Negli ultimi anni, il lavoro dei cyber security specialist è diventato sempre più difficile, a causa dell'aumento esponenziale dei sistemi da proteggere e della quantità di dati da monitorare. La superficie d'attacco si è progressivamente estesa rispetto al perimetro geografico dell'azienda e oggi comprende anche sensori e macchinari IoT, risorse condivise in Cloud, dispositivi mobile in dotazione a manager e impiegati. L'architettura tecnologica è sempre più distribuita e decentrata mentre i processi di business digitali prevalgono su quelli analogici. Il risultato è che proliferano device, server e macchinari industriali connessi in rete e, con essi, anche i possibili punti d'accesso alla rete informatica sfruttabili come vettori d'attacco. La conseguenza è che gli analisti esperti in sicurezza cyber si sentono sotto pressione, schiacciati dall'enorme mole di dati da monitorare e dall'aumento esponenziale di attacchi che richiedono contromisure immediate - attacchi machine speed e automatizzati, impossibili da neutralizzare con i sistemi di risposta tradizionale.

 

Le fasi di un attacco informatico

La capacità di identificare prontamente le avvisaglie di un attacco informatico è un fattore chiave per la protezione degli asset dell'azienda. Un attacco informatico può idealmente essere suddiviso in quattro fasi:

  • Ricognizione del target
    In questa fase, l'attaccante identifica il perimetro dell'attacco, quindi attua un censimento di tutte le risorse fisiche, organizzative e soprattutto informatiche che si possono sfruttare per ottenere un accesso ai sistemi-bersaglio.

  • Intrusione
    Questa fase consiste nell'insieme di azioni che l'attaccante mette in atto per guadagnarsi l'accesso alle risorse informatiche target, utilizzando le informazioni raccolte durante la fase di ricognizione.

  • Violazione dei sistemi
    Nel caso in cui la fase di esecuzione vada a buon fine, l'attaccante riuscirà a infettare una macchina – che si tratti di un PC o di un server – con del software malevolo. Una volta ottenuto l'accesso alla macchina compromessa, l'attacker sarà in grado di istallarvi programmi che scandagliano la rete informatica del bersaglio acquisendo informazioni e guadagnando accesso ad altre macchine e dispositivi in rete.

  • Escalation dei privilegi
    Durante questa fase, l'attacker cerca di acquisire i privilegi (es. la qualifica di amministratore di sistema) utili per perpetrare l'attacco vero e proprio e guadagnarsi l'accesso ai dati in target.

  • Attacco
    L'ultima fase mira a raccogliere dati sensibili o informazioni che abbiano comunque un valore per l'attacker, come credenziali finanziarie o brevetti industriali, per acquisirne il controllo rendendoli inutilizzabili per il target – cancellandoli o rendendoli inaccessibili – oppure interrompendo l'operatività di sistemi informatici e infrastrutture.
     

AI per potenziare la difesa contro il cybercrime

Diverse sono le tecnologie e i sistemi a disposizione del security specialist per isolare le minacce e bloccare gli attacchi: sonde, sensori e sistemi di allerta posizionati lungo la rete, che rilevano le attività malevole e identificano prontamente le anomalie. È, però, soprattutto la qualità del personale esperto di sicurezza a fare la differenza: esperienza, intuito e capacità nel saper interpretare segnali e alert, riconoscere e isolare potenziali situazioni di rischio, predisporre le contromisure necessarie per bloccare l'attacco. Un compito che assume una valenza strategica per l'impresa tutta e che oggi va sostenuto e potenziato con tecnologie all'avanguardia, come evidenzia lo studio "Reinventing Cybersecurity with Artificial Intelligence: the new frontier in digital security" di Capgemini. La ricerca, condotta su un campione di 850 responsabili IT e security specialist, stima che entro la fine del prossimo anno due aziende su tre implementeranno l'Intelligenza Artificiale per potenziare le strategie di difesa contro il cybercrime. Ben il 69% degli intervistati ammette di non essere in grado di rispondere efficacemente agli attacchi informatici senza l'aiuto dell'AI e il 61% ritiene impossibile identificare i tentativi di data breach senza l'uso di strumenti potenziati dal Machine Learning. Quasi due organizzazioni su 3 (il 69% degli interpellati) prevedono di utilizzare l'Intelligenza Artificiale in ambito security entro la fine del 2020.

 

4 dicembre 2019