In un sondaggio Deloitte del 2017 , solo il 42% degli intervistati considerava le proprie istituzioni estremamente o molto efficaci nella gestione del rischio di sicurezza informatica. La pandemia non ha certamente fatto nulla per alleviare queste preoccupazioni. Nonostante i maggiori investimenti in sicurezza IT effettuati dalle aziende nel 2020 per affrontare le sfide dell’IT distribuito e del lavoro da casa, quasi l’80% dei lavoratori IT senior e dei leader della sicurezza IT ritiene che le proprie organizzazioni non abbiano difese sufficienti contro gli attacchi informatici, secondo IDG.
Sfortunatamente, il panorama della sicurezza informatica è destinato a diventare più insidioso con l’emergere di attacchi informatici basati sull’intelligenza artificiale, che potrebbero consentire ai criminali informatici di volare sotto il radar degli strumenti di rilevamento convenzionali basati su regole. Ad esempio, quando l’intelligenza artificiale viene inserita nel mix, le “e-mail false” potrebbero diventare quasi indistinguibili dai messaggi di contatto fidati. E i deepfake – media che prendono una persona in un’immagine, registrazione audio o video esistente e la sostituiscono con le sembianze di qualcun altro usando l’intelligenza artificiale – potrebbero essere impiegati per commettere frodi, costando alle aziende milioni di dollari.
La soluzione potrebbe risiedere in “IA difensiva” o algoritmi di autoapprendimento che comprendono i normali modelli di utenti, dispositivi e sistemi in un’organizzazione e rilevano attività insolite senza fare affidamento sui dati storici. Ma la strada per un’adozione diffusa potrebbe essere lunga e tortuosa poiché i criminali informatici cercano di rimanere un passo avanti rispetto ai loro obiettivi.
Cosa sono gli attacchi informatici basati sull’intelligenza artificiale?
Gli attacchi informatici basati sull’intelligenza artificiale sono attacchi informatici convenzionali potenziati con tecnologie di intelligenza artificiale e apprendimento automatico. Prendi il phishing, ad esempio, un tipo di ingegneria sociale in cui un utente malintenzionato invia un messaggio progettato per indurre un essere umano a rivelare informazioni sensibili o installare malware. Infusi con l’intelligenza artificiale, i messaggi di phishing possono essere personalizzati per prendere di mira dipendenti di alto profilo presso le aziende (come i membri della C-suite) in una pratica nota come “spear phishing”.
Immagina un gruppo antagonista che tenta di impersonare membri del consiglio di amministrazione o inviare fatture false che affermano di provenire da fornitori familiari. Grazie a un modello linguistico di apprendimento automatico in grado di generare e-mail dal suono convincente, il gruppo potrebbe mettere a punto un sistema per generare risposte che adottano il tono e il tenore del mittente impersonato e fanno persino riferimento a corrispondenze precedenti. Potrebbe sembrare inverosimile, ma c’è già una crescente preoccupazione tra gli accademici che strumenti come GPT-3 possano essere cooptati per fomentare la discordia diffondendo disinformazione, disinformazione e menzogne aperte.
Le e-mail di phishing non devono essere altamente mirate per rappresentare una minaccia per le organizzazioni. Anche i messaggi di spear-phishing realizzati pigramente possono vedere fino a 40 volte la percentuale di clic rispetto ai contenuti standard, rendendo gli strumenti di intelligenza artificiale che accelerano la loro creazione estremamente preziosi per gli hacker. Oltre alla generazione del linguaggio naturale, l’intelligenza artificiale può essere utilizzata per identificare obiettivi di alto valore all’interno delle organizzazioni dai loro profili aziendali e firme e-mail, o anche in base alla loro attività su siti di social media tra cui Facebook, Twitter e LinkedIn.
In un’intervista con la società di difesa informatica Darktrace , Ed Green, principale architetto digitale della McLaren Racing, ha osservato che prima della pandemia, il team tecnologico della McLaren avrebbe incontrato attacchi di password grezzi e di forza bruta che Green ha paragonato a una “mitragliatrice” di credenziali . Ma nell’ultimo anno, gli attacchi sono stati adattati per concentrarsi su individui, ruoli o team su scala schiacciante. “Tutti [si stanno] muovendo molto, molto rapidamente”, perché “hai un tempo limitato per leggere e rispondere ai dati e quindi apportare modifiche”, ha detto Green.
Phishing e spam sono solo la punta dell’iceberg quando si tratta di attacchi informatici basati sull’intelligenza artificiale. Ad esempio, il malware potrebbe essere potenziato con l’intelligenza artificiale per spostarsi più facilmente all’interno di un’organizzazione, sondando i sistemi interni senza rivelarsi e analizzando il traffico di rete per fondere le proprie comunicazioni. Il malware basato sull’intelligenza artificiale potrebbe anche imparare a prendere di mira determinati endpoint invece di incorporare un elenco completo, implementando un meccanismo di autodistruzione o auto-pausa per evitare il rilevamento da parte di soluzioni antimalware o sandbox.
Oltre a ciò, il software di attacco informatico basato sull’intelligenza artificiale potrebbe imparare dalle sonde in una grande botnet per arrivare alle forme di attacco più efficaci. E prima di un attacco, le sonde potrebbero essere utilizzate per la ricognizione, aiutando gli aggressori a decidere se vale la pena prendere di mira un’azienda o monitorare il traffico verso un nodo infetto (ad esempio un PC desktop, un server o un dispositivo Internet of Things) per selezionare obiettivi preziosi.
Secondo un whitepaper di Darktrace pubblicato di recente, il contesto è uno degli strumenti più preziosi che l’intelligenza artificiale porta nell’arsenale di un hacker. L’IA armata potrebbe essere in grado di adattarsi all’ambiente che infetta imparando dalle informazioni contestuali, prendendo di mira i punti deboli che scopre o imitando gli elementi attendibili di un sistema per massimizzare il danno che provoca.
“Invece di indovinare in quali orari vengono condotte le normali operazioni aziendali, [il malware] lo imparerà”, scrive Max Heinemeyer, direttore della caccia alle minacce di Darktrace. “Piuttosto che indovinare se un ambiente utilizza principalmente macchine Windows o macchine Linux, o se Twitter o Instagram sarebbero un canale migliore per la steganografia, sarà in grado di comprendere quale comunicazione è dominante nella rete del target e fondersi con esso.”
Ciò potrebbe dare origine a ciò che Darktrace chiama attacchi di esfiltrazione dei dati “low-and-slow”, in cui il malware impara a eludere il rilevamento intraprendendo azioni troppo sottili per essere rilevate dagli esseri umani e dai tradizionali strumenti di sicurezza. Con una comprensione del contesto dell’ambiente di destinazione, il malware potrebbe utilizzare l’invio di un payload che cambia dinamicamente di dimensioni, ad esempio, in base alla larghezza di banda totale utilizzata dalla macchina infetta.
Soluzioni
Le aziende ripongono sempre più fiducia nell’IA difensiva per combattere le crescenti minacce informatiche. Nota come risposta autonoma, l’IA difensiva può interrompere gli attacchi in corso senza influire sull’attività quotidiana. Dato un ceppo di ransomware che un’azienda non ha mai incontrato prima, l’IA difensiva può identificare i modelli di comportamento nuovi e anormali e fermare il ransomware, anche se non è associato a indicatori di compromissione pubblicamente noti come domini di comando e controllo nella lista nera o hash di file malware.
L’intelligenza artificiale può anche migliorare la caccia alle minacce integrando l’analisi del comportamento, sviluppando profili di app e dispositivi all’interno della rete di un’organizzazione analizzando i dati dagli endpoint. E può fornire informazioni su quali modifiche alla configurazione potrebbero migliorare l’infrastruttura e la sicurezza del software, apprendendo i modelli del traffico di rete e consigliando le policy.
Ad esempio, Vectra , un fornitore di sicurezza informatica, sfrutta l’intelligenza artificiale per avvisare i team IT di comportamenti anomali da dispositivi compromessi nei metadati del traffico di rete e altre fonti, automatizzando la mitigazione degli attacchi informatici. Vectra utilizza tecniche di apprendimento automatico supervisionato per addestrare i suoi modelli di rilevamento delle minacce insieme a tecniche non supervisionate per identificare attacchi che non sono stati visti in precedenza. I data scientist dell’azienda costruiscono e mettono a punto sistemi di intelligenza artificiale con autoapprendimento che integrano i metadati con informazioni chiave sulla sicurezza.
Un altro fornitore, SafeGuard Cyber , sfrutta un motore basato sull’intelligenza artificiale chiamato Threat Cortex che rileva e mette in luce i rischi su diverse superfici di attacco. Minaccia Cortex effettua ricerche nel dark web e nel deep web per individuare aggressori ed eventi di rischio, notificando automaticamente le parti interessate quando si verifica un’anomalia. Utilizzando SafeGuard Cyber, gli amministratori possono mettere in quarantena i dati non autorizzati dall’uscita da un’organizzazione o da un account specifico. Consente loro di bloccare e ripristinare gli account compromessi a uno stato precedente e senza compromessi.
Secondo un recente rapporto di Darktrace , il 44% dei dirigenti sta valutando sistemi di sicurezza abilitati all’intelligenza artificiale e il 38% sta implementando una tecnologia di risposta autonoma. Ciò concorda con i risultati di Statista. In un’analisi del 2019, l’azienda ha riferito che circa l’80% dei dirigenti nel settore delle telecomunicazioni ritiene che la propria organizzazione non sarebbe in grado di rispondere agli attacchi informatici senza l’intelligenza artificiale.
“Il machine learning ha molte implicazioni per la sicurezza informatica. Sfortunatamente, questo include cyber attaccanti esperti, che presumiamo inizieranno a utilizzare questa tecnologia per proteggere la loro infrastruttura dannosa, migliorare il malware che creano e trovare e prendere di mira le vulnerabilità nei sistemi aziendali”, ha scritto la società di sicurezza informatica ESET con sede in Slovacchia in un white paper del 2018 . “Il clamore intorno agli argomenti e il numero crescente di notizie che ruotano attorno a massicce fughe di dati e attacchi informatici alimentano i timori nei reparti IT dell’azienda per ciò che deve ancora venire”.