Con exploit generati a velocità macchina e il rischio di “vandalismo dell’AI” interno, i CISO devono puntare su indipendenza, immutabilità e ripristino granulare dei dati

Backup recovery - pixabay

Per ogni CISO, la prevenzione è fondamentale – applicare patch rapidamente, ridurre la superficie di attacco, segmentare, monitorare e individuare proattivamente le minacce. Ma c’è unamara verità da affrontare: se la strategia di cyber sicurezza si basa sulla convinzione di essere sempre in grado di bloccare ogni violazione, sarà solo una speranza. E questa, purtroppo, non sopravvive alla realtà.

Lo scorso aprile, Anthropic ha lanciato Claude Mythos, sistema descritto come capace di identificare e sfruttare vulnerabilità zero-day, e di trasformare quelle già note in exploit funzionanti, il tutto in tempi incredibilmente rapidi. Limplicazione è chiara: il passaggio da “esiste un punto debole” a “si verificano accessi non autorizzati” si sta accorciando drasticamente.

Questo non significa che stia per crollare il mondo, ma bisogna mantenere massima onestà e lucidità riguardo a ciò che cambia quando il rischio cyber si sposta a velocità macchina.

Con Mythos cambia il ritmo

Storicamente, la parte più complessa non era rilevare le vulnerabilità, ma trasformarle in exploit, con la velocità e la scala necessarie. Questo richiedeva tempo, competenze specifiche e investimenti economicidi un certo tipo. Se questa barriera viene meno, il tempo medio necessario per sferrare un attacco si comprime e la capacità di azione dei cyber criminali aumenta: più tentativi, su più obiettivi, e molto più rapidamente.

Chi gestisce un ciclo di patching aziendale, è già consapevole del divario: è possibile migliorarlo e automatizzarne alcune parti, ma si opera comunque con limiti umani, finestre di manutenzione e compromessi dettati dalle esigenze di business.

La prevenzione è ancora fondamentale, ma quando il tempo di azione dellattaccante si riduce in modo significativo, la prevenzione da sola diventa una difesa troppo fragile.

Cosa non cambia con Mythos: il backup non è prevenzione

Affrontiamo subito una comune obiezione “questo è un problema di prevenzione!” Esatto. Nel momento in cui si verifica lo sfruttamento di una vulnerabilità, entra in gioco la prevenzione. La protezione dei dati non ferma un exploit al momento dellattacco, il backup non bloccherà uno zero-day e il ripristino non è affatto un firewall.

Quindi, se qualcuno cerca di proporre il backup come uno scudo magico, è bene essere scettici. Una volta che gli attaccanti sono riusciti ad accedere, è la recovery a diventare il controllo di sicurezza più cruciale, nonché quello decisivo.

Il vero rischio non è la violazione, ma limpatto sul business

Per la maggior parte delle aziende il problema principale non è rappresentato dallidea astratta di “violazione”, ma dalle interruzioni di servizio, la cifratura dei dati – e la loro cancellazione o corruzione – limpatto sui clienti, le domande scomode delle autorità di regolamentazione e i team che impiegano settimane a cercare di capire quale sia lostato ottimale”. La resilienza non è perfezione, è capacità di ripristino. Una violazione è un evento, la capacità di recovery una competenza fondamentale.

La minaccia sottovalutata: il “vandalismo dellAI” dallinterno

Cè un secondo aspetto che merita attenzione e non riguarda solo gli attaccanti esterni. Man mano che gli agenti AI diventano più comuni nellIT, si introducono attori autonomi con privilegi reali: strumenti che possono ottimizzare i sistemi, migrare dati, ripulire repository o “correggere” configurazioni. Si tratta di una funzionalità utile, finché non smette di esserlo.

Se un agente autonomo interpreta male lintento – o opera con un contesto errato – può corrompere o cancellare grandi volumi di dati rapidamente. E poiché opera allinterno dellambiente, molti dei classici controlli perimetrali non sono daiuto.

Possiamo definirlo “vandalismo dellAI”, per sottolineare che il rischio per lintegrità dei dati non è più solo un modello di minaccia esterna. Cè quindi bisogno di una rete di sicurezza che consideri contemporaneamente due realtà parallele: da un lato la compromissione esterna è possibile (e più rapida), dall’altro anche lautomazione interna può creare danni con gravi conseguenze.

Qual è lo stato ottimale, a fronte di attacchi più rapidi

Se si accetta il fatto che una violazione possa verificarsi, la domanda diventa concreta: quando qualcosa va storto, si è in grado di ripristinare il sistema in modo rapido, completo e documentabile?

Una protezione dei dati SaaS resiliente si basa su quattro principi:

1. Indipendenza: ridurre il rischio legato alle dipendenze 

Unarchitettura che si affida a numerosi fornitori e sub-processori crea un maggior numero di punti di esposizione, soprattutto quando esistono zero-day e i tempi di passaggio dalla scoperta allexploit si accorciano drasticamente. Lindipendenza non ferma uno zero-day, ma riduce la complessità, limita il raggio dazione del danno e semplifica ripristino e controllo.

2. Immutabilità: la rete di sicurezza deve essere fuori portata 

Se gli attaccanti ottengono accesso privilegiato, o un agente interno si comporta in modo anomalo, lultima linea di difesa è una copia che non può essere manomessa. Limmutabilità è un requisito di progettazione: i dati di backup non possono essere sovrascritti, cancellati o alterati in modo silenzioso. Il giorno in cui si avrà bisogno della recovery è lo stesso giorno in cui si presume che qualcuno cercherà di renderlo impossibile.

3. Rilevamento delle anomalie: sapere rapidamente quando qualcosa non va 

Quando gli oggetti si muovono più velocemente, il rilevamento diventa ancora più importante. Si desiderano segnalazioni anticipate: cancellazioni malevole, pattern di cambiamento insoliti, corruzione su larga scala, prima che il danno si diffonda o che diventi difficile definire uno stato “ottimale”.

4. Accesso istantaneo e ripristino granulare: velocità e precisione 

Recovery non significa dover ripristinare tutto. Nei servizi SaaS, questo servizio è spesso lento e crea interruzioni. È necessaria la capacità di trovare rapidamente lultimo stato noto e funzionante, di ripristinare solo ciò che è stato compromesso (un utente, una casella di posta, un set di file, record specifici) e di farlo senza un rollback completo dellambiente.

Quando gli attacchi si muovono più rapidamente, la velocità e la precisione nel ripristino diventano più preziose che mai.

Se la prevenzione è necessaria, la recovery è irrinunciabile

È essenziale continuare a investire nella prevenzione, ma il rischio cyber moderno sta provando qualcosa di chiaro: gli attaccanti sono più veloci, gli ambienti più complessi e lautonomia allinterno dellIT in aumento. In un mondo simile, il backup smette di essere una funzione nice-to-have e diventa una parte fondamentale della strategia di sicurezza, perché è ciò che permette di ripristinare integrità, disponibilità e fiducia dopo qualsiasi incidente.

La speranza non è certo una strategia di sicurezza, è necessario affidarsi alla recovery.

di Kim Larsen, Group CISO, Keepit