A cura di Paolo Arcagni, Systems Engineer Manager di F5 Networks
È evidente come i progressi dell’intelligenza artificiale e dell’apprendimento automatico rappresentino un enorme potenziale di trasformazione per la cyber difesa. È altrettanto chiaro, però, che i cambiamenti rapidi della tecnologia comportano anche grandi opportunità per gli hacker, che a loro volta possono diventare più intelligenti e più veloci. Quindi, quando si tratta di sicurezza informatica, l’intelligenza artificiale è un alleato o un nemico?
Sebbene la corsa agli armamenti per la security basata sull’intelligenza artificiale sia già iniziata, il potenziale ultimo delle minacce automatizzate è estremamente vasto e in gran parte ancora sconosciuto. Anche un solo malware basato sull’intelligenza artificiale potrebbe presto avere conseguenze enormi, per questo le aziende devono iniziare a prestarvi grande attenzione.
Attacchi automatizzati: i casi riscontrati fino ad oggi
Non si tratta di pura teoria: abbiamo già assistito a come i malware basati sull’AI possano essere sfruttati per promuovere attacchi su larga scala.
I malware polimorfici, ad esempio, sono in grado di adattarsi costantemente in modo che il loro codice non possa essere identificato.
TrickBot ne è un esempio, una minaccia furtiva che si è evoluta e ha ampliato le sue capacità da semplice trojan bancario a malware sofisticato capace di colpire società di carte di credito e servizi per la gestione patrimoniale. Nel caso di TrickBot, è il codice della minaccia stessa a infiltrarsi nella rete e infettare automaticamente i sistemi, rendendo difficile il rilevamento e la mitigazione perché continua a mutare per evitare di essere scoperto. TrickBot è anche noto per la sua infrastruttura resiliente, che comprende i server command and control (C&C) configurati su router compromessi, molti indirizzi IP C&C univoci, nonché aggiornamenti regolari per rendere più difficile l’eliminazione.
Cosa possiamo aspettarci?
È molto probabile che a breve assisteremo a un aumento consistente delle e-mail di phishing basate sull’AI e dello spam di alta qualità, nonché ad una vasta proliferazione di tecniche di infiltrazione e spionaggio (false flag). Lo abbiamo già osservato con minacce come TrickBot, che hanno utilizzato in modo coerente le campagne di spam e phishing come schema di attacco iniziale.
Di conseguenza, oggi è ancora più importante che le aziende investano nella formazione dei propri dipendenti, in modo che siano in grado di individuare e-mail potenzialmente false, non aprire allegati sospetti o cliccare su link pericolosi al loro interno. Dal punto di vista della tecnologia, oggi i Web Application Firewall possono aiutare a rilevare e mitigare minacce come i trojan bancari, ma sono le aziende e i loro dipendenti a dovere essere sempre aggiornati se vogliono tenere il passo con le minacce che sfruttano l’intelligenza artificiale.
Uno scenario ancora più preoccupante è quello che vedrà, in tempi brevi, la possibilità per gli hacker di sfruttare l’intelligenza artificiale anche per nascondere la presenza di malware all’interno della rete di una vittima e combinare varie tecniche di attacco per identificare l’opzione più efficace. In questo modo, con il tempo, gli hacker saranno in grado di utilizzare l’intelligenza artificiale anche per aggirare gli algoritmi di sicurezza. Pensando a questi possibili sviluppi futuri appare ancora più evidente come già oggi sia fondamentale che tutte le aziende che sono obiettivi di questi attacchi – e poche saranno immuni – inizino a sfruttare l’IA per contrattaccare.
La guerra dell’AI in azienda
L’adozione diffusa dell’AI nelle diverse aree aziendali può rendere difficile capire dove distribuire al meglio i sistemi di sicurezza e dove focalizzare gli sforzi dei team di cybersecurity.
Per fare questo sarà necessario partire dall’analisi dei punti di forza e di debolezza delle infrastrutture IT, definire chi in prima persona si deve occupare di contrastare gli attacchi, dove siano le risorse necessarie per affrontare meglio le minacce basate sull’intelligenza artificiale e quali comportamenti degli impiegati e del settore influenzano le difese di sicurezza. Rispondere a questo tipo di domande renderà molto più facile definire quale sia il miglior utilizzo dell’intelligenza artificiale da parte di una singola azienda.
La chiave è sempre quella di adottare una strategia di prevenzione, individuazione e risposta efficace e personalizzata. Se implementata correttamente, l’intelligenza artificiale permetterà di raccogliere informazioni sulle nuove minacce, sui tentativi di attacco e sulle violazioni riuscite. Potrà rilevare anomalie all’interno della rete di un’organizzazione e segnalarle più rapidamente di quanto potrebbe mai fare qualsiasi essere umano.
Grazie all’AI, le aziende potranno rendere la vita sempre più difficile agli hacker anche isolando le applicazioni vulnerabili. Si tratta di un metodo estremamente utile per ridurre il rischio legato alle minacce e rendere il malware innocuo permettendogli un’esecuzione completa, ma solo all’interno di un ambiente completamente isolato e contenuto. Soprattutto, supporta la difesa contro i vettori di attacco più comuni, come download dannosi, plug-in e allegati e-mail.
Sarà importante considerare anche che, in un’epoca che vede l’uso delle applicazioni crescere costantemente all’intero delle organizzazioni, saranno proprio queste app gli obiettivi ai quali gli hacker punteranno di più con i loro attacchi basati sull’AI. Per questo, la protezione delle applicazioni dovrà rappresentare sempre più un compito primario per chi guida l’azienda, se vuole garantire che le infrastrutture IT siano protette in modo continuo, indipendentemente da quando e quali nuove tecnologie entreranno nel mercato.
AI contro AI
L’adozione dell’intelligenza artificiale per la sicurezza informatica è sempre maggiore e le efficienze operative dell’automazione appaiono ogni giorno più evidenti a tutti noi. Nonostante questo, ritengo non sarà possibile affidarsi completamente all’automazione. L’AI non sarà la soluzione a tutti i nostri problemi e i team di sicurezza dovranno continuare a rappresentare la prima linea di difesa nella battaglia della cybersecurity perché, per esempio, ci sarà sempre bisogno di specifiche conoscenze umane e di interazione con i servizi applicativi.
La sicurezza informatica come disciplina vanta attualmente uno degli usi più ampi di adozione dell’IA nello spazio aziendale ed è chiaro che questo trend non è destinato a rallentare a breve. Tutti devono però tenere a mente che l’intelligenza artificiale può essere sia un’arma di distruzione di massa sia una parte vitale della soluzione.