L’AI alleata per colmare i costi della violazione dei dati
Gli effetti (negativi) delle intrusioni informatiche stanno diventando sempre più onerosi. Dal report di IBM dal titolo Cost of a data breach, che rivela violazioni dei dati sia in termini di costo sia di impatto, rilasciato nel 2022, emerge un aumento di circa il 13% di data breach – la diffusione in un ambiente non affidabile di informazioni protette o private – rispetto ai due anni precedenti. Questi risultati potrebbero contribuire all’aumento dei costi di beni e servizi: il 60% delle organizzazioni prese in considerazione ha avuto un incremento di prezzi a seguito delle violazioni, che si somma alla crescita di quelli dovuti a inflazione e problemi relativi alla Supply chain.
Il susseguirsi degli attacchi informatici sta mettendo in luce quello che è chiamato “effetto persecutorio” dei data breach nelle aziende. L’83% delle aziende analizzate, infatti, ha subito più di una violazione di dati nel corso della propria attività; tra le varie debolezze, si riscontra un’immaturità della sicurezza nel cloud (il 43% delle aziende è nella fase iniziale o non ha ancora iniziato ad applicare pratiche di security negli ambienti della nuvola informatica, subendo in media costi di intromissione più elevati).
Gli hacker cercano solitamente vulnerabilità facili da sfruttare e, per questo, le password deboli sono in cima alla loro lista. Secondo il Data breach investigation report 2022 di Verizon, le credenziali rubate nel 2021 hanno causato quasi il 50% degli attacchi informatici: “Oggi è semplice entrare in possesso di chiavi d’accesso perché ci sono varie metodologie per farlo; gli utenti sono l’anello debole e per questo si deve diffondere consapevolezza a riguardo. Però non si può accusare soltanto l’utente perché sarebbe un ragionamento semplicistico”, spiega Massimiliano Galvagna, Country Manager Italy di Vectra AI, azienda che applica l’Intelligenza Artificiale (AI) per rilevare e rispondere agli attacchi informatici che si celano all’interno di cloud, data center e reti aziendali.
Gli attacchi sono sconosciuti e invisibili
Per far fronte alla particolare situazione bisogna agire sulle strategie, riconoscerle e cercare di evitare che gli attacchi vadano a buon fine. A questo proposito, Vectra AI utilizza l’Attack signal intelligence, ovvero l’AI applicata ai segnali di attacco (la novità è stata presenta a ottobre al Gitex Global 2022 di Dubai, l’evento dedicato a innovazione e tecnologia). “Si tratta di un approccio che mira a individuare un comportamento malevolo in funzione di una serie di segnali”, continua Galvagna. Questo colma il problema degli attacchi sconosciuti: oggi le intrusioni sono sempre più ‘invisibili’; la conseguenza è che aumenta la probabilità di riuscita dell’attacco. Come precisa il manager, succede che gli operatori della security, una volta che scoprono di essere stati compromessi, non sono in grado di risalire a quando è successo e in che modo.
Tale situazione deriva dal cambiamento dell’infrastruttura, avvenuto soprattutto dopo la pandemia: “Ci si è dotati di una serie di componenti tecnologici innovativi, come il cloud, che hanno condotto a un ampliamento delle superfici di attacco; così si ha un ampio spettro d’azione e si possono sottrarre le informazioni più facilmente, senza che le aziende se ne rendano conto”, prosegue Galvagna. Il lato oscuro della sicurezza è, come lo definisce il manager, in aumento, perché ci sono più superfici di attacco, più prodotti di security, più professionisti che lavorano in azienda. Tutto si espande e quindi anche le vulnerabilità e le probabilità di essere colpiti.
Il problema è che è sufficiente modificare di poco, per esempio, un ransomware – il malware che limita l’accesso del dispositivo che infetta richiedendo un riscatto da pagare – che gli strumenti di prevention non sono più in grado di rilevarlo: “Le metodologie di attacco sono sempre le stesse; se consideriamo la kill chain, la rappresentazione della catena di un attacco, gli stage sono sempre gli stessi; il nodo critico è che cambiano gli strumenti”. C’è una forte evoluzione delle strutture e con il cloud i dati sono contenuti all’interno di un’infrastruttura diversa da quella aziendale. “Grazie alla track intelligence conosciamo le metodologie d’attacco specifiche. Con la nuvola informatica si ha una ridotta capacità di capire se l’utente è davvero chi dice di essere”, spiega il manager.
Monitorare costantemente tattiche e tecniche
Il modello basato sull’AI applicata ai segnali di attacco si basa sulla capacità di migliorare la resilienza di un’organizzazione alle intrusioni. A differenza di altri approcci, che si concentrano sul rilevamento delle anomalie e richiedono la messa a punto e la manutenzione da parte delle persone, questa strategia smaschera l’intera trama, monitorando le tattiche e le tecniche note degli aggressori ed eseguendo modelli predefiniti in tempo reale per rilevare e selezionare le minacce.
Nello specifico, affronta la questione in due modi: il primo è quello di ridurre il numero delle tecnologie utilizzate, cercando di ampliare l’analisi in grado di coprire l’intera infrastruttura. Spiega Galvagna: “Esaminiamo tutto il traffico in cloud dei flussi di dati e in questo modo capiamo se sta avvenendo qualcosa di malevolo”. La seconda via consiste nel dare un valore aggiunto alla fase di response, ovvero dando indicazioni precise su quello che sta avvenendo. Molte tecnologie devono essere gestite con diverse policy; per esempio, il Security information and event management (Siem) – una soluzione di sicurezza che aiuta le organizzazioni a riconoscere le potenziali minacce – è uno strumento che va alimentato con molte sorgenti perché si crei la capacità di individuare un comportamento noto. Tuttavia, come riferisce Galvagna, ogni volta che un attacco è sconosciuto, non riesce a rilevarlo.
L’approccio intelligente rende più efficienti i processi; riduce i costi del Siem e la necessità di creare regole di rilevamento. Inoltre, consente l’automazione di molte attività tradizionalmente manuali e velocizza il rilevamento e la risposta. “Il nostro approccio è semplificare, dando la capacità, grazie all’AI, di capire che cosa sta avvenendo in maniera automatizzata, in modo da essere d’aiuto e di supporto alle aziende”, precisa Galvagna. Inoltre, ottimizza gli investimenti e rende più efficace il lavoro degli analisti, riducendo l’incidenza dei falsi positivi e alleviando la cosiddetta “alert fatigue”, ossia l’affaticamento di chi è esposto ad alert continui.
Laureata magistrale in Comunicazione, Informazione, editoria, classe di laurea in Informazione e sistemi editoriali, Federica Biffi ha seguito corsi di storytelling, scrittura, narrazione. È appassionata di cinema e si interessa a tematiche riguardanti la sostenibilità, l’uguaglianza, l’inclusion e la diversity, anche in ambito digital e social, contribuendo a contenuti in siti web.
Ha lavorato nell’ambito della comunicazione e collabora con la casa editrice ESTE come editor e redattrice.
Intelligenza artificiale, cybersecurity, Vectra AI, Attach signal intelligence