Sempre più spesso l’intelligenza artificiale viene vista come la nuova frontiera delle soluzioni a difesa delle aziende: l’AI al servizio della cyber security permette di potenziare le capacità predittive dei sistemi di controllo e quindi potrebbe mettere le organizzazioni pubbliche e private di qualsiasi dimensione al riparo da cyber attacchi sempre più sofisticati.
Come si può leggere nell’articolo L’Intelligenza artificiale al servizio della cybersecurity: realtà o miraggio? di ZeroUno, è ormai fondamentale riuscire a rispondere in tempo reale ad eventuali minacce. Per questo motivo, sempre più spesso si ricorre al machine learning per rilevare e mitigare le minacce; ma il vero, grande potenziale dell’intelligenza artificiale nella cyber security sta nella capacità di effettuare previsioni realistiche di attacchi quando questi non sono neanche iniziati.
I tradizionali sistemi di sicurezza costruiti per contrastare attacchi basati su file usati come vettori di infezione, infatti, ormai non bastano più a fermare gli attacchi perpetrati nel cyberspazio. Oggi si stanno diffondendo i cosiddetti malware fileless che non infettano più i file archiviati negli hard disk delle potenziali vittime, ma adottano varie tattiche:
- in memory: risiedono nella RAM dei computer eseguendo codice maligno direttamente in memoria; è stata la prima tipologia di attacco fileless a diffondersi, già nel 2001, con i worm Code Red e SQL Slammer che sfruttavano vulnerabilità di Windows; le infezioni provocate da attacchi di questo tipo non sono in genere persistenti (la disinfezione è implicita nel riavvio del PC, ma bisogna considerare che se un semplice PC viene spento ogni sera e riavviato ogni mattina raramente questo accade per un server);
- con metodi persistenti: l’attaccante ottiene la persistenza sui sistemi compromessi caricando un payload in memoria in modo che l’infezione possa essere resa persistente anche dopo il riavvio di Windows, tramite specifici script o task schedulati;
- dual use tools: ossia l’utilizzo con scopi malevoli di applicazioni lecite (per esempio notepad.exe utilizzabile per modificare o leggere file oppure comandi eseguiti tramite PowerShell per la modifica di permessi utenti).
Le nuove tecnologie, però, da sole non possono bastare a contrastare qualsiasi tipo di attacco informatico. Come si legge nell’articolo di Digital4Trade, Nel nuovo scenario degli attacchi la sicurezza gioca d’anticipo, il mutato scenario del cybercrime impone una protezione che sia sempre più “by design”, che segua l’evoluzione delle applicazioni fin dalla loro nascita, mettendole al riparo da attacchi futuri.
Stiamo infatti assistendo ad un cambiamento graduale ma inesorabile dell’ambiente in cui le aziende operano che sta comportando una mutazione delle logiche della protezione, con il cloud che è sempre più vettore di nuovi ambienti applicativi o di infrastrutture che le imprese non vogliono più tenere in casa.
Di fatto, in un mondo sempre più interconnesso, non esiste più un perimetro aziendale definito e difendibile, ma si va sempre più verso confini sfumati e difficilmente controllabili con i vecchi sistemi di sicurezza “statici”. Da qui l’esigenza di adottare applicazioni software sicure fin dalla progettazione e quindi prive di vulnerabilità e punti deboli sfruttabili durante un attacco informatico.
