C’è una “difesa intelligente” che ha, tra gli altri, il merito di ridurre la durata degli attacchi ai sistemi informatici. Per riuscirci offre un approccio pragmatico che si può riassumere così: davanti al proliferare delle minacce sia per numero sia per tipologia e, nell’impossibilità di proteggere un sistema su ogni fronte in tempo reale, vale la pena rilevare, identificare e arrestare soltanto quelle minacce che, palesandosi, mettono a rischio la stabilità di una qualsiasi organizzazione.
L’approccio ha un senso, occorre capire però come funziona l’intelligenza della difesa, partendo dal report IBM che esamina l’eziologia e lo sviluppo degli attacchi ransomware sferrati verso aziende e organizzazioni ed estendendo il concetto di difesa alle sue più ampie applicazioni.
Indice degli argomenti
Come funziona la difesa intelligente
Partiamo dalla genesi della difesa intelligente la cui filosofia di fondo, più che mirare alle misure preventive, si orienta verso la rilevazione e l’annientamento delle minacce, facendo anche in modo che la remediation avvenga nei minori tempi possibili. Lo si sta facendo tant’è che, riporta IBM, la durata degli attacchi ransomware oggi dura il 94% in meno di quanto duravano tre anni orsono, quando il loro effetto si faceva sentire per circa due mesi.
Le soluzioni cloud
Scenari che sono resi possibili dalla sovrapposizione dell’Intelligenza artificiale (AI) alle già note e adottate tecniche di difesa che, per lo più, tendono alla prevenzione degli attacchi. Una materia, questa, tanto oscura quanto resa complessa anche dalla variegata natura degli attacchi in sé e, non da ultimo, dal naturale – e inevitabile – perpetuarsi dei cicli che intercorrono tra la nuova minaccia e la capacità dei software di riconoscerla e porvi rimedio, cosa che ha un peso nel riconoscimento di nuovi virus (malware e spyware inclusi) e nel mettere una pezza alle vulnerabilità.
Alessandro Piva, direttore dell’Osservatorio Artificial Intelligence del Politecnico di Milano, spiega che quelle messe in campo dalla difesa intelligente “sono effettivamente tecnologie allo stato dell’arte, per cui è necessario un continuo aggiornamento. Le soluzioni Cloud sicuramente offrono da questo punto di vista grandi opportunità. L’utilizzo di servizi Cloud non deve far pensare però ad un utilizzo stand-alone della tecnologia, serve in ogni caso un approccio il più possibile integrato con tutti i sistemi aziendali, per poter intercettare in tempo reale tutte le possibili minacce”.
Abbiamo quindi fatto luce su un primo punto: non si tratta di istallazioni on-premise ma di modelli “as a Service” che vengono erogati da aziende specializzate.
L’intervento dell’Intelligenza artificiale
Lavora principalmente spostando il focus dalla prevenzione alla capacità di bloccare una minaccia prima che l’organizzazione sotto attacco ne risenta, magari persino trovandosi costretta a fermarsi.
L’AI provvede a individuare e concatenare tra loro quelli che possono sembrare segnali di attacchi indipendenti e che, invece, fanno parte della stessa strategia adottata dall’attaccante per violare sistemi anche di diversa tipologia (Cloud, on premise e persino edge).
Quelle che vengono svolte sono attività che vanno dal monitoraggio alla remediation, partendo quindi dalle attività di rete al fine di individuare in tempo reale quelle che sembrano più sospette, per esempio, considerando picchi di traffico anomali o comportamenti degli utenti insoliti.
Attacchi ransomware: le tre best practice per neutralizzarli
L’AI capisce se chi digita è la persona che si è loggata
L’AI “impara” a riconoscere le attività solitamente svolte dagli utenti della rete: i sistemi di difesa intelligente riescono persino a comprendere dal modo in cui un utente preme sulla tastiera del computer che, pure essendosi autenticato correttamente, non è chi sostiene di essere.
Le attività che avvengono sulla rete e che vengono svolte dagli utenti sono sempre monitorate, non già per scoprire quale task sta svolgendo un utente, ma per capire che ne sta svolgendo uno che non sembra competergli e, grazie a un sistema di alert in tempo reale, avvertire gli addetti alla sicurezza informatica.
Alessandro Piva offre una lettura supplementare: “Aggiungo che spesso gli attacchi prevedono pattern di propagazione meno intuibili all’occhio umano, ovvero possono causare deboli anomalie difficilmente identificabili, in più punti dei sistemi aziendali, siano essi l’end point, la rete, l’accesso a sistemi informativi aziendali o alla posta elettronica dell’utente. Ed è qui che un sistema intelligente, in grado di interconnettere e mettere in relazione più sistemi e più canali, può realmente fare la differenza”.
Le contromisure
Una volta avvertiti in tempo reale, gli Chief Security Officer (CSO) possono attuare tutte quelle policy di sicurezza che il protocollo aziendale prevede. In questa fase diventa particolarmente interessante e propizia l’Automatic remediation che, senza l’intervento umano, sgancia le misure necessarie a impedire che la minaccia metta in ginocchio l’organizzazione.
Non c’è soltanto lo spegnimento dei sistemi che è sempre l’ultima ratio, si punta soprattutto alla segmentazione della rete per isolare i dispositivi infetti.
Il fattore tempo
A questo punto il paradigma assume una forma ben delineata nel contesto dell’attacco in corso: meno tempo si impiega a reagire, minori danni si subiscono e minore è il tempo necessario ad annientare la minaccia. L’automazione delle misure di sicurezza da applicare in caso di attacco decise dai Cso innalza non tanto le difese in sé quanto i tempi di reazione alle minacce.
C’è un salto culturale da fare: i Cso devono accettare il rischio della minaccia per evitare la compromissione dei sistemi. Non più (soltanto) prevenzione ma anche tempi di reazione brevissimi. Reattività e proattività che si miscelano prima che i dati o i sistemi vengano esposti a seri rischi.
Tutto ciò applicabile anche a sistemi complessi e distribuiti, come nel caso di multinazionali con sedi dislocate in diversi continenti, laddove il fermo delle attività anche di una sola succursale o filiale può inficiare sull’operatività di tutta l’azienda.
Contromisure rese più fluide, come spiega Piva, proprio dagli alert: “In generale l’integrazione di diversi sistemi di sicurezza e l’automazione nella gestione di segnali di anomalia rappresentano direzioni di grande interesse. Il superamento dell’approccio a silos permette di aumentare la capacità di intercettare situazioni di potenziale minaccia in tempi più rapidi. Dall’altra parte, prevedere sistemi di risposta automatizzata a segnali di anomalia tipici, permette di rispondere in maniera più rapida e di gestire in maniera più efficace il flusso delle informazioni gestite dagli specialisti ‘umani’ di sicurezza, che diversamente si vedrebbero sovrastati da numerosi segnali di anomalia difficilmente gestibili”.
Il rapporto con il Dark Web
Un altro vantaggio è da ricercare nel rapporto tra difesa intelligente e Dark Web: “Il monitoraggio automatizzato e intelligente del dark-web aumenta lo spettro dei dati analizzati, rendendo potenzialmente possibile l’identificazione più tempestiva di nuove minacce o di eventuali data breach o incidenti informatici non ancora noti su altri canali informativi”, evidenzia Piva.
“Affiancherei al tema dell’evoluzione tecnologica”, conclude, “quello del fattore umano, come elemento imprescindibile in una strategia di approccio alla gestione della sicurezza informatica. Purtroppo, anche queste soluzioni intelligenti difficilmente possono porre rimedio in toto ad una situazione di scarsa sensibilità al tema della sicurezza informatica. È quindi necessario porre al centro il pilastro della formazione e dell’educazione delle persone al tema”. Un sistema, per quanto intelligente, attecchisce meglio laddove c’è l’imprescindibile e necessaria cultura.
