche di perfezionare il modo in cui i sistemi locali possono rispondere agli eventi localizzati. I sistemi di intelligenza artificiale saranno in grado di vedere, correlare e tracciare nonché di prepararsi per le minacce condividendo informazioni attraverso la rete. Un sistema di apprendimento federato consentirà l’interconnessione dei set di dati in modo che i modelli possano adattarsi agli ambienti in continuo cambiamento e al trend degli eventi e che un singolo evento possa migliorare l’intelligence dell’intero sistema.

L’importanza di combinare l’Intelligenza Artificiale e i playbook per predire gli attacchi

Investire nell’AI non solo consente alle aziende di automatizzare le attività, ma può anche abilitare un sistema automatizzato in grado di ricercare e identificare gli attacchi, post evento, e prima che si verifichino. La combinazione del machine learning con l’analisi statistica consentirà alle aziende di sviluppare piani d’azione personalizzati legati all’intelligenza artificiale per migliorare il rilevamento e la risposta alle minacce. Questi playbook relativi alle minacce potrebbero svelare i modelli sottostanti che consentono al sistema di intelligenza artificiale di prevedere la prossima mossa di un criminale informatico, ipotizzare dove è probabile che si verifichi il prossimo attacco e persino determinare quali possano essere i colpevoli più probabili. Se queste informazioni vengono aggiunte a un sistema di apprendimento AI, i nodi di apprendimento remoto potranno fornire una protezione avanzata e proattiva, non solo rilevando una minaccia, ma prevedendo anche i movimenti, intervenendo in modo proattivo e coordinandosi con gli altri nodi per bloccare contemporaneamente tutti i percorsi di attacco.

Le opportunità nel controspionaggio e nella Cyber Detection

Una delle risorse più importanti nel mondo dello spionaggio è il controspionaggio, lo stesso vale quando si attacca o si difende un ambiente in cui le mosse vengono attentamente monitorate. Chi si occupa di cyber defence ha un netto vantaggio dato dall’accesso a tipologie di threat intelligence solitamente non disponibili per i criminali informatici, che può essere incrementato mediante l’apprendimento automatico e l’intelligenza artificiale. L’utilizzo di migliori tecniche di cyber detection potrebbe innescare un’azione di controspionaggio da parte dei cyber avversari. In questo caso, gli aggressori dovranno imparare a distinguere tra traffico legittimo e ingannevole senza essere scoperti semplicemente spiando i vari modelli di traffico. Le aziende saranno in grado di contrastare efficacemente questa strategia integrando playbook e intelligenza artificiale più pervasiva alle proprie strategie. Questo consentirà di individuare i criminali che cercano di rilevare il traffico legittimo, ma migliorerà anche il traffico ingannevole in modo che diventi impossibile distinguerlo dalle transazioni legittime. Alla fine, le organizzazioni potrebbero rispondere a qualsiasi sforzo di controspionaggio prima che si verifichi, il che consentirebbe loro di mantenere una posizione di controllo.

Maggiore integrazione con le forze dell’ordine

La cybersecurity ha requisiti unici relativi a fattori come la privacy e l’accesso, al contrario del crimine informatico che non ha confini. Di conseguenza, le forze dell’ordine stanno creando centri di comando globali, connettendoli anche al settore privato, in modo da avvicinarsi sempre più alla possibilità di rispondere in tempo reale alle azioni dei criminali informatici. Una rete composta da comunicazioni tra settore pubblico e privato può aiutare a identificare e rispondere ai criminali informatici in modo tempestivo. Le iniziative che promuovono un approccio più unificato per colmare le lacune tra le diverse forze dell’ordine, i governi, le imprese e gli esperti di sicurezza internazionali e locali potranno essere d’aiuto per accelerare lo scambio tempestivo e sicuro di informazioni per proteggere le infrastrutture critiche e contro il cybercrime.

Il livello di sofisticazione delle strategie continua a crescere

I cambiamenti nella strategia non passeranno inosservati, senza suscitare una risposta da parte dei cybercriminali. Per le reti e le organizzazioni che utilizzano metodi sofisticati per rilevare e rispondere agli attacchi, la risposta possibile potrebbe essere che i criminali tentino di rispondere in modo ancora più incisivo. In combinazione con I metodi di attacco più sofisticati, la potenziale superficie d’attacco in espansione e sistemi più intelligenti e abilitati per l’IA, il livello di sofisticazione informatica sta aumentando.

Tecniche di evasione avanzate

Un recente Fortinet Threat Landscape report mostra un aumento dell’uso di tecniche di evasione avanzate progettate per prevenire il rilevamento, disabilitare funzioni e dispositivi di sicurezza e operare senza essere monitorati dai radar adottando le strategie living off the land (LOTL), sfruttando il software installato esistente e mascherando come legittimo il traffico dannoso. Molti malware tool incorporano già funzionalità che consentono di eludere antivirus o altre misure di rilevamento delle minacce, ma i cyber-avversari stanno diventando più sofisticati nelle loro pratiche di offuscamento e anti-analisi per evitare il rilevamento. Tali strategie massimizzano le debolezze delle risorse di sicurezza e del personale.

Swarm Technology

Negli ultimi anni, l’ascesa della swarm technology, che può sfruttare fattori come il machine learning e l’intelligenza artificiale per attaccare reti e dispositivi, ha dimostrato di avere un nuovo potenziale. I progressi in questo ambito hanno importanti implicazioni in vari ambiti: medicina, trasporti, ingegneria e problem solving automatico. Tuttavia, se utilizzata in modo dannoso, essa potrebbe costituire un punto di svolta per gli avversari se le aziende non aggiornano le proprie strategie di sicurezza. Se utilizzati dai criminali informatici, gli sciami di bot potrebbero essere sfruttati per infiltrarsi in un network, sopraffare le difese interne e trovare ed estrarre in modo efficiente i dati. Bot specializzati, dotati di funzioni specifiche, saranno in grado di condividere e correlare le l’intelligence raccolta in tempo reale per accelerare la capacità di uno sciame di selezionare e modificare gli attacchi per compromettere un bersaglio, o anche più bersagli contemporaneamente.

Trasformare in armi il 5G e l’edge computing

L’avvento del 5G potrebbe essere il catalizzatore iniziale per lo sviluppo di attacchi funzionali swarm-based. Tale processo potrebbe essere abilitato dalla possibilità di creare reti locali e ad hoc in grado di condividere ed elaborare rapidamente informazioni e applicazioni. Trasformando il 5G e l’edge computing in armi, i dispositivi che hanno subito un exploit individualmente potrebbero diventare un vettore per codice dannoso e gruppi di dispositivi compromessi potrebbero lavorare di concerto per colpire le vittime a velocità 5G. Data la velocità, l’intelligenza e la natura localizzata di un simile attacco, le tecnologie di sicurezza legacy potrebbero essere sfidate a contrastare efficacemente una strategia così persistente.

Un cambiamento nel modo di utilizzare gli attacchi zero-day da parte dei cybercriminali

Tradizionalmente, trovare e sviluppare un exploit per una vulnerabilità zero-day era costoso, quindi i cybercriminali in genere tendono ad accumularli sino a quando il proprio portfolio di attacchi viene neutralizzato. Con l’espansione della superficie di attacco, si delinea un aumento della facilità di discovery e, di conseguenza, del volume delle vulnerabilità zero-day potenzialmente sfruttabili. Il fuzzing dell’intelligenza artificiale e il mining di zero-day hanno la capacità di aumentare esponenzialmente anche il volume degli attacchi di zero-day. Le misure di sicurezza dovranno essere messe in atto per contrastare questa tendenza.