L’intelligenza artificiale è un’arma sempre più utilizzata su entrambi i fronti della sicurezza informatica, per sviluppare minacce sempre più letali e sistemi difensivi capaci di anticiparne le mosse, prevedendone i comportamenti grazie all’impiego delle medesime tecniche.

TAKEAWAY

• L’insight “Cybersecurity trends: looking over the horizon”, pubblicato da McKinsey, offre dati e spunti di riflessione sui principali trend in materia di sicurezza informatica, nel contesto di un business dai numeri impressionanti.
• L’intelligenza artificiale aiuta i cybercriminali a mettere a punto minacce sempre più veloci ed efficienti nella loro azione malevola, agevolando al tempo stesso la crescita di nuovi business, come il Ransomware-as-a-Service.
• Sul fronte opposto, le tecniche AI vengono impiegate per prevenire e rispondere in maniera efficace agli attacchi, oltre a supportare le operazioni di intelligence alla base di un approccio proattivo. Come prevedibile, il cloud si sta rivelando una roccaforte ben più difficile da espugnare rispetto ai sistemi on-premise. Il fattore umano rimane tuttavia decisivo.

---

Le tecniche di intelligenza artificiale e la sicurezza informatica sono al centro di una corsa senza esclusione di colpi, dove i cybercriminali e i sistemi di sicurezza aziendale si sfidano ogni giorno cercando tecnologie sempre più evolute per rendere più efficaci le proprie strategie e prevalere sull’avversario.

Si tratta di uno degli aspetti fondamentali su cui si focalizza l’attenzione dell’insight “Cybersecurity trends: looking over the horizon”, in cui gli analisti di McKinsey, oltre a rilevare i fronti evolutivi della minaccia, cercano di capire quali siano le risposte più congeniali alle organizzazioni, ormai costantemente impegnate nel prevenire – ma soprattutto nel rispondere  – in maniera efficace, per mitigare il più possibile gli effetti di incidenti informatici sempre più evoluti.

Fatti, non parole: i numeri della cyber sicurezza globale

I numeri del problema ci dicono che le aziende arriveranno a spendere oltre 100 miliardi di dollari per i servizi di sicurezza entro il 2025. Un investimento tutto sommato ragionevole, se si considera che già nel 2021 i danni economici derivanti dagli attacchi di sicurezza informatica sono stati stimati nell’ordine dei 6 trilioni di dollari (Fonte: Rapporto Clusit Sicurezza ICT 2022), una cifra difficile anche soltanto da scrivere, che equivale grosso modo a quattro volte l’interno PIL di una nazione come l’Italia.

Secondo McKinsey, il volume complessivo del danno potrebbe superare i 10 trilioni di dollari all’anno entro il 2025, grazie ad un incremento su base annua pari al 15%.

Il business legato alla cyber sicurezza è letteralmente esploso, in tutti i sensi, creando un gap di competenze sul fronte delle professioni legate alla sicurezza informatica, che tende ad avvantaggiare strutturalmente chi agisce dal lato oscuro della forza.

Si stima che, attualmente, vi siano almeno 3.5 milioni di posizioni aperte nel mercato della cyber-security, una cifra rilevante, che tenderà a crescere in maniera significativa nel corso dei prossimi anni. Laddove non arriveranno le risorse umane, come vedremo, dovrà pensarci la tecnologia. Intelligenza artificiale e sicurezza informatica costituiranno, dunque, un trend in costante evoluzione e la battaglia per la cyber-security si sposterà sempre più sul fronte del cloud.

La cyber-security rappresenta un business enorme a livello globale, a causa dell’indotto che genera in vari ambiti di business. Secondo McKinsey, le assicurazioni potrebbero aumentare mediamente del 21% il premio annuo sulle polizze, a garanzia dei rischi in materia di sicurezza informatica. Almeno fino al 2025, anno limite per lo studio pubblicato nelle pagine di “Cybersecurity trends: Looking over the horizon”.

Intelligenza artificiale e sicurezza informatica: minacce sempre più intelligenti

Tra le ragioni per cui il cybercrime dilaga in maniera impressionante, anno dopo anno, vi è la crescente automatizzazione degli attacchi, sempre più mirati verso obiettivi specifici.

I criminali conoscono molto bene lo scenario di intelligenza artificiale e sicurezza informatica e ciò consente loro di sviluppare tecniche di attacco sempre più micidiali, in grado di penetrare con successo anche quei perimetri di sicurezza all’apparenza invulnerabili.

Grazie alle tecniche di machine learning, i cybercriminali possono analizzare enormi quantità di dati e lanciare attacchi sempre più sofisticati e, soprattutto, sempre più veloci. E, di conseguenza, complessi da intercettare e mitigare.

L’obiettivo principe del cybercriminale è molto semplice: il profitto derivante da un attacco. Il ciclo di vita di un’azione offensiva spazia dalla ricognizione iniziale, utile a individuare le possibili vulnerabilità da sfruttare, all’exploit finale, dai cui effetti deriva l’effettiva monetizzazione. Abbreviare questo ciclo aumenta le probabilità di successo.

Anche se una campagna può durare mediamente un paio di settimane, la fase più efficace è costituita dalle primissime ore, laddove è più semplice cogliere le vittime alla sprovvista, prima che abbiano modo di accorgersi della minaccia, correre ai ripari e mitigarne gli effetti.

I metodi di attacco più diffusi, vale a dire il ransomware e il phising, si avvalgono di tecniche di apprendimento automatico per diventare sempre più efficaci nella loro azione malevola, sfruttando oltretutto l’enorme volano delle botnet.

Molti si stanno ancora leccando le ferite causate da Emotet nel corso del 2020, quando all’improvviso è stata capace di cambiare in maniera significativa la natura dei propri attacchi, rivolti principalmente verso i servizi finanziari.

Grazie all’impiego di alcune tecniche di intelligenza artificiale, Emotet è stata in grado di automatizzare i processi di invio mail di phising contestualizzato, facendo letteralmente una strage. Una minaccia informatica capace di variare il proprio comportamento genera, su scala globale, una dinamica malevola che ricorda molto da vicino il diffondersi di una pandemia virale, grazie all’emergenza di nuove varianti, sempre più abili nel bucare le difese immunitarie.

Le forme di attacco

Il fenomeno preponderante sul fronte delle minacce informatiche è attualmente costituito dalla minaccia dei ransomware, una forma di malware capace di crittografare e rendere inservibili i dati della vittima, a cui viene richiesto un riscatto per ricevere la chiave in grado di rimuovere il blocco. Le varianti a doppia estorsione, emerse nei tempi più recenti, precedono la crittografia con una fase silente, in cui avviene l’esfiltrazione dei dati.

Il data breach concede ai criminali una micidiale arma in più da giocare, minacciando la vittima di pubblicare o vendere i dati stessi al miglior offerente, qualora non venga corrisposto il riscatto richiesto entro i tempi previsti. In tal caso non c’è strategia di backup & recovery che tenga e il rischio che i propri segreti industriali finiscano in mani indesiderate diventa decisamente concreto, avendo a che fare con soggetti privi di qualsiasi scrupolo.

Il ransomware e il phising sono due forme di attacco molto “opportuniste”, in quanto sfruttano prevalentemente l’errore umano, le cui probabilità aumentano nei periodi critici, come la pandemia Covid-19, in cui abbiamo assistito a un aumento vertiginoso delle attività online, laddove non si è accompagnata una maggior igiene informatica.

Secondo i dati pubblicati da McKinsey, nella prima ondata del Covid-19, in cui abbiamo assistito ai lockdown più restrittivi, il numero di attacchi ransomware è aumentato del 148% nel giro di un mese, mentre gli attacchi phising addirittura del 510% su scala globale.

Il crescente impiego delle tecniche di automatizzazione ha favorito l’emergere di nuovi modelli di business criminali, come il famigerato Ransomware-as-a-Service, che consente a una platea sempre maggiore di attaccanti di agire sfruttando un kit a noleggio dotato di tutto l’occorrente per condurre l’azione malevola.

Lo scenario dell’attività cybercriminale, già allarmante sulla base dei dati attuali, è destinato a crescere in maniera sensibile nel corso dei prossimi anni e il contributo dell’AI avrà un ruolo determinante in questa vertiginosa quanto deprecabile ascesa.

Intelligenza artificiale e sicurezza informatica: difendersi con le stesse armi degli attaccanti

Sulla base di queste allarmanti premesse, lo scenario sin qui descritto potrebbe apparire disperato, al punto da non lasciare scampo a chiunque si connetta alla rete.

In realtà, per quanto la situazione rimanga per molti versi critica, la sinergia tra intelligenza artificiale e sicurezza informatica può avere risvolti anche estremamente positivi, in quanto le stesse tecniche utilizzate dagli attaccanti possono essere utilizzate anche dai difensori, che rispetto ai cybercriminali, dispongono delle medesime basi teoriche, ma hanno scelto la strada più etica per monetizzare le loro competenze.

Le tecniche di intelligenza artificiale possono aiutare in molti modi le organizzazioni a prevenire e a rispondere con successo agli attacchi informatici. I SOC (Security Operations Center) possono automatizzare i carichi di lavoro ad alta intensità come i controlli sulle identità e sugli accessi ai sistemi aziendali e i report relativi all’attività di monitoraggio della rete e dei dispositivi informatici a essa connessi.

In termini più generali, AI e machine learning possono essere utilizzati per analizzare le grandi quantità di dati nelle attività di intelligence, a partire dal rilevamento automatico dei comportamenti anomali a cui potrebbe corrispondere l’emergenza di una minaccia informatica. Il miglioramento progressivo dei sistemi di apprendimento automatico consente ai sistemi di analisi e monitoraggio di diventare nel tempo sempre più efficaci nel riconoscere e anticipare le mosse degli attaccanti.

Le tecniche AI offrono, inoltre, ottime soluzioni nel contrasto al ransomware. In questo frangente, l’automatizzazione può aiutare molto dal punto di vista tecnologico, ma non può esonerare da una corretta pratica di igiene informatica da parte dei dipendenti umani.

In tal senso, l’AI supporta le attività di simulazione di un attacco informatico, fondamentali per il training, oltre al supporto decisionale, utile a rispondere, anche in maniera automatica, agli eventuali attacchi rilevati.

Tra le soluzioni tecnologiche che è oggi possibile implementare contro i ransomware e altri malware, ritroviamo la risposta automatica alla crittografia malevola e i sistemi di autenticazione multifattoriale, divenuti oltretutto obbligatori in alcuni ambiti di business, in primis quello bancario.

Il cloud e lo sviluppo di software sicuro

In tema di intelligenza artificiale e sicurezza informatica, per fare fronte al gap in termini di competenze e alle risorse necessarie per strutturare internamente i SOC e gli IRT necessari per fronteggiare le minacce, è possibile aiutarsi grazie a un approccio consapevole e sistematico alle soluzioni offerte dal cloud.

Difendere il perimetro di sicurezza on-premise diventa di giorno in giorno sempre più complesso e oneroso, mentre i cloud service provider (CSP) investono risorse crescenti per rendere sempre più sicure sia le infrastrutture che i servizi gestiti, sfruttando le economie di scala alla base del loro business, giocato necessariamente sui grandi numeri.

Le infrastrutture (IaaS) e le piattaforme (PaaS) in cloud risultano conformi ai disposti normativi in materia di sicurezza informatica e conservazione/trattamento dei dati, riducendo – per i clienti – quei rischi derivanti da normative sempre più stringenti nelle disposizioni e penalizzanti nelle sanzioni previste per i casi di inosservanza.

Grazie alla capacità di implementare una quantità sempre maggiore di funzioni di intelligenza artificiale nei servizi, il cloud costituirà un ambiente sempre più privilegiato in fatto di sicurezza informatica.

Dal canto loro, gli ISV (Independent Software Vendor) e i system integrator che accompagnano le aziende nel loro percorso di trasformazione digitale, devono investire risorse e attenzione nello sviluppo di un software cloud native dotato di un ciclo di vita sicuro, coinvolgendo gli esperti di sicurezza sin dalle fasi di concept, in modo da supportare passo per passo gli sviluppatori nell’evitare falle e vulnerabilità nelle applicazioni.

Analoga attenzione va prestata nei confronti degli attacchi zero-day e nel mantenimento del software tipico del metodo di distribuzione CI/CD (Continous Integration/Continous Delivery).