Il Darktrace Threat Report, report annuale sulle minacce informatiche, mostra che nel 2019 le aziende dovranno affrontare fattori di rischio sempre maggiori, legati allo sviluppo e all’evoluzione delle minacce automatizzate e all’aumento delle attività digitali da gestire, in termini di quantità, complessità e varietà. La cyber-difesa basata su AI è quindi un alleato indispensabile per fronteggiare ogni tipologia di minaccia, proveniente dall’interno o dall’esterno dell’azienda, come ransomware e attacchi IoT. Sebbene gli scenari presentati siano molto diversi tra loro in quanto a tipologia di attacco, in tutti i casi tramite l’IA di Darktrace è stato possibile identificare segnali quasi impercettibili di un’attività sospetta in corso.
Nella maggior parte dei casi, le difese tradizionali, basate su regole e firme e sulle dinamiche di attacchi già noti non sono in grado di rilevare le nuove tecniche sfruttate da criminali informatici esperti, che possono celare la propria attività nell’operatività delle reti moderne e attraversare inosservati e in pochi secondi infrastrutture anche grandi e complesse. Grazie all’apprendimento continuo del “modello di comportamento” abituale di ogni utente, dispositivo e partner di un’azienda, l’intelligenza artificiale di Darktrace non solo reagisce ai primi segnali di una possibile minaccia informatica – nota o sconosciuta, interna o esterna, furtiva o in rapido movimento – prima che abbia conseguenze dannose, ma risponde anche in modo mirato con Darktrace Antigena, la soluzione di risposta autonoma basata sull’IA, che neutralizza la minaccia in pochi secondi e riporta la situazione alla normalità.
MINACCIA INTERNA – Come impedire che dipendenti malintenzionati sfruttino le vulnerabilità della rete
Le minacce nascoste nell’azienda rappresentano ancora oggi uno dei vettori di attacco più pericolosi e comuni, sia che si tratti di dipendenti malintenzionati sia di utenti distratti o inconsapevoli. L’accesso privilegiato e la conoscenza della rete consentono ai dipendenti di provocare danni estesi e persistenti e di manipolare furtivamente dati importanti senza destare sospetti.
In questo contesto, tra i casi più interessanti riscontrati da Darktrace quest’anno segnaliamo una delle principali società di investimento in Sud Africa, in cui un dipendente del team IT ha utilizzato uno strumento di scansione illegittimo per individuare i punti deboli della rete. L’IA self-learning di Darktrace è stata in grado di contenere la minaccia persistente mentre si muoveva attraverso più fasi della catena di attacco.
In una prima ricognizione, infatti, il malintenzionato aveva verificato tra centinaia di indirizzi IP interni quali fossero attivi, ricercando canali di comunicazione aperti. L’attività è stata immediatamente contrassegnata come insolita attivando Antigena che, basandosi sulla valutazione dinamica della minaccia, ha deciso di limitare il dispositivo. Dopo un secondo tentativo dell’aggressore di infiltrarsi negli intervalli IP per spostare script multiuso e utilizzare uno strumento di amministrazione remota (utile a individuare documenti sensibili o aprire backdoor per attacchi esterni), Antigena ha bloccato tutte le connessioni in uscita utilizzando il canale di trasferimento file SMB, in modo da contenere immediatamente qualsiasi tentativo di movimento laterale all’interno della rete.
MINACCE SCONOSCIUTE – Come costruire la fiducia dei team nell’AI
Con l’evolversi delle tattiche dei criminali informatici che consentono di eludere i controlli preimpostati dalle aziende, la capacità di Darktrace di reagire al minimo segnale di una minaccia, anche se precedentemente sconosciuta, è diventata fondamentale; lo dimostra il caso di un produttore americano di dispositivi IoT per il controllo industriale, colpito da un attacco trojan zero-day.
L’IA di Darktrace ha avvisato il responsabile IT che un file sospetto era stato scaricato da una fonte non identificata, comportamento del tutto raro per la sua rete. Antigena era configurata in “modalità passiva” in questo caso e si limitava a suggerire al responsabile come rispondere alla minaccia senza intervenire attivamente. In risposta a tale attività inusuale, Antigena ha raccomandato di applicare il “modello di comportamento” abituale previsto per il gruppo dei dispositivi per due ore, in modo da fermare la minaccia senza interrompere le normali operazioni. Successivamente, a causa dell’aumento dei download sospetti e dei tentativi di comunicazione verso l’esterno, Antigena ha suggerito di intensificare la risposta in modo che l’AI bloccasse tutte le connessioni in uscita dal dispositivo per un’ora. Il responsabile IT ha potuto contattare l’utente ed eseguire una remediation d’emergenza sul dispositivo infetto, completando l’intero processo in soli 20 minuti. Una volta neutralizzata la minaccia, l’IT Manager ha copiato l’URL e il nome del file trojan in Virus Total per verificare se la minaccia fosse stata osservata e registrata altrove, confermando che si trattava effettivamente di un trojan zero-day scoperto in modo univoco dall’IA di Darktrace.
MINACCE IOT – Come bloccare i tentativi di cyber spionaggio
La crescente interconnessione dei dispositivi che utilizziamo ogni giorno ha introdotto ulteriori vulnerabilità nelle aziende. Spesso, i dispositivi IoT sono progettati senza controlli di sicurezza integrati, per questo rappresentano facili punti di accesso alle reti e sono presi di mira sempre più dai criminali informatici.
In una società di consulenza finanziaria giapponese, Darktrace ha scoperto che un sistema TVCC collegato a Internet era stato violato da aggressori sconosciuti, che garantendosi un punto d’appoggio nella rete avevano ottenuto accesso a tutte le registrazioni video della telecamera installata per monitorare l’intero spazio aziendale, dall’ufficio dell’amministratore delegato alla sala del consiglio di amministrazione. L’intelligenza artificiale di Darktrace ha rivelato e bloccato il trasferimento dei dati a un server esterno, bloccando la potenziale fuoriuscita di dati aziendali sensibili e senza impedire alla CCTV di proseguire la propria attività.
MINACCE E-MAIL – Come riconoscere attacchi di phishing e l’hijacking di account di posta elettronica
Alcuni dei cyber-criminali più intraprendenti hanno imparato che il modo più semplice per infiltrarsi in un’azienda è entrare dalla porta principale, a condizione di ottenere la fiducia di un utente all’interno. Sottraendo e sfruttando i dettagli dell’account di un collega, un socio in affari o un venditore in qualsiasi punto della supply chain, chi attacca induce il destinatario a cliccare su link dannosi, che possono contenere ransomware e criptare dati fondamentali per l’azienda causando un’interruzione delle attività o trasferire informazioni sensibili e denaro fuori dall’organizzazione.
Nel caso di una società di telecomunicazioni molto nota, nella quale un impiegato ha scaricato un file malevolo contenente un ransomware da una mail personale su un dispositivo aziendale, l’IA di Darktrace ha saputo rilevare in solo 9 secondi i collegamenti a un server esterno e Antigena ha risposto automaticamente, interrompendo ogni tentativo di scrittura di file criptati sulla rete e neutralizzando la minaccia prima che si diffondesse.
Anche un comune degli Stati Uniti è stato vittima di un attacco e-mail mirato, coordinato e sofisticato. Ogni messaggio era curato e personalizzato per il destinatario. L’attore delle minacce si era impossessato anche dell’elenco degli abitanti del comune, poiché l’attacco veniva consegnato ai destinatari in ordine alfabetico. Ogni e-mail presa singolarmente sembrava innocua e riservata al destinatario, ma tutti i messaggi contenevano un payload dannoso mascherato da collegamento a Netflix, Amazon o ad altri provider di servizi affidabili. Antigena, in modalità passiva, è stata in grado di individuare la campagna di phishing fin dalla lettera “A”, mentre gli strumenti legacy di sicurezza già adottati hanno riconosciuto la minaccia soltanto alla lettera “R”. Se Antigena fosse stata in modalità attiva avrebbe fermato l’attacco ancora prima che potesse colpire un singolo utente.
Un terzo e ultimo caso simile ha riguardato uno studio di produzione cinematografica di Los Angeles, in cui i criminali si sono infiltrati nell’account di un fornitore di fiducia imparando lo stile e i contenuti della corrispondenza con un dipendente dello studio per replicarli e inviare un’e-mail incredibilmente convincente, ma contenente un collegamento dannoso. Come nella situazione precedente, basandosi sulla conoscenza del “modello comportamentale” del mittente e riconoscendo i primi segnali d’attacco, l’AI di Darktrace ha neutralizzato la minaccia in pochi secondi.