L’intelligenza artificiale e l’automazione possono gestire adeguatamente le crescenti minacce al panorama della sicurezza informatica?
Sebbene l’intelligenza artificiale generativa sia stata utile per rilevare le minacce alla sicurezza informatica, l’intelligenza artificiale sta diventando sempre più uno strumento utile anche per hacker e criminali informatici.
Le organizzazioni si rivolgono all’automazione e all’intelligenza artificiale (AI) per far fronte a un panorama di minacce complesso e in espansione. Tuttavia, se non adeguatamente gestito, ciò può comportare alcuni inconvenienti.
In una video intervista con ZDNET, Daniel dos Santos, direttore senior della ricerca sulla sicurezza presso Vedere Lab di Forescout, ha affermato che l'intelligenza artificiale generativa (gen AI) aiuta a dare un senso a molti dati in un modo più naturale di quanto fosse possibile in precedenza senza l'intelligenza artificiale e l'automazione.
I modelli di machine learning e intelligenza artificiale sono addestrati per aiutare gli strumenti di sicurezza a classificare le varianti di malware e rilevare anomalie, ha affermato Juraj Malcho, CTO di ESET.
In un’intervista con ZDNET, Malcho ha espresso la necessità di una moderazione manuale per ridurre ulteriormente le minacce eliminando i dati e inserendo set di dati più puliti per addestrare continuamente i modelli di intelligenza artificiale.
Aiuta i team di sicurezza a tenere il passo con l'assalto di dati e la moltitudine di sistemi, tra cui firewall, apparecchiature di monitoraggio della rete e sistemi di gestione delle identità, raccolgono e generano dati da dispositivi e reti.
Tutti questi, compresi gli avvisi, diventano più facili da comprendere e più spiegabili con la generazione AI, ha affermato dos Santos.
Ad esempio, gli strumenti di sicurezza non solo possono inviare un avviso per un potenziale attacco dannoso, ma anche sfruttare l'elaborazione del linguaggio naturale per spiegare dove un modello simile potrebbe essere stato identificato in attacchi precedenti e cosa significa quando viene rilevato nella rete, ha osservato.
"È più facile per gli esseri umani interagire con questo tipo di narrazione rispetto a prima, dove comprende principalmente dati strutturati in grandi volumi", ha affermato. La Gen AI ora riassume questi dati in informazioni significative e utili per gli esseri umani seduti dietro lo schermo, ha affermato dos Santos.
Malcho ha aggiunto che la tecnologia AI consente agli ingegneri del SOC (centro operativo di sicurezza) di dare priorità e concentrarsi su questioni più importanti.
Tuttavia, la crescente dipendenza dall’automazione farà sì che gli esseri umani diventino inesperti nel riconoscere le anomalie?
Dos Santos ha riconosciuto che questa è una preoccupazione fondata, ma ha osservato che il volume degli attacchi continuerà a crescere, insieme ai dati e ai dispositivi da proteggere. "Avremo bisogno di una sorta di automazione per gestire questa situazione e l'industria si sta già muovendo verso questo", ha affermato.
"Tuttavia, avrai sempre bisogno di persone coinvolte nel circuito per prendere decisioni e determinare se devono rispondere a [un avviso]."
Ha aggiunto che sarebbe irrealistico aspettarsi che i team di sicurezza continuino ad espandersi fino a 50 o 100 per tenere il passo. "C'è un limite al modo in cui le organizzazioni gestiscono i propri SOC, quindi è necessario rivolgersi agli strumenti di intelligenza artificiale e generazione di intelligenza artificiale per chiedere aiuto", ha affermato.
Ha sottolineato che nei SOC saranno sempre necessari l’istinto umano e professionisti qualificati della sicurezza per garantire che gli strumenti funzionino come previsto.
Inoltre, con l’aumento del volume degli attacchi alla sicurezza informatica e dei dati, c’è sempre spazio per i professionisti umani per espandere le proprie conoscenze per gestire meglio questo panorama di minacce, ha affermato.
Malcho è d’accordo, aggiungendo che dovrebbe ispirare i dirigenti meno qualificati ad acquisire nuove qualifiche per aggiungere valore e prendere decisioni migliori, non semplicemente consumare ciecamente i segnali generati dall’intelligenza artificiale e dagli strumenti di automazione.
Gli ingegneri del SOC devono ancora osservare una combinazione di segnali diversi per collegare i punti e vedere il quadro completo, ha osservato.
"Non è necessario sapere come funziona il malware o quale variante viene generata. Ciò che serve è capire come si comportano i malintenzionati", ha affermato.
Una maggiore automazione, tuttavia, potrebbe comportare il rischio che codici mal configurati o patch di sicurezza vengano distribuiti e interrompano sistemi critici, come nel caso dell’interruzione di CrowdStrike a luglio.
L'interruzione globale si è verificata dopo che CrowdStrike ha inviato un "aggiornamento della configurazione del sensore" difettoso ai sistemi Windows che eseguono il software Falcon Sensor. Sebbene non sia di per sé un driver del kernel, l'aggiornamento comunica con altri componenti del sensore Falcon che vengono eseguiti nello stesso spazio del kernel di Windows, o al livello più privilegiato su un PC Windows, dove interagiscono direttamente con la memoria e l'hardware, secondo ESET. .
CrowdStrike ha affermato che un "errore logico" nel codice ha causato il crash dei sistemi Windows entro pochi secondi dall'avvio, visualizzando la "schermata blu della morte". Microsoft aveva stimato che l'aggiornamento ha interessato 8,5 milioni di dispositivi Windows.
In definitiva, sottolineando la necessità per le organizzazioni, per quanto grandi siano, di testare la propria infrastruttura e di disporre di più sistemi di sicurezza, ha affermato Jake Moore, consulente per la sicurezza globale di ESET, in un commento in seguito all'interruzione di CrowdStrike. Ha osservato che gli aggiornamenti e la manutenzione dei sistemi possono includere involontariamente piccoli errori che hanno conseguenze diffuse, come mostrato nell’incidente di CrowdStrike.
Moore ha sottolineato l’importanza della “diversità” nell’uso delle infrastrutture IT su larga scala, compresi i sistemi operativi e gli strumenti di sicurezza informatica. "Dove la diversità è bassa, un singolo incidente tecnico - per non parlare di un problema di sicurezza - può portare a interruzioni su scala globale con conseguenti effetti a catena", ha affermato.
L’applicazione di procedure adeguate è ancora importante nell’automazione
In poche parole, probabilmente non sono stati implementati i giusti processi di automazione, ha affermato Malcho.
I codici, comprese le patch, devono essere rivisti dopo essere stati scritti e testati internamente. Dovrebbero essere isolati e segmentati dalla rete più ampia per garantire ulteriormente che siano sicuri da implementare, ha affermato. Il lancio dovrebbe quindi avvenire gradualmente, ha aggiunto.
Dos Santos ha ribadito la necessità che i fornitori di software effettuino i "test più severi" e garantiscano che i problemi non emergano. Ha notato, tuttavia, che nessun sistema è infallibile e che le cose possono sfuggire.
L’episodio di CrowdStrike dovrebbe evidenziare ulteriormente la necessità che le organizzazioni distribuiscano gli aggiornamenti in modo più controllato, ha affermato. Ad esempio, le patch possono essere distribuite in sottoinsiemi e non su tutti i sistemi contemporaneamente, anche se la patch di sicurezza è contrassegnata come critica.
"Sono necessari processi per garantire che gli aggiornamenti vengano eseguiti in modo testabile. Iniziare in piccolo e scalare una volta testato [è verificato]", ha aggiunto.
Prendendo ad esempio il settore aereo, gli incidenti vengono indagati seriamente in modo da poter identificare ed evitare passi falsi in futuro. Dovrebbero essere adottate politiche simili per il settore della sicurezza informatica, in cui tutti dovrebbero lavorare partendo dal presupposto che la sicurezza è fondamentale, ha affermato dos Santos.
Ha sollecitato maggiore responsabilità: le organizzazioni che rilasciano prodotti chiaramente non sicuri e che non aderiscono ai giusti standard di sicurezza dovrebbero essere debitamente punite. I governi dovranno capire come farlo, ha osservato.
"È necessaria una maggiore responsabilità. Non possiamo semplicemente accettare termini di licenza che permettano a queste organizzazioni di affermare di non essere responsabili di nulla", ha affermato. Dovrebbe inoltre esserci consapevolezza da parte degli utenti su come migliorare il proprio livello di sicurezza di base, ad esempio modificando le password predefinite sui dispositivi, ha aggiunto.
Se fatte bene, l’intelligenza artificiale e l’automazione sono strumenti necessari che consentiranno ai team di sicurezza informatica di gestire quello che altrimenti sarebbe un ambiente di minaccia impossibile da gestire, ha affermato Malcho.
E se non utilizzano già questi strumenti, i criminali informatici sono un passo avanti.
Gli autori delle minacce già utilizzano la generazione AI
In un rapporto pubblicato questo mese, OpenAI ha confermato che gli autori delle minacce utilizzano ChatGPT nel loro lavoro. Dall’inizio del 2024, lo sviluppatore gen AI ha interrotto almeno 20 operazioni in tutto il mondo che tentavano di utilizzare i suoi modelli. Questi spaziavano dal debug di malware alla generazione di contenuti per falsi personaggi sui social media.
"Questi casi ci consentono di iniziare a identificare i modi più comuni in cui gli autori delle minacce utilizzano l'intelligenza artificiale per tentare di aumentare la propria efficienza o produttività", ha affermato OpenAI. Questi hacker malintenzionati spesso utilizzavano modelli OpenAI per eseguire attività in una "fase di attività specifica e intermedia" dopo aver acquisito strumenti di base, come l'accesso a Internet e account di social media, ma prima di distribuire prodotti "finiti", come post sui social media o malware tramite vari canali.
Ad esempio, un attore di minacce soprannominato "STORM-0817" ha utilizzato i modelli ChatGPT per eseguire il debug del proprio codice, mentre un'operazione segreta OpenAI denominata "A2Z" ha utilizzato i suoi modelli per generare biografie per account di social media.
OpenAI ha aggiunto di aver interrotto un’operazione segreta iraniana alla fine di agosto che ha generato commenti sui social media e articoli di lunga durata sulle elezioni americane, sul conflitto a Gaza e sulle politiche occidentali nei confronti di Israele.
Secondo uno studio globale pubblicato questo mese da Keeper Security, che ha intervistato più di 800 dirigenti IT e di sicurezza, le aziende stanno notando l’uso dell’intelligenza artificiale negli attacchi informatici.
Circa l’84% ha affermato che gli strumenti abilitati all’intelligenza artificiale hanno reso gli attacchi di phishing e smishing più difficili da rilevare, spingendo l’81% ad implementare politiche dei dipendenti sull’uso dell’intelligenza artificiale.
Un altro 51% ritiene che gli attacchi basati sull’intelligenza artificiale siano la minaccia più grave per la propria organizzazione, mentre il 35% ammette di essere meno preparato a combattere tali minacce, rispetto ad altri tipi di attacchi informatici.
In risposta, il 51% ha affermato di aver incorporato la crittografia dei dati nelle proprie strategie di sicurezza, mentre il 45% sta cercando di migliorare i propri programmi di formazione per guidare i dipendenti, ad esempio, nell’identificazione e nella risposta alle minacce basate sull’intelligenza artificiale. Un altro 41% sta investendo in sistemi avanzati di rilevamento delle minacce.
I risultati di un report di Sophos del settembre 2024 hanno rivelato preoccupazioni riguardo alle minacce alla sicurezza basate sull’intelligenza artificiale, con il 73% che indica gli attacchi alla sicurezza informatica potenziati dall’intelligenza artificiale come la minaccia online di cui si preoccupano maggiormente. Questa cifra è stata più alta in India, dove quasi il 90% ha indicato gli attacchi basati sull'intelligenza artificiale come la principale preoccupazione, seguita dall'85% nelle Filippine e dal 78% a Singapore, secondo lo studio, che ha basato la sua ricerca su 900 aziende in sei paesi asiatici. Mercati del Pacifico, tra cui Australia, Giappone e Malesia.
Mentre il 45% ritiene di possedere le competenze necessarie per affrontare le minacce legate all’intelligenza artificiale, il 50% prevede di investire di più in servizi di sicurezza gestiti da terze parti. Tra coloro che intendono aumentare la spesa per tali servizi gestiti, il 20% afferma che i propri investimenti cresceranno di oltre il 10%, mentre i restanti puntano ad un aumento compreso tra l'1% e il 10%.
Circa il 22% ritiene di disporre di una strategia completa di intelligenza artificiale e automazione, mentre il 72% sottolinea di avere un dipendente incaricato di guidare la strategia e gli sforzi relativi all’intelligenza artificiale.
Per colmare le carenze nelle competenze in materia di intelligenza artificiale, il 45% ha affermato che esternalizzerà ai partner, mentre il 49% prevede di formare e sviluppare competenze interne e avrà bisogno di partner per supportare la formazione e l’istruzione.
In media, il 20% attualmente utilizza un unico fornitore per le proprie esigenze di sicurezza informatica, mentre il 29% ne usa due e il 23% tre. Circa il 10% utilizza strumenti di almeno cinque fornitori di sicurezza.
Strumenti poco performanti, tuttavia, e una violazione della sicurezza o una grave interruzione che coinvolge fornitori di servizi di terze parti sono i motivi principali per cui le organizzazioni prenderanno in considerazione un cambiamento nel fornitore o nella strategia di sicurezza informatica.
Inoltre, il 59% "sicuramente" o "probabilmente" non nominerà un fornitore terzo che abbia subito un incidente o una violazione della sicurezza. Circa l'81% prenderà in considerazione i fornitori che hanno subito violazioni se sono presenti clausole aggiuntive relative alle prestazioni e accordi di livello specifici.