Una delle tematiche di sicurezza informatica più trattate e approfondite degli ultimi tempi è sicuramente l’adozione dell’intelligenza artificiale a difesa delle aziende: l’AI al servizio della cybersecurity permette di potenziare le capacità predittive dei sistemi di difesa delle aziende e delle organizzazioni pubbliche e private di qualsiasi dimensione da cyber attacchi sempre più sofisticati.
Come si può leggere nell’interessante articolo L’Intelligenza artificiale al servizio della cybersecurity: realtà o miraggio? di ZeroUnoWeb, è ormai fondamentale riuscire a rispondere in tempo reale ad eventuali minacce. Per questo motivo, sempre più spesso si ricorre al machine learning per rilevare e mitigare le minacce; ma il vero, grande potenziale dell’intelligenza artificiale nella cybersecurity sta nella capacità di effettuare previsioni realistiche di attacchi quando questi non sono neanche iniziati.
Mai come in questi ultimi tempi, infatti, rimane più che valido il vecchio motto secondo cui prevenire è meglio che curare. I tradizionali sistemi di sicurezza costruiti per contrastare attacchi basati su file usati come vettori di infezione ormai non bastano più a fermare gli attacchi perpetrati nel cyberspazio. Oggi si stanno diffondendo i cosiddetti malware fileless che non infettano più i file archiviati negli hard disk delle potenziali vittime, ma adottano varie tattiche:
- in memory: risiedono nella RAM dei computer eseguendo codice maligno direttamente in memoria; è stata la prima tipologia di attacco fileless a diffondersi, già nel 2001, con i worm Code Red e SQL Slammer che sfruttavano vulnerabilità di Windows; le infezioni provocate da attacchi di questo tipo non sono in genere persistenti (la disinfezione è implicita nel riavvio del PC, ma bisogna considerare che se un semplice PC viene spento ogni sera e riavviato ogni mattina raramente questo accade per un server);
- con metodi persistenti: l’attaccante ottiene la persistenza sui sistemi compromessi caricando un payload in memoria in modo che l’infezione possa essere resa persistente anche dopo il riavvio di Windows, tramite specifici script o task schedulati;
- dual use tools: ossia l’utilizzo con scopi malevoli di applicazioni lecite (per esempio notepad.exe utilizzabile per modificare o leggere file oppure comandi eseguiti tramite PowerShell per la modifica di permessi utenti).
Le nuove tecnologie, però, da sole non possono bastare a contrastare qualsiasi tipo di attacco informatico. Come si legge nell’articolo di Digital4Trade, Nel nuovo scenario degli attacchi la sicurezza gioca d’anticipo, il mutato scenario del cybercrime impone una protezione che sia sempre più “by design”, che segua l’evoluzione delle applicazioni fin dalla loro nascita, mettendole al riparo da attacchi futuri.
Stiamo infatti assistendo ad un cambiamento graduale ma inesorabile dell’ambiente in cui le aziende operano che sta comportando una mutazione delle logiche della protezione, con il cloud che è sempre più vettore di nuovi ambienti applicativi o di infrastrutture che le imprese non vogliono più tenere in casa.
Di fatto, in un mondo sempre più interconnesso, non esiste più un perimetro aziendale definito e difendibile, ma si va sempre più verso confini sfumati e difficilmente controllabili con i vecchi sistemi di sicurezza “statici”. Da qui l’esigenza di adottare applicazioni software sicure fin dalla progettazione e quindi prive di vulnerabilità e punti deboli sfruttabili durante un attacco informatico.