“Nel campo della cybersecurity parlare non è sufficiente per mettersi al sicuro dagli attacchi. Nonostante il tema sia sulla bocca di tutti, nel privato e nella PA, assistiamo a un proliferare quotidiano di attacchi, molti dei quali vengono sferrati con tecniche ‘tradizionali’ ormai note e contro cui sarebbe possibile difendersi con efficacia. Per fare un salto di qualità è a questo punto necessario passare all’azione, dal punto di vista pratico e da quello culturale”.
Così Paolo Cecchi, regional sales director Mediterranean region di SentinelOne, società statunitense specializzata in cybersecurity, descrive le priorità per le aziende rispetto allo scenario attuale, facendo suonare un campanello d’allarme soprattutto per il mondo telco e per le pubbliche amministrazioni, che sono sempre più nel mirino degli hacker.
Cecchi, perché proprio le telecomunicazioni e la pubblica amministrazione?
Ognuno di questi settori ha caratteristiche che lo rendono particolarmente “appetibile” per chi cerca un ritorno economico o anche politico dalle offensive, come nel caso degli attacchi di tipo “state-sponsored”.
Le telco gestiscono un patrimonio di dati che può essere di grande interesse per gli attaccanti, e rappresentano una infrastruttura critica per il Paese, quindi, potrebbero essere bersagli anche di eventuali attacchi state-sponsored. Quanto alla PA, è un target interessante per la grande mole di dati che possiede e tratta sui cittadini, ed è un obiettivo stimolante anche per chi vuole mettere in difficoltà uno Stato da un punto di vista politico. C’è però da aggiungere che Telco e PA non sono bersagli nuovi per i cybercriminali, ma sono da anni tra i settori più attaccati, sempre attraverso gli stessi metodi: ransomware, phishing, business e-mail compromise: nell’ottica dell’ottimizzazione dei costi gli attaccanti non cambiano metodo se quello “classico” funziona.
Il trend, in questo momento, è però quello di attacchi sempre più veloci e personalizzati grazie all’utilizzo dell’intelligenza artificiale.
Come si stanno evolvendo le tattiche dei cybercriminali?
Un cambiamento che dal mio punto di vista è estremamente interessante è quello che riguarda le tattiche legate alla cyber extorsion. I Cybercriminali, in pratica, stanno imparando a sfruttare i nuovi regolamenti, come ad esempio il Gdpr, per sfruttare i problemi di compliance delle vittime. Il loro obiettivo è essenzialmente fare leva su eventuali inadempienze per rendere l’estorsione economicamente più conveniente rispetto alla multa che le vittime si vedrebbero infliggere se venissero pubblicate le informazioni in possesso degli hacker.
Un altro scenario è quello in cui gli attaccanti entrino in possesso di informazioni compromettenti, come ad esempio dati relativi a pratiche scorrette e utilizzati per ottenere un vantaggio competitivo sui concorrenti oppure informazioni ricavate illecitamente sui cittadini. Ottimi motivi per obbligare un’organizzazione a pagare un ransom più elevato.
E nella pubblica amministrazione?
Se quanto esposto sopra è un aspetto emergente soprattutto per le telco, nel campo della PA – ma lo stesso vale per motivi commerciali anche nelle aziende – uno dei trend più interessanti e pericolosi è quello delle campagne di Malicious Disinformation and Misinformation (MDM): messaggi con notizie eclatanti ma false che invogliano gli utenti a cliccare su un link per approfondire. Chi cadrà nella trappola si troverà probabilmente a scaricare a propria insaputa un malware, e questo potrebbe dare il la ad attacchi su una scala più vasta. Ovviamente con l’intelligenza artificiale queste campagne sono diventate molto più semplici e veloci da realizzare nonché più verosimili.
Infine, c’è da considerare lo scenario geopolitico attuale: se negli ultimi anni gli attacchi di tipo state-sponsored erano passati in secondo piano, oggi, con due guerre in corso, stanno crescendo in maniera consistente, e dobbiamo aspettarci che gli attaccanti combineranno sempre più l’intelligenza artificiale con le campagne di disinformazione.
Come si fa a contrastare queste strategie di attacco?
In generale dobbiamo continuare a investire sull’awareness, soprattutto nella pubblica amministrazione, dove le campagne di informazione e di formazione devono essere fatte con continuità e a livello massivo. Questo perché l’analfabetismo digitale in Italia è elevato, e quello relativo alle minacce informatiche lo è ancora di più. Avremo una buona base per difenderci quando saranno cresciute l’alfabetizzazione, la conoscenza e la comprensione delle minacce, perché con una serie di verifiche anche abbastanza semplici il fenomeno degli attacchi informatici si può arginare.
In sostanza, tanto per iniziare, l’awareness deve diventare una best practice, e per riuscirci si dovrà partire dalle scuole. Solo una volta che si sarà raggiunta una consapevolezza generalizzata le tecnologie e i processi che si implementeranno potranno dispiegare al meglio le proprie potenzialità, con in prima linea la Threath intelligence e la Early detection.
Che ruolo ha l’intelligenza artificiale in queste strategie di difesa?
Ha un ruolo di primo piano: l’accelerazione dell’adozione dell’artificial intelligence da parte degli attaccanti è un dato di fatto: sul black market si trovano strumenti pronti da utilizzare ed estremamente specializzati, come nel caso di quelli ingegnerizzati per prendere di mira gli ambienti cloud. Grazie all’intelligenza artificiale si tratta di strumenti che sono in grado di imparare nell’ambiente in cui atterrano, senza la necessità di un intervento umano: è un nuovo livello di attacco, più difficile da rilevare e più veloce di un essere umano. Per questo è necessario iniziare a utilizzare regolarmente l’AI anche per proteggersi.
Come si può fare a utilizzarla al meglio?
Ci sono tre trend che son comuni a tutti i settori: consolidamento, automazione e appunto intelligenza artificiale, che rappresenta un elemento centrale dei primi due. Consolidamento perché non si possono più gestire in maniera disgiunta decine di soluzioni di sicurezza all’interno di una stessa organizzazione, ma serve una piattaforma che sia in grado di gestire la “sicurezza” di un’organizzazione in maniera centralizzata e intelligente.
Automazione per aiutare i team di sicurezza, sempre ridotti, a lavorare meglio e a contrastare il fatto che l’AI velocizza l’attività dell’attaccante su un perimetro da difendere sempre più ampio. Ambedue, se vengono supportate dall’AI, permettono un salto di qualità per velocità di correlazione, analisi e risposta. La stessa tematica del XDR, extended detection and response, non è più una risposta esaustiva ma rappresenta un tassello del puzzle.
Come si muove SentinelOne in questo scenario?
Stiamo rilasciando Singularity Data Lake, il cuore della nostra Singularity Platform, che sintetizza le caratteristiche dei Siem, Security information and event management systems, delle soluzioni XDR e di quelle di Security Analytics, potenziando queste caratteristiche con l’Artificial Intelligence. A volte, soprattutto nella PA, uno svecchiamento degli strumenti in uso non farebbe male, ma al di là di questo è importante centralizzare la gestione dell’intero ecosistema della sicurezza informatica in una piattaforma che non richieda un approccio reattivo e un effort umano enorme, ma che automatizzi e semplifichi le Security Operations: condensando le informazioni di sicurezza si avrà un punto di vista privilegiato delle priorità da affrontare per migliorare la protezione della propria organizzazione.
SentinelOne è stata tra le prime società, più di 10 anni fa, a utilizzare il machine learning nella cybersecurity, e grazie anche a quest’expertise abbiamo dato vita a un motore di AI estremamente sviluppato, evoluto e affidabile. A tutto questo è fondamentale affiancare strumenti efficaci di assessment e protezione delle identità digitali, ambito spesso tralasciato, ma che viene preso di mira quasi nel 80% degli attacchi informatici moderni.