L’AI come alleato per difendersi dagli attacchi informatici
Negli ultimi anni si è assistito a un importante incremento dell’adozione di soluzioni digitali da parte delle aziende. Lo scenario attuale impone l’esigenza di integrare strategie che comprendano la possibilità di lavorare da remoto sfruttando la tecnologia. Ciò da un lato favorisce alcuni processi, dall’altro genera un’esposizione al rischio maggiore, perché aumenta il perimetro da difendere e moltiplica le possibilità di attacchi informatici. Anche la migrazione in cloud, scelta ormai quasi obbligata per fruire di numerosi servizi, non è immune da eventuali rischi. La trasformazione digitale ha, infatti, dato vita a nuovi metodi di intrusione, concentrati soprattutto sulla sottrazione delle credenziali agli utenti. Ecco perché la cybersecurity è sempre più centrale per affrontare correttamente il contesto digitale.
Per citare qualche dato, basti sapere che nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente e, peraltro, risultano anche più gravi; le nuove modalità dimostrano che le tecniche dei cyber criminali sono sempre più sofisticate, crescendo sia in quantità sia in ‘qualità’. È quanto emerge dal Rapporto Clusit di marzo 2022, che rivela inoltre come il 79% degli attacchi abbia avuto un impatto elevato (contro il 50% del 2020).
Entrando nello specifico, secondo l’indagine, tra i trend cybersecurity più rilevanti del 2021 per l’Italia, si osserva la continua crescita di malware (sistemi dannosi che mettono a rischio un sistema) e botnet (reti di dispositivi infettati che possono essere controllati da remoto) con un aumento del 58% di server compromessi. La penetrazione degli attacchi inizia a essere rilevante anche in ambito mobile, con la presenza nelle prime posizioni di FluBot, un programma per dispositivi Android che si distribuisce attraverso link di phishing condivisi mediante sms o App di messaggistica. In generale, in Italia i settori più colpiti sono il Finance/Insurance e la Pubblica amministrazione, che insieme collezionano circa il 50% dei casi di attacchi.
“Negli ultimi tempi si è riscontrato un ampio aumento di attacchi ransomware: si compromette un utente, ottenendo credenziali valide, si estraggono le informazioni e si compie il ricatto. È un problema che deriva dalla forte digitalizzazione e dallo spostamento di dati e informazioni verso il cloud”, conferma Massimiliano Galvagna, Country Manager Italy di Vectra AI, azienda che applica l’Intelligenza Artificiale (AI) per rilevare e rispondere agli attacchi informatici nascosti all’interno di cloud, data center e reti aziendali.
Concentrarsi sulla fase di detection
Per ovviare alle numerose criticità, Vectra AI punta sull’aumento della visibilità. “Dare visibilità a un’infrastruttura eterogenea è fondamentale, perché permette di governare meglio i processi; inoltre, utilizzare l’AI aumenta la capacità di analisi partendo dal principio che qualsiasi azienda può essere colpita: non bisogna quindi fidarsi di niente e di nessuno”, spiega Galvagna.
Sulla base di questo principio, che fa riferimento all’approccio denominato “zero trust”, in base al quale bisogna verificare sempre qualsiasi transazione, si punta a mantenere un livello di detection alto (cioè il rilevamento delle intrusioni) in modo da individuare un eventuale attacco per tempo, evitando impatti dannosi. “Il nostro approccio è diverso dalle aziende di sicurezza tradizionali: puntiamo e lavoriamo sulla fase di detection – non tanto su quella di prevenzione – per non arrivare al data breach, ovvero alla diffusione di informazioni protette: ritengo che sia il miglior approccio per far fronte alle sfide attuali”, dice il manager.
Mentre la fase di prevenzione si focalizza sul rilevare l’intrusione e mettere in atto immediatamente misure di sicurezza per bloccarla, i sistemi di detection analizzano tutte le attività di Rete, con lo scopo di scovare un traffico dati insolito e quindi, in tal caso, informare l’utente interessato. “Focalizzarsi su questa fase significa accettare il rischio, ma essere in grado di rilevare la prima compromissione e gestirla al meglio in modo che non si trasformi in un impatto dannoso. In questo modo, riusciamo a fare analisi complete su tutti i tipi di cloud”, puntualizza Galvagna.
Di solito, le aziende coinvolte negli attacchi hanno soluzioni di sicurezza focalizzate sulla prevenzione, ma, secondo il Country Manager Italy di Vectra AI, limitarsi alla prevenzione si rivela una strategia fallimentare: “È più utile aumentare la visibilità per rilevare quello che sta accadendo. E, ancor di più, utilizzare l’AI per capire e analizzare le metodologie degli attaccanti; non serve basarsi sul riconoscimento dei tool di attacco, ma sulle tecniche che utilizzano”.
Integrare e mettere in comunicazione gli strumenti
Intercettare i comportamenti anomali di una macchina o di un utente è fondamentale. Eppure, la security tradizionale si è sempre trovata a dover ‘rincorrere’ gli attaccanti. Lo spiega Galvagna: “Nel momento in cui si individua un tipo di minaccia, nel giro di qualche mese viene rilasciato uno strumento dedicato per rispondere a quello specifico rischio, come per esempio un nuovo prodotto”. Si è passati dall’utilizzo di email per diffondere virus allo spam e al phishing e, quindi, si è iniziato a creare soluzioni antivirus. Ma oggi, secondo il manager, “la velocità dell’Information Technology (IT) e la trasformazione costante delle metodologie di attacco non consentono più questo approccio”.
Ecco perché servono un modello e una visione integrata, che mettano in collaborazione i diversi strumenti. “Dal nostro punto di vista, occorre sfruttare l’esistente integrandolo con nuovi dispositivi; le aziende hanno spesso investito in prodotti che non comunicano tra loro, ma fare in modo che si autoalimentino aumenta la possibilità di mantenere il controllo”, spiega Galvagna. Avere strumenti interconnessi significa anche incrementare la visibilità sulla Rete, sugli endpoint e sugli strumenti, e questo incide sulla tempestività di reazione: “Nel rilevare un attacco le tempistiche sono fondamentali, nell’ottica di intervenire prima di avere un impatto. Quindi comunicare, per esempio, la necessità di isolare una macchina o di disabilitare un account utente per tempo, è importante per impedire che l’attacco vada a segno”.
Diminuire il numero di operazioni da svolgere per un analista che deve gestire un attacco – che in quel momento è sotto stress proprio perché sa che qualcosa non funziona – non è una banalità. “Poter avere tutte le informazioni centralizzate in un unico strumento è strategico da ogni punto di vista”, conferma Galvagna. Quindi, il beneficio di avere prodotti di security integrati è quello di facilitare, semplificare e velocizzare l’analisi di un incidente: “È importante utilizzare uno strumento che, integrandosi con tutta l’infrastruttura esistente, coordini, attinga informazioni e arricchisca strumenti terzi”. Avere visibilità per governare dati e processi è la strategia più efficace per muoversi in un mondo digitale sempre più esposto alle minacce informatiche.
Laureata magistrale in Comunicazione, Informazione, editoria, classe di laurea in Informazione e sistemi editoriali, Federica Biffi ha seguito corsi di storytelling, scrittura, narrazione. È appassionata di cinema e si interessa a tematiche riguardanti la sostenibilità, l’uguaglianza, l’inclusion e la diversity, anche in ambito digital e social, contribuendo a contenuti in siti web.
Ha lavorato nell’ambito della comunicazione e collabora con la casa editrice ESTE come editor e redattrice.
Intelligenza artificiale, cybersecurity, Vectra AI, Massimiliano Galvagna