Di recente Gartner ha evidenziato quali saranno i trend emergenti per il 2020. Tra questi, gli analisti citano l’AI Security.
Una varietà di tecnologie sempre più ampia ricorre all’intelligenza artificiale e al machine learning per semplificare all’uomo i processi decisionali. L’AI permette nuove strategie di difesa, ma allo stesso tempo – con la sua democraticizzazione – l’utilizzo è alla portata anche del cybercrime, in uno scenario evidente di estensione delle superfici di attacco. Si pensi anche solo ai servizi cloud, alle app, alle architetture a microservizi, a Internet of Things.

Da qui parte il confronto con Pierluigi Torriani, security engineering manager Italy di Check Point, che conferma: “Sì è vero. AI è “un’arma” disponibile non solo a chi si difende ma anche a chi attacca. Ad oggi sono già diverse le tipologie di attacchi rilevate grazie all’utilizzo dell’AI. I vantaggi per chi si deve difendere però sono strategici. E’ possibile, sfruttando il machine learning, individuare informazioni e pattern specifici in modo molto rapido, così è più facile scovare il malware anche in modalità dinamica”.

Pierluigi Torriani -
Pierluigi Torriani – security engineering manager Italy di Check Point

Check Point sfrutta l’AI su ThreatCloud (80 milioni di query al giorno, più di quelle su Google come motore di ricerca) e ThreatIntelligence dove trovare correlazioni tra l’immensa quantità di informazioni sarebbe altrimenti quasi impossibile.

“La potenza dell’AI, però – prosegue Torriani – è effettivamente a disposizione anche del cybercrime che potrebbe utilizzarla per attaccare in modalità dinamica e soprattutto per modulare gli attacchi in funzione delle tipologie di difesa delle singole aziende o anche dei singoli Paesi (cyberwar). Si tratta di un trend ineluttabile per il quale esistono già alcune evidenze”.

Il cybercrime dimostra di mutuare nel tempo modelli e approcci tipici dell’evoluzione IT reale. Anche solo 4/5 anni fa sarebbe stato impensabile poter accedere sul Dark Web a risorse malware in modalità As a Service come è possibile fare ora per sferrare attacchi modulati a preferenza scegliendo anche fasce orarie e giorni. Oggi il Dark Web ha dimensioni pari ai 2/3 del Web ‘reale’, e rappresenta quindi una risorsa importante, in grado di generare miliardi di dollari di ricavi.

Si sviluppa malware anche sfruttando parti di codice buono e si deve ricorrere a soluzioni specifiche per analizzare malware ibrido di questo tipo. Check Point per questo ha creato la soluzione ThreatGuard che lavora sfruttando sonde all’interno del Dark Web e analizza le informazioni che vi transitano, le estrae e utilizzando l’AI le elabora ad alimentare ThreatCloud, quindi il servizio dell’intelligence.

L’evoluzione delle minacce

Lo scenario evolutivo delle minacce emerge dal report Check Point elaborato proprio in questi giorni. Torriani: “Negli ultimi trenta giorni in Italia – e il trend conferma quanto accaduto negli ultimi sei mesi – il 92% delle infezioni avviene tramite email. Solo l’8% tramite via Web (navigazione, download, etc.). L’andamento degli attacchi a livello globale vede l’81% di essi utilizzare la posta elettronica e il 19% le altre vie. L’Italia si distingue quindi per l’utilizzo del canale email, ma si tratta di un andamento comunque ‘parallelo’ rispetto ai dati worldwide“.

Vettori di attacco per file malevoli
Vettori di attacco per file malevoli (confronto Italia/Global). Fonte: Check Point Research

Il 60% dei file infetti veicolati via email sono i file di Word (Doc), con le macro, il 17% è di file eseguibili (seguono Rtf, Xls e Pdf). Il problema è evidente, si tratta di una tipologia di attacchi che perdura da oltre un decennio, e che non distingue l’Italia perché, anche in questo caso, le percentuali sono in linea con i dati globali (50% file di Word e circa 18% eseguibili).

I formati file utilizzati per gli attacchi email (confronto Italia/Global). Fonte: Check Point Research
I formati dei file allegati utilizzati per gli attacchi email (confronto Italia/Global). Fonte: Check Point Research

I file corrotti si utilizzano poi per veicolare cryptolocker (cifratura del disco e pagamento del riscatto), anche se in misura minore rispetto allo scorso anno, ma “il valore dei riscatti sta scendendo, perchè colpendo su vasta scala – specifica Torriani se la cifra richiesta è minore è più probabile che la vittima paghi; i riscatti elevati decrescono, ma sono più mirati”.

Il formato dei file più utilizzati per gli attacchi via Web
Il formato dei file più utilizzati per gli attacchi via Web  (confronto Italia/Global). Fonte: Check Point Research

Nella percentuale di attacchi via email sono evidentemente compresi anche tutti i tentativi di phishing. Il vantaggio per l’attaccante – quando non è attivata l’autenticazione a due fattori – è che la “violazione” di tutte le risorse accessibili online via user id e password “resta trasparente”, anche a lungo. E’ un aspetto importante tanto più con la crescita del volume della sfera cloud: l’accesso ad una sfera di dominio in “single sign-on” apre possibilità quasi illimitate. La soluzione CloudGuard SaaS Identity Protection serve quindi a verificare, a livello di dominio, utenza e password ma accerta anche l’utilizzo effettivo di un dispositivo certificato all’accesso.

Il problema delle competenze

Che la maggior parte degli attacchi siano veicolati a distanza di anni anche con metodi da tempo conosciuti è indice di almeno due fattori: il primo riguarda la formazione (esperti di cybersecurity e dipendenti), ma il secondo riguarda l’effettiva difficoltà per le aziende di difendere un asset comunque critico, e questo anche per la continua sovrapposizione di strati di sicurezza incoerenti, nel tempo.

Torriani: “Partiamo dal primo aspetto. Sì, la mancanza di expertise si tocca con mano tutti i giorni. Le aziende di cybersecurity e i nostri partner tecnologici oggi sono alla ricerca non solo di personale esperto, ma anche di risorse da formare. Sono tantissime le opportunità lavorative in questo ambito e il requisito di ingresso è soprattutto la passione e la capacità di continuare a porsi delle domande, perché le tecnologie cambiano di settimana in settimana e bisogna oggettivamente continuare a studiare, con effort non indifferenti. Una laurea in informatica o in telecomunicazioni rappresenta un’ottima base ma è fondamentale non guardare a sicurezza e network come a due silos separati, e “agganciare la prima con precisione alla seconda”.

Lato dipendenti e utenti finali, invece, sarà indispensabile lavorare sulla consapevolezza del singolo, anche attraverso la formazione. “Basterebbe un’ora tutti i mesi. – spiega Torriani e prosegue -. Le funzionalità di Next Generation Firewall prevedono già una serie di strumenti per evitare i clic malevoli e involontari. Anche questa tipologia di servizi (che a volte potrebbe risultare invasiva, ndr.) è importante invece proprio per far prendere consapevolezza sull’origine delle minacce. Nella scelta del firewall si preferisce pensare agli economics e risparmiare: il nostro punto di vista è invece basato su un dato certo e cioè che da 26 anni il sistema operativo di Next Generation Firewall conta – da statistiche ufficiali (Cvedetails.com) presenta il numero minore di vulnerabilità (una sola, nel 2014) rispetto alle proposte dei concorrenti”.

Per quanto riguarda il secondo punto (la complessità dell’infrastruttura di sicurezza aziendale) Check Point propone Infinity Architecture, un approccio di ecosistema alla cybersecurity – con un’unica gestione centralizzata e consolidata – per tutte le reti, gli endpoint, il cloud e i dispositivi mobile.  

Le sfide in ambito IoT

L’approccio alla sicurezza, per Check Point, passa in primis dalla prevenzione, significa che il malware deve essere bloccato fuori dal perimetro dell’azienda, per quanto esso possa essere oggi indefinito “e qualunque esso sia… Anche i sensori IoT. E’ comprensibile quanto il tema possa essere delicato per tutto il comparto manufacturing. “Ed è un punto importante – prosegue Torrianiperché la complessità rispetto a qualche anno fa si è innalzata. Abbiamo appena acquisito una startup specializzata in ambito IoT, Cymplify, che permetterà di migliorare e mettere in sicurezza i nano-agent, dispositivi e pezzi di codice a bordo dei sensori IoT, e di fornire access control agli oggetti, oltre alla parte di “net-prevention”, all’analisi del traffico in/out nel dispositivo e alla protezione dei workload a livello runtime”.

L’integrazione è prevista per l’inizio del 2020 sempre all’interno dell’architettura Infinity che viene proposta con un sistema di licensing coerente con i modelli pay as you go, tipici degli scenari cloud, quindi flessibili, per consentire l’utilizzo dei singoli servizi Check Point anche solo per un determinato periodo di tempo.

© RIPRODUZIONE RISERVATA