L’AI per bloccare l’avanzata dei cybercriminali nell’era della pandemia
L’avvento delle nuove minacce informatiche visto e analizzato da Mariana Pereira, Director of Email Security Products di Darktrace.
L’avvento del Coronavirus ha sconvolto e interrotto il lavoro di milioni di persone in tutto il mondo alimentando, di contro, un’attività intensa e inarrestabile per i cybercriminali.
Durante le settimane di maggiore criticità per la pandemia, la Presidente della Commissione Europea Ursula Von der Leyen ha lanciato un nuovo monito ai cittadini europei, mettendoli in guardia contro l’aumento esponenziale delle attività cybercriminali a fronte dell’emergenza in corso.
Per chi opera nel settore della sicurezza informatica constatare anche in questa situazione come gli hacker cerchino di trarre vantaggio proprio da forti disagi – economici tanto quanto emotivi e sociali – non ha rappresentato di certo di una sorpresa. Tuttavia, abbiamo potuto constatare l’avvento di nuove minacce e modalità.
Ransomware esclusi, quali sono le tipologie di attacco che ci troviamo ad affrontare maggiormente in questo particolare momento storico? E, soprattutto, come è possibile combatterle? Analizziamo insieme le principali sfide.
Stare a casa è sinonimo di sicurezza? Non sempre dal punto di vista dell’IT, in particolare se consideriamo le infrastrutture di remote working.
Il passaggio al lavoro da remoto ha costretto le organizzazioni ad adattarsi rapidamente al nuovo scenario e l’attuazione dei processi di trasformazione digitale, solitamente pianificati ed eseguiti nell’arco di diversi anni, si è dovuta svolgere nel corso di pochissime settimane, a volte addirittura di pochi giorni.
L’utilizzo della VPN, ad esempio, ha subito un’impennata consistente per consentire lo svolgimento delle nuove modalità di lavoro e la corsa a implementare, a volte in modo frettoloso, le nuove soluzioni ha fatto sì che la cybersicurezza fosse lasciata in secondo piano. Gli aggressori conoscono già da tempo queste dinamiche e sono stati pronti a sfruttare le vulnerabilità fin da subito. È quanto accaduto, ad esempio, nel mese di marzo, quando alcuni criminali del gruppo DarkHotel hanno colpito le agenzie governative cinesi sfruttando una vulnerabilità presente nei server VPN SSL di Sangfor, utilizzati per fornire l’accesso remoto alle reti aziendali e governative.
Nessun governo o azienda è immune a questo genere di minacce informatiche e l’attuale tendenza ad adottare rapidamente nuovi strumenti informatici senza avere una piena visibilità della propria infrastruttura rende le loro supply chain un bersaglio facile per gli aggressori. La scorsa settimana, la nostra IA ha rilevato un attacco contro un’azienda di servizi finanziari in Italia avvenuto proprio mentre l’azienda stava affrontando la transizione al lavoro a distanza. Questo attacco ha mostrato concretamente come il rischio sia concreto, perché, come molte altre organizzazioni oggi, l’azienda stava utilizzando alcuni servizi cloud per facilitare il lavoro da remoto, fornendo in questo modo agli hacker nuove possibili modalità di accesso illecito all’interno dell’organizzazione.
L’Intelligenza Artificiale, sfruttando la propria capacità di comprensione del “New Normal” aziendale, ha identificato una serie di accessi sospetti a uno dei nuovi servizi cloud, provenienti da località insolite, bloccando l’attacco e evitando così una grave perdita di dati per l’azienda. Il punto è che quando un’intera forza lavoro migra in modalità remota, valutare l’affidabilità e la correttezza di ogni singola nuova connessione cloud diventa un compito troppo oneroso per essere svolto solo da esseri umani e senza la visibilità dell’infrastruttura cloud offerta dall’IA gli aggressori avrebbero guadagnato l’accesso all’interno dell’organizzazione, causando un arresto dell’operatività aziendale o, nel peggior dei casi, arrivando a chiedere un riscatto.
Videocall: qualcuno ci spia?
I problemi di privacy e sicurezza che hanno investito gli strumenti di videoconferenza offerti da terze parti (Zoom e affini) non rappresentano di certo una novità, eppure, da un giorno all’altro queste piattaforme si sono trasformate in strumenti della nostra quotidianità ai quali è difficile rinunciare. Avendo così poco tempo a disposizione per adattarsi, le organizzazioni sono riuscite a verificare che fossero realmente sicure?
Abbiamo letto sui giornali notizie di ospiti indesiderati, i cosiddetti “conference-bomber”, che si intrufolano nelle videochiamate con l’intenzione di disturbare e molestare. Di recente, un adolescente americano è stato arrestato e oltre 500.000 account di videoconferenza sono stati messi in vendita illegalmente sul dark web.
Per quanto riguarda i dipendenti, esistono molti modi per ridurre i rischi di violazioni, dalle password di accesso per partecipare alle riunioni, all’utilizzo di nuovi dial-in per ogni chiamata. Anche le aziende devono però fare la loro parte, utilizzando le migliori soluzioni tecnologiche per proteggersi dalle vulnerabilità e dagli hacker, monitorando costantemente i nuovi sistemi utilizzati e combattendo in maniera autonoma i potenziali attacchi.
Attacchi ‘Fearware’: quando gli hacker sfruttano le nostre ansie
Le modalità con le quali i cybercriminali scagliano attacchi tramite la posta elettronica sono tanto innovative quanto creative: una volta individuati i bersagli, inviano mail altamente personalizzate, persuadendo subdolamente le vittime ad aprire i messaggi e cliccare su link o allegati dannosi. Per avere ancora più successo oggi i criminali sfruttano proprio le ansie collettive generate dalla pandemia.
Nelle cosiddette campagne che abbiamo denominato “fearware”, gli hacker creano email di phishing iper realistiche che sembrano a tutti gli effetti provenire dalle autorità sanitarie ma che contengono in realtà software maligni che sottraggono dati sensibili all’utente o prendono il controllo dei dispositivi. Nel mese di aprile, oltre il 60% delle email dannose bloccate dall’Intelligenza Artificiale di Darktrace erano collegate alla tematica del COVID-19 o cercavano di ingannare i dipendenti facendo riferimento al lavoro a distanza.
Queste nuove campagne pongono sfide cruciali nell’ambito della sicurezza informatica: i tradizionali strumenti di difesa della posta elettronica sono certamente in grado di bloccare con successo attacchi di phishing già noti, ma le nuove email in circolazione che sfruttano la paura della pandemia sono inedite e di difficile intercettazione. Schierare risorse umane in quella che ormai sta diventando una lotta tra macchine non è più sufficiente e a giocare un ruolo fondamentale anche in questo ambito sarà l’Intelligenza Artificiale.
La mancata promessa degli hacker: “Non attaccheremo gli ospedali”
Nonostante a marzo alcuni gruppi hacker avessero promesso che non ci sarebbero stati attacchi contro le organizzazioni sanitarie durante la crisi COVID-19, non abbiamo notato alcun segno di tregua e, purtroppo, questo conferma ciò che già sappiamo sui cybercriminali: sono spietatamente opportunisti e non si fermano davanti a nulla pur di assicurarsi un riscatto.
Anche in Italia, l’attacco all’Ospedale Spallanzani e il sabotaggio delle apparecchiature del laboratorio per test Covid-19 del San Camillo dello scorso marzo evidenziano la triste e allarmante escalation delle minacce in corso. Trovandoci nel pieno di una pandemia globale, gli operatori sanitari hanno ben altre priorità da affrontare e proprio questo rischia di renderli bersagli facili. Se pensiamo anche solo per un secondo a quale devastante impatto potrebbero avere questi attacchi sulla capacità degli ospedali di fornire assistenza sanitaria comprenderemo facilmente perché la diffusione di queste minacce abbia indotto l’INTERPOL a lanciare un avvertimento alle organizzazioni sanitarie in merito agli attacchi ransomware. Per centinaia di ospedali in tutto il mondo la sicurezza informatica basata sull’’A si rivela un alleato prezioso per filtrare in maniera completamente autonoma le email dannose in modo che i lavoratori possano concentrarsi sui pazienti.
Un nuovo inizio e una nuova difesa
In tempi così incerti e concitati, per molte organizzazioni è la mancata percezione di ciò che accade nei propri sistemi a accrescere ancora di più i rischi derivanti dall’introduzione di software di terze parti o dispositivi non autorizzati.
Per questo ritengo che la pandemia abbia inaugurato una nuova era anche dal punto di vista della difesa informatica, in cui il Machine Learning non supervisionato si sta rivelando fondamentale nella lotta al cybercrimine.
Dovremo affrontare una nuova realtà, in cui il business digitale è profondamente cambiato e con una rapidità che non avremmo potuto immaginare. Sarà proprio la capacità dell’IA di apprendere e ricalibrare ciò che è la norma nell’ambiente digitale circostante a renderla sempre più efficace e indispensabile per difendere le nuove tecnologie sulle quali le aziende faranno affidamento per rilanciare le proprie attività nella fase della ripresa. In un periodo come questo, i team di sicurezza saranno inevitabilmente sovraccarichi di lavoro ancora per molti mesi e l’IA potrà combattere per loro, come alleato fondamentale per affrontare le minacce emergenti.
Mariana è Director delle soluzioni di Email Security in Darktrace, con focus principale sulle capacità della cyber IA per la difesa da attacchi derivanti da email. Mariana collabora a stretto contatto con team di sviluppo, analisi e marketing per consigliare pubblici di natura tecnica e di business su come incrementare la cyber resilienza nel segmento delle email, e su come sfruttare tecnologia di IA come mezzo di difesa. È regolarmente relatrice in eventi internazionali, con particolare specializzazione nel presentare casi concreti di attacchi sofisticati basati su IA. Ha conseguito un MBA presso l'Università di Chicago e parla diverse lingue fra cui francese, inglese e portoghese.