In molti sensi, la sicurezza informatica è sempre stata una competizione; I fornitori stanno correndo per sviluppare prodotti di sicurezza in grado di identificare e mitigare le minacce, mentre i criminali informatici stanno cercando di sviluppare malware ed exploit in grado di aggirare le protezioni. Ma con l’avvento dell’intelligenza artificiale (AI), questo scambio combattivo tra aggressori e difensori diventerà più complesso e sempre più feroce. Secondo Max Heinemeyer, direttore del Threat Hunting presso la società di sicurezza AI Darktrace, è solo questione di tempo prima che l’intelligenza artificiale venga adottata da attori malintenzionati per automatizzare gli attacchi e accelerare la scoperta delle vulnerabilità. "Non sappiamo esattamente quando inizierà ad emergere l'intelligenza artificiale offensiva, ma potrebbe già accadere a porte chiuse", ha detto a LaComparacion Pro. "Se potessimo qui, nei nostri laboratori con alcuni ricercatori, immaginare cosa afferma la nazione Potrebbero essere in grado di investire pesantemente nella guerra informatica. Quando questa tendenza inizierà a manifestarsi, come sembra inevitabile, Heinemeyer afferma che la sicurezza informatica diventerà una “battaglia di algoritmi”, con l’intelligenza artificiale che si scontra con l’intelligenza artificiale.
L'approccio legacy
Tradizionalmente, i prodotti antivirus si affidano a un approccio basato su firma per proteggersi dal malware. Questi servizi utilizzano un database di minacce note per identificare gli attacchi in arrivo. Tuttavia, negli ultimi anni il consenso è stato che i servizi basati sull’intelligence non sono attrezzati per gestire il ritmo del moderno panorama delle minacce. In altre parole, man mano che emergono nuovi tipi di minacce e nuovi vettori di attacco, questi strumenti legacy sono impotenti finché non vengono aggiornati con nuove informazioni, a quel punto è troppo tardi. Questo problema non potrà che essere esacerbato dall’emergere di un’intelligenza artificiale offensiva, che consentirà ai criminali informatici di automatizzare gli attacchi in modi mai visti prima, oltre a identificare potenziali vulnerabilità a un ritmo più rapido. Emotet, una botnet cargo recentemente smantellata durante un'operazione di cattura che ha coinvolto diverse agenzie di intelligence internazionali, è un esempio di campagna malware contemporanea in grado di eludere soluzioni di sicurezza basate su firma. “Emotet è davvero interessante perché era molto resistente e la sua struttura estremamente modulare. Utilizzava diversi livelli di backup e server di comando e controllo, alcuni dei quali erano addirittura peer-to-peer", ha spiegato Heinemeyer.
(Credito immagine: Shutterstock.com) “Fondamentalmente è stato molto difficile da seguire perché era in continua evoluzione. Anche se trovassi e inserissi nella lista nera l'infrastruttura dannosa, la sua firma cambierebbe. "Il malware si diffonde inoltre molto rapidamente tra i dispositivi. Quando infettava una macchina, Emotet raccoglieva coordinate memorizzate localmente da utilizzare in altri attacchi di phishing via e-mail. Funzionava anche a livello di rete, cercando di penetrare brutalmente in altri computer con sistemi deboli protezione tramite password. Gli operatori di Emotet hanno monetizzato le loro operazioni vendendo l'accesso a dispositivi compromessi, che altri autori di minacce potrebbero infettare con malware secondari o ransomware. Altri tipi di botnet vengono utilizzati per condurre massicci attacchi DDoS, con l'obiettivo di interrompere le operazioni di grandi organizzazioni. più una botnet cresce, più diventa potente. E con il crescente volume di dispositivi connessi in circolazione, la portata potenziale delle future botnet è praticamente illimitata. "Con un panorama digitale globale in espansione, ci aspettiamo che l'incidenza delle botnet aumenti. Forse non botnet come Emotet, che cercano infrastrutture non IoT, ma sicuramente apre la porta agli hacker per sfruttare la maggiore complessità”, ha affermato Heinemeyer.
La prossima frontiera
Per combattere il malware in rapida evoluzione e le minacce sempre più complesse, le società di sicurezza come Darktrace utilizzano l’intelligenza artificiale per automatizzare il rilevamento e la mitigazione. Tuttavia, Darktrace si differenzia dai suoi rivali per l’uso dell’apprendimento automatico non supervisionato (al contrario dell’apprendimento automatico supervisionato), che non implica l’addestramento del sistema su set di dati esistenti. Invece, la piattaforma si connette a un ambiente ed esegue varie misurazioni per stabilire una definizione di normalità. Dotato di queste informazioni, il sistema può segnalare qualsiasi attività anomala su qualsiasi dispositivo o rete che possa indicare un attacco informatico o una compromissione esistente. E quando la definizione di normalità all’interno di una determinata rete cambia, come è successo quando le aziende sono state costrette a passare al lavoro a distanza nella primavera dello scorso anno, il sistema reagisce e si ricalibra. “Il passaggio al lavoro a distanza è stato affascinante dal punto di vista architettonico, poiché le persone lavorano in modo diverso e il panorama delle minacce è cambiato”, ha affermato Heinemeyer. “All’improvviso in ufficio c’era solo traffico di base, ma l’attività VPN è esplosa. Ma dopo la prima settimana avevamo un’idea di come sarebbe stata la nuova normalità. "Per ora, dice Heinemeyer, il settore della sicurezza informatica è in vantaggio, ma potrebbe non essere sempre così. "Crediamo fermamente che abbiamo bisogno del fuoco per combattere il fuoco. Gli strumenti che esaminano gli attacchi di ieri non possono nemmeno tentare di combattere gli attacchi "Può sembrare futuristico, ma avremo bisogno dell'intelligenza artificiale per combattere l'intelligenza artificiale."