Le principali minacce del 2018
Intelligenza artificiale, tua alleata e nemica
La corsa agli armamenti fra cybercriminali e specialisti di sicurezza IT entra in una nuova fase. Mentre gli attacchi sferrati con l’intelligenza artificiale si fermano davanti al firewall, le aziende dovrebbero potenziare le difese utilizzando sistemi basati sull’IA.
Testo: Andreas Heer,
In un futuro non troppo lontano, in un remoto angolo di internet, i cybercriminali testano un malware che prova diversi scenari di attacco. Quando il malware ottiene successo, subisce automaticamente una mutazione. I metodi con esito positivo vengono memorizzati nel codice, quelli che falliscono vengono rimossi.
Alcune settimane dopo, sul firewall di un’azienda la protezione antimalware ha appena dato l’allarme, avendo riscontrato comportamenti sospetti che lasciano supporre un cyber attacco finora sconosciuto. Il software di protezione ha imparato autonomamente a riconoscere tale situazione, analizzando modelli di attacchi conosciuti e riscontrando delle analogie con i nuovi attacchi. Benvenuti nella prossima generazione della sicurezza IT, che respinge gli attacchi “intelligenti” utilizzando i loro stessi metodi.
Oggi, scenari come questi appaiono ancora futuribili. Lo Swisscom Security Report raffigura gli attacchi basati su intelligenza artificiale nel secondo cerchio interno del radar delle minacce. Ciò significa che questi tipi di aggressioni saranno presto una realtà. «Ora nel radar abbiamo l’utilizzo nocivo dell’intelligenza artificiale, che viene impiegata ad esempio per avviare attacchi intelligenti contro cui le misure di sicurezza tradizionali sono inefficaci», commenta Panos Zarkadakis, vice Chief Security Officer presso Swisscom, parlando di questo sviluppo.
Panos Zarkadakis, vice Chief Security Officer presso Swisscom
L’intelligenza artificiale come assistente
Ma l’intelligenza artificiale viene impiegata già oggi nella lotta contro gli hacker. Panos Zarkadakis cita come esempio l’Incident Management: «Un sistema in grado di apprendere autonomamente può verificare che gli incidenti non siano dei ‘falsi positivi’, alleggerendo così il lavoro degli esperti di security.» Questa è una delle applicazioni tipiche dell’IA, il riconoscimento di modelli.
E un alleggerimento degli specialisti di sicurezza è auspicabile, in quanto vi è scarsità di personale specializzato. Inoltre, la mancanza di competenze può rappresentare a tutti gli effetti un rischio per la sicurezza, se il proprio dispositivo di difesa non è sufficientemente equipaggiato per affrontare le minacce attuali e future, oppure non si hanno abbastanza risorse per reagire agli attacchi con la necessaria rapidità. Al momento, Panos Zarkadakis consiglia pertanto di utilizzare i sistemi di IA come supporto, fino a quando questa tecnologia non sarà stata pienamente collaudata.
Un vecchio conoscente e i nuovi cercatori d’oro
Attualmente, la più grande minaccia rimangono i malware classici. Panos Zarkadakis ha in proposito una spiegazione illuminante: «Le principali minacce che abbiamo identificato l’anno scorso sono tuttora attuali e questo è dovuto alla loro natura, al fatto che impiegano anni per evolversi.»
Questa tesi viene confermata anche nella rete Swisscom. Il più frequente degli “ospiti”, di nome “Conficker”, era un vecchio conoscente. Si tratta di un worm, noto anche come “Downadup”, che gira già da dieci anni e ha causato circa il 40 per cento del traffico riconosciuto come “Call Home” nella rete Swisscom. Circa il dieci per cento di questo traffico di rete proviene dal ransomware “WannaCry”, che più o meno un anno fa compariva sugli schermi con i suoi messaggi ricattatori, ad esempio sui tabelloni della Deutsche Bahn.
I cybercriminali sembrano tuttavia voler spostare le loro attività in altri settori: «Assistiamo a una tendenza verso l’utilizzo sempre più frequente di malware per il furto di risorse IT. I malware vengono impiegati fra l’altro anche per il mining di bitcoin», osserva Panos Zarkadakis.
«Assistiamo a una tendenza verso l’utilizzo sempre più frequente di malware per il furto di risorse IT. I malware vengono impiegati fra l’altro anche per il mining di bitcoin»
osserva Panos Zarkadakis.
Invece di estorcere un riscatto dalle vittime sotto forma di criptovaluta, gli hacker preferiscono procurarsi i soldi loro stessi.
Un software di mining basato su JavaScript, ad esempio “Coinhive”, utilizza le risorse di un computer mentre l’utente di questo naviga ignaro su un sito web. In alcuni casi potrebbe essere una situazione relativamente innocua, ma se sono coinvolti computer aziendali e ambienti virtuali in grande stile, il cryptomining può comportare un drastico aumento del consumo di risorse. Nel caso meno grave aumentano solo i costi per l’energia elettrica, ma in situazioni più estreme viene pregiudicato il funzionamento dei sistemi aziendali.
La lotta fra hacker e difensori continua pertanto senza sosta. Ma come possono reagire le aziende alle minacce che cambiano? L’esperto di sicurezza Panos Zarkadakis ha un consiglio preciso: «La protezione migliore consiste nello studiare e conoscere gli hacker e i loro metodi. Lo si può fare utilizzando capacità di Threat Intelligence, Detection & Response. Inoltre, le grande aziende dovrebbero perfezionare e ampliare le proprie competenze di AI/Machine Learning nell’ambito della propria strategia di digitalizzazione. L’attenzione dovrebbe essere rivolta alla Cybersecurity.»
Cyrill Peter, responsabile della sicurezza per i grandi clienti
«Grazie al riconoscimento preventivo possiamo proteggere meglio i nostri clienti»
Come può un fornitore di infrastruttura come Swisscom contribuire alla protezione dei clienti da cyber attacchi? Risponde Cyrill Peter, responsabile della sicurezza per i grandi clienti.
Una domanda piuttosto retorica: quanto è importante il tema della sicurezza per Swisscom?
Cyrill Peter: in qualità di provider di infrastrutture critiche, il tema della sicurezza è ovviamente per noi essenziale. Investiamo molto in questo settore. Si tratta anche di proteggere la nostra infrastruttura e fornire servizi di security ai nostri clienti. A tale scopo impieghiamo oltre 100 specialisti di security in Svizzera e abbiamo anche creato le strutture necessarie, come un Security Operation Center attivo 24 ore al giorno per 7 giorni su 7.
In che misura i clienti di Swisscom beneficiano delle nostre stesse esperienze?
In qualità di provider svizzero sappiamo molto bene quali pericoli e attacchi siano attualmente in corso nel nostro Paese e siamo in grado di agire tempestivamente. I nostri clienti ne beneficiano direttamente. Scopriamo ad esempio numerosi siti di phishing qualche tempo prima rispetto alla maggior parte dei fornitori di software antivirus e anti-phishing. Possiamo così proteggere i clienti svizzeri meglio e più velocemente.
E in che cosa consiste concretamente questo vantaggio?
Da un lato, ci assicuriamo che tutti i nostri servizi abbiano già integrato un alto grado di protezione base. Dall’altro, offriamo la gamma più ampia di Managed Security Services in Svizzera, che i nostri clienti commerciali possono acquistare secondo le proprie necessità. Inoltre, ottimizziamo costantemente i nostri servizi di security in base allo stato attuale delle minacce. Lo scorso autunno abbiamo infatti lanciato il servizio “Threat Detection & Response”, che si occupa del riconoscimento preventivo e della difesa contro le minacce informatiche.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
