Mentre il mondo si interroga sulla necessità di regolamentare l’utilizzo della intelligenza artificiale, c’è chi non si pone problemi di carattere etico e legale. Si tratta di coloro che, dall’uso spregiudicato di nuove tecnologie e sfruttando le debolezze dell’ecosistema digitale da cui siamo irreversibilmente dipendenti, traggono dei vantaggi economici rilevanti.
Nel cybercrime, infatti, esiste già una notevole sproporzione tra le capacità di chi attacca rispetto a chi si difende.
Sviluppo responsabile dell’IA: così USA e Regno Unito provano a valutare e mitigare i rischi
Le differenze tra chi attacca e chi si difende
Chi si occupa di difesa è sempre in allerta, si arma con le ultime innovazioni tecnologiche e ha una profonda conoscenza delle vulnerabilità dei sistemi. Solitamente, chi si dedica alla difesa svolge professioni diverse. Al contrario, l’aggressore ha il vantaggio di scegliere il momento opportuno per lanciare un attacco, mentre il difensore deve essere costantemente pronto a fronteggiare assalti imprevisti.
GDO, retail, horeca: come tutelarsi da 8 frodi online
Una delle strategie offensive più diffuse è nota come Business Email Compromise (BEC), un metodo in cui l’aggressore si finge la vittima e, sostituendosi a lei, inganna clienti e collaboratori (spesso i CFO, da cui il nome alternativo “Frode dei CFO”) inducendoli a compiere operazioni, generalmente finanziarie, che esulano da ogni logica procedurale. Questi attacchi vengono orchestrati quando la vittima legittima, il cui profilo è stato usurpato dall’aggressore, è meno in grado di reagire, forse perché è in vacanza o in viaggio, e quindi più vulnerabile.
La regolamentazione dell’impiego di tecnologie avanzate come l’intelligenza artificiale, pur essendo un passo fondamentale per una società civile, potrebbe inavvertitamente amplificare il gap tra chi agisce in conformità con norme etiche e legali e chi invece opera senza tali restrizioni.
Gli aggressori, sfruttando l’intelligenza artificiale, sono in grado di orchestrare campagne di phishing sempre più sofisticate, studiando i comportamenti delle potenziali vittime e generando comunicazioni estremamente convincenti, sia per quanto riguarda il contenuto che l’identità del mittente.
Questo aspetto è particolarmente preoccupante in paesi come l’Italia, dove il phishing rappresenta la tecnica di attacco predominante, utilizzata nel 48,32% dei casi per la fase di ricognizione e nel 29,18% per l’accesso iniziale, come evidenziato dai dati dell’Osservatorio sulla cyber security di Exprivia per il terzo trimestre del 2023.
Come l’IA aiuta i cyber criminali
Il furto di enormi quantità di dati non si traduce in un beneficio immediato, ma è qui che l’intelligenza artificiale diventa un alleato prezioso per i criminali, facilitando l’analisi di questi dati per estrarre informazioni sensibili e di valore per l’attaccante.
L’ intelligenza artificiale gioca un ruolo cruciale anche nell’identificazione e nello sfruttamento delle vulnerabilità, permettendo di scoprire quelle più facilmente esposte e di adattare gli attacchi in base alle difese presenti.
In Italia, ad esempio, dopo il phishing, l’uso di malware rappresenta la tecnica più diffusa tra gli attaccanti. Questo avviene nonostante gli strumenti di intelligenza artificiale generativa tendano a non supportare direttamente la scrittura di malware.
Tuttavia, il malware stesso è composto da linee di codice che possono essere utilizzate legittimamente o meno. Un agente software installato su un dispositivo può essere destinato a scopi leciti, ma può anche essere deviato per funzionare come parte di una botnet o come strumento per il mining di criptovalute.
L’Osservatorio Exprivia sulla cyber security registra anche un aumento degli attacchi di tipo DDoS ed anche qua l’uso dell’intelligenza artificiale funge da supporto agli attaccanti.
Analizzando le tendenze sul cybercrime, notiamo una pericolosa adiacenza tra l’utilizzo di tecniche di attacco ed uso di tecnologie avanzate come la intelligenza artificiale.
Non potendo rinunciare alla legittima necessità di regolamentare l’uso di intelligenza artificiale, l’unica opportunità da sfruttare a favore della difesa è utilizzare le stesse tecniche per rendere controlli di sicurezza sempre più efficaci.
Così l’IA può rafforzare i sistemi di difesa
La buona notizia è che, nell’ultimo anno, si sono registrati progressi significativi in diverse aree che si muovono in questa direzione.
Diversi report di sicurezza mostrano come ormai la competizione tra sistemi di attacco e di difesa si giochi su una sola dimensione: la finestra di esposizione ad un attacco informatico, che va ad indicare il tempo che intercorre tra la creazione di un attacco informatico e la sua scoperta (e quindi difesa) da parte di uno o più sistemi di protezione.
Questa nuova dinamica ha preso piede nell’ultimo periodo, dato che ormai gli attacchi informatici vengono realizzati da organizzazioni criminali, in grado di sferrare campagne malevole di portata internazionale con l’uso di bot ed algoritmi automatici.
Il risultato di ciò è sotto gli occhi di tutti: ogni giorno assistiamo ad attacchi estremamente sofisticati che in pochissimi secondi colpiscono milioni di utenti. Risulta facile comprendere come la sfida nel difendere le aziende, si giochi sulla velocità nell’individuare gli attacchi informatici, e in questo contesto risulta impossibile combattere una guerra cibernetica usando sistemi di rilevamento basati in gran parte sull’intervento dell’essere umano.
È per questi motivi che l’intelligenza artificiale risulta l’unica tecnologia in grado di far evolvere realmente il mercato della cyber security, offrendo una maggiore precisione, una migliore scalabilità, una risposta più rapida e una riduzione dei costi.
Le strategie di difesa
Descriviamo in dettaglio queste capacità per ogni fase di attacco:
Prevenzione
L’intelligenza artificiale svolge un ruolo fondamentale nei moderni sistemi di cyber security per la prevenzione degli attacchi.
Infatti, l’intelligenza artificiale ha completamente rivoluzionato l’approccio degli analisti all’identificazione e al blocco delle minacce: poiché la procedura standard consisteva nell’analizzare manualmente le possibili minacce (ad esempio, alcuni allegati di posta elettronica sospettati di trasportare un payload dannoso) e nel progettare gli strumenti in grado di bloccarle (ad esempio, la regola Yara che corrisponde al codice binario del payload dannoso), questo processo poteva richiedere ore o giorni per concludersi.
Pertanto, la minaccia potrebbe avere il tempo di diffondersi in modo incontrollato prima che la mitigazione sia disponibile.
L’intelligenza artificiale offre invece la possibilità di automatizzare completamente questo processo, portando a tre importanti miglioramenti: i) azzerare il tempo necessario per rilevare una minaccia e sviluppare una mitigazione (quindi azzerare la finestra di esposizione ad un attacco informatico), ii) aumentare la parallelizzazione, consentendo di analizzare milioni di minacce alla volta e iii) aprire la possibilità di identificare nuove minacce mai viste prima.
Detection
Con l’avvento dei dispositivi connessi e l’adozione massiccia del lavoro da remoto, le aziende hanno visto aumentare la loro superficie virtuale ben oltre il proprio perimetro fisico, determinando uno scenario difficile da gestire e proteggere con gli approcci tradizionali.
Inoltre, l’AI consente di trasformare volumi di dati schiaccianti e difficili da elaborare in asset, poiché più l’AI viene alimentata con dati, più diventa intelligente nel tempo.
Prioritizzazione
L’intelligenza artificiale offre la possibilità di elaborare, analizzare, raggruppare e dare priorità a milioni di eventi (ad esempio, log di comunicazione, pacchetti di rete e così via), consentendo di filtrare le informazioni rumorose e di concentrarsi sulle minacce reali.
Inoltre, la scalabilità dell’intelligenza artificiale consente di aumentare i dati con feed provenienti da fonti diverse, in modo da arricchire le informazioni risultanti, ridurre i falsi positivi e, in definitiva, migliorare l’efficienza operativa dei team di sicurezza.
Response e Remediation
Ridurre il rapporto segnale/rumore degli avvisi di sicurezza a un livello facilmente gestibile dagli specialisti porta a una risposta più rapida.
I moderni approcci di AI, come il Reinforcement Learning, offrono la possibilità di progettare un processo decisionale completamente computerizzato che innesca una risposta automatica, riducendo al minimo l’intervento umano nel processo.
Questa attività si basa sulla capacità di catturare l’esperienza di un analista umano e di correlarla alle informazioni di threat intelligence e alle API software.
Modellazione e Simulazione
L’intelligenza artificiale può essere utilizzata anche per creare modelli di attacchi appresi da grandi insiemi di dati sulle minacce. I modelli ottenuti descrivono i comportamenti osservati negli attacchi reali e possono essere utilizzati per prevedere le implicazioni e i rischi legati a vulnerabilità specifiche.
La modellazione degli attacchi guidata dall’intelligenza artificiale può quindi essere utilizzata per valutare la postura di sicurezza e i registri di rischio di un’azienda, per suggerire infine piani di mitigazione per gestire correttamente le vulnerabilità sfruttabili dagli attaccanti.
Allo stesso modo, i modelli addestrati sulla base dei dati degli attacchi possono essere utilizzati per eseguire simulazioni di attacchi e testare la reale efficacia delle soluzioni di sicurezza implementate dall’azienda.
Tattiche di attacco: compromissione e simulazione di una risorsa informatica autentica
Di che cosa hanno bisogno gli analisti
Queste capacità dei sistemi di intelligenza artificiale in ambito cyber security risultano essere particolarmente rilevanti quando vengono applicate a soluzioni di cyber threat intelligence al servizio dei SOC e degli analisti di sicurezza.
In un contesto globale rappresentato dalla forte difficoltà per le organizzazioni nel reperire le opportune competenze sul mercato del lavoro, è fondamentale fornire agli analisti di sicurezza strumenti software in grado di gestire in maniera adeguata l’enorme mole di possibili eventi di sicurezza generati quotidianamente, così da permettere agli analisti stessi di focalizzare il proprio lavoro e dedicarsi ad attività dal reale valore aggiunto.
Grazie alle capacità dell’AI è infatti possibile:
- Prevenire la diffusione di campagne d’attacco, realizzando ad esempio sistemi di crawling automatico che siano in grado di analizzare in maniera massiva tutti i nuovi siti web generati quotidianamente al fine di identificare in tempi estremamente rapidi quelli nati per scopi malevoli.
- Individuare e bloccare le campagne in corso, identificando le caratteristiche malevole delle URL contattate e/o visitate all’interno di un’organizzazione.
- Analizzare i possibili IoC dal punto di vista comportamentale, verificando ad esempio il tipo di interazione proposta agli utenti (e.g. presenza di un form di login) o riferimenti ad un brand noto (possibile tentativo di phishing contro il brand stesso).
- Automatizzare l’estrazione di tutte le caratteristiche (o “feature”) e i metadati rilevanti degli IoC analizzati (e.g. target brand di una campagna di phishing, localizzazione geografica di un IoC, indirizzo IP da cui un sito web viene servito, autorità di certificazione che ha emesso il certificato SSL/TLS con cui un sito si presenta) al fine di poter prioritizzare le minacce in base al contesto dell’organizzazione.
- In ultimo, grazie ad automazione e prioritizzazione, permettere agli analisti di focalizzarsi sulle attività di response e remediation realmente rilevanti per l’organizzazione target.
L’IA indispensabile per le organizzazioni
Per combattere l’uso dell’IA da parte degli hacker, le organizzazioni devono adottare misure di sicurezza avanzate che includono l’IA nella loro difesa cibernetica. L’IA può essere utilizzata per il rilevamento delle minacce, l’analisi dei comportamenti sospetti e la risposta automatizzata agli attacchi.
Tuttavia, è importante notare che l’IA può essere utilizzata sia a fini difensivi che offensivi, e la corsa tra hacker e difensori nell’ambito dell’IA è in corso.
In un’epoca segnata da sfide digitali senza precedenti, i Security Operations Center (SOC) si trovano al fronte di una guerra contro minacce sempre più sofisticate. Le tecnologie emergenti, in particolare l’AI conversazionale e la robotica di servizio, possono ridefinire il modo in cui i SOC possono proteggerci.
Le preoccupazioni più comuni dei CISO sull’IA generativa: come stimolare un’adozione responsabile
Come possono cambiare i SOC
Vediamo come queste tecnologie singolarmente, possono supportare i processi di sicurezza, e andiamo ad esplorare come la convergenza tra queste due tecnologie può supportare la creazione di un SOC rinnovato e più evoluto.
Altro esempio di uso della Intelligenza Artificiale a supporto della difesa è relativo all’utilizzo di Intelligenza Artificiale conversazionale. Si tratta di una forma avanzata di intelligenza artificiale che permette agli utenti di comunicare con le macchine tramite il linguaggio naturale. Questo significa che può comprendere, elaborare e rispondere a comandi o domande come farebbe un essere umano.
Utilizzando algoritmi di Natural Language Processing e machine learning, l’AI conversazionale può svolgere il ruolo di un assistente personale per l’analista SOC, un partner che:
- Agisce come un potente filtro tra l’analista e l’oceano di dati di sicurezza, fornendo risposte rapide e precise.
- Offre un’interazione naturale, permettendo agli analisti di formulare query complesse in linguaggio naturale e ricevere informazioni pertinenti in tempo reale.
- Automatizza le risposte e i compiti di routine, alleggerendo il carico di lavoro degli analisti.
- Apprende e si adatta grazie all’interazione continua, affinando le sue capacità in modo da diventare un supporto sempre più efficace.
L’assistente intelligente che supporta la difesa
La AI conversazionale diventa un supporto dell’analista aiutandolo e semplificando diversi aspetti del suo lavoro.
La AI conversazione può essere integrata con robot di servizio. Un robot di servizio è un sistema autonomo progettato per eseguire compiti di assistenza e di supporto. Caratterizzato dalla mobilità, dalla capacità di navigare nell’ambiente e dall’interazione attraverso interfacce utente avanzate, un robot di servizio nel SOC può:
- Pattugliare in maniera autonoma, fungendo da occhi e orecchie dell’analista in aree che richiedono sorveglianza.
- Identificare e verificare il personale grazie a sistemi di riconoscimento biometrico e di autorizzazione.
- Agire come intermediari operativi, eseguendo azioni preventive o reattive in risposta a eventi di sicurezza.
- Gestire compiti logistici e di monitoraggio ambientale, diventando una risorsa fisica versatile all’interno di un SOC.
La convergenza tecnologica
Per convergenza tecnologica si intende il processo attraverso il quale due o più tecnologie distinte si fondono per creare soluzioni innovative che non sarebbero possibili individualmente. Questa integrazione può portare a una maggiore efficienza, nuovi livelli di servizio e modalità operative in precedenza inimmaginabili. Quando applicata al SOC, la convergenza tra AI conversazionale e robotica di servizio significa:
- Creare un’interfaccia unificata dove i robot agiscono come estensioni fisiche dell’intelligenza artificiale, eseguendo compiti e comunicando con gli analisti in tempo reale.
- Sviluppare scenari in cui l’AI non solo risponde a domande ma anche anticipa le esigenze degli analisti, guidando i robot in operazioni di sicurezza proattive.
- Potenziare la capacità del SOC di rispondere agli eventi in maniera dinamica, utilizzando l’intelligenza artificiale per analizzare i dati e i robot per eseguire azioni fisiche.
- I robot, guidati dall’AI, offrono un nuovo livello di telepresenza, permettendo agli analisti di proiettarsi in qualsiasi area con una presenza quasi fisica, creando una sorta di “Telepresenza Dinamica”.
- L’integrazione con la AI conversazionale permette ai robot di rispondere in modo proattivo agli allarmi, eseguire protocolli di sicurezza e notificare gli analisti di eventi critici senza intervento umano.
Quindi, sebbene l’Intelligenza Artificiale offra enormi opportunità al mondo degli attacchi informatici, essa ridefinisce anche il futuro della sicurezza cibernetica. Assicurare la protezione in un mondo sempre più interconnesso richiede non solo intelligenza, ma anche agilità e un’incessante innovazione.
Trasforma i documenti digitali in alleati del business: ottieni più efficienza, sicurezza e conformi
@RIPRODUZIONE RISERVATA