Discoveries 2018, Darktrace racconta storie di minacce reali identificate dall’intelligenza artificiale e traccia uno scenario delle attività criminali.
L’azienda rivela come i cyber attacchi siano stati ancora più rapidi e alimentati dalla tecnologia e siano oggi in grado di criptare o compromettere i dispositivi nel giro di pochi secondi, rendendo ulteriormente arduo per i team di sicurezza, che utilizzano esclusivamente degli strumenti tradizionali, contrastarli alla velocità necessaria.
Il report dimostra attraverso esempi concreti di attacchi individuati e bloccati da Darktrace, come l’IA sia diventata oggi un alleato fondamentale contro gli aggressori, e come, supportata dalla tecnologia di risposta autonoma, sia in grado di fermare le minacce in tempo reale e più efficacemente di qualunque essere umano.
La velocità con cui l’intelligenza artificiale può rispondere a una minaccia emergente si è rivelata, infatti, un punto di svolta cruciale, poiché ha consentito ai team di sicurezza di guadagnare tempo prezioso durante un attacco, il cui impatto distruttivo cresce esponenzialmente col passare del tempo.
Stiamo entrando in un’era in cui la tecnologia combatte contro la tecnologia, e la risposta autonoma sarà fondamentale per evitare che un attacco si diffonda rapidamente degenerando in una crisi che finisca sulle prime pagine dei giornali.
Anche le minacce latenti, nascoste nell’azienda, rappresentano oggi ancora una sfida importante e difficile da individuare. In particolare, le figure interne all’organizzazione, soprattutto chi possiede un accesso privilegiato, possono causare danni ingenti: da un amministratore dei sistemi pronto a sfruttare l’infrastruttura aziendale per minare cripto valute, al dipendente che, inconsapevolmente, scarica un malware da un’e-mail di phishing.
Come un allegato apparentemente innocuo apre la strada al furto di formule farmaceutiche segrete
Tra i casi più interessanti riscontrati da Darktrace quest’anno segnaliamo una grande aziende farmaceutica europea, in cui un assistente amministrativo ha scaricato ingenuamente un allegato a una mail di pagamento, a prima vista valutata attendibile, che conteneva in realtà un malware in grado di superare ogni difesa di sicurezza.
Questo malware sofisticato aveva l’obiettivo di infiltrarsi nella proprietà intellettuale dell’impresa, che comprendeva formule mediche altamente riservate.
Se questo patrimonio fosse stato compromesso, l’azienda avrebbe corso un grosso rischio dal punto di vista reputazionale e di concorrenza sul mercato. Una volta scaricato, il malware ha iniziato a connettersi a destinazioni esterne insolite e a muoversi lateralmente verso le altre aree della rete aziendale. L’IA di Darktrace è stata in grado di identificare la presenza estranea nelle prime fasi dell’attacco, impedendone la diffusione, senza interrompere in nessun modo le attività del business.
IoT: dall’armadietto per i bagagli ai parchimetri – i veicoli di attacco si moltiplicano
A esacerbare la situazione vi è il fatto che gli aggressori odierni abbiano a propria disposizione l’intera infrastruttura digitale. Le reti non hanno più confini definiti, la superficie di attacco è sempre più vasta e i nuovi modelli di computing offerti dal cloud, l’esplosione dell’IoT, la convergenza delle reti IT e OT stanno creando nuovi punti ciechi e aumentando la difficoltà di assicurare ogni possibile ingresso. Per questo motivo, i team di sicurezza si rivolgono sempre più all’IA, capace di individuare e rispondere alle minacce ovunque esse emergano.
In un parco divertimenti in Nord America, un attacco avanzato ha preso di mira gli armadietti a disposizione dei visitatori, che servono a conservare bagagli e oggetti personali.
Questi apparecchi IoT erano progettati per stabilire regolarmente un contatto con la piattaforma online del fornitore.
L’hacker ha identificato la fonte di questo processo automatico dirottandolo per compromettere l’armadietto. Una volta infiltrato, ha iniziato a trasferire i dati personali non criptati dei clienti, potenzialmente sensibili, a un sito esterno.
L’attacco è stato molto difficile da identificare perché lento e furtivo e sarebbe potuto rimanere latente per mesi o addirittura anni.
Un altro caso molto difficile da identificare si è verificato sempre negli Stati Uniti e ha coinvolto un’azienda che aveva installato diversi chioschi di pagamento hi-tech nei parcheggi per aiutare a elaborare i pagamenti e consentire anche un avviso in tempo reale di eventuali problemi di manutenzione.
Per garantire la sicurezza della rete aziendale, l’azienda ha configurato i dispositivi in modo che non si collegassero mai alla rete IT aziendale. Tuttavia, uno dei chioschi ha iniziato a connettersi a siti web per adulti e a siti esterni insoliti. Oltre a questa attività anomala, la presenza del chiosco sulla rete aziendale rappresentava una vulnerabilità latente critica.
Questi esempi evidenziano le vulnerabilità dei dispositivi IoT e la necessità di una visibilità e di una protezione completa su tutta l’infrastruttura digitale. Ispirata al sistema immunitario umano, la tecnologia di IA di Darktrace impara un ‘percorso di vita’ per ogni utente e dispositivo e, da questa comprensione sempre in evoluzione della normalità, l’Enterprise Immune System identifica le deviazioni che indicano una minaccia. Successivamente, Darktrace Antigena può attivare un’azione automatica mirata nel giro di pochi secondi, che rallenta o neutralizza la minaccia emergente prima che sia troppo tardi.
In tutti questi casi, l’IA di Darktrace è stata quindi in grado di identificare le vulnerabilità latenti prima che venissero sfruttate per scopi più malevoli, assicurando i dispositivi IoT e rendendo possibile una visibilità su tutte le apparecchiature aziendali. Le connessioni esterne sono state così bloccate prima che i dati sensibili dell’azienda o dei clienti venissero rubati.
Dall’Iot all’IIoT; quanto a rischio è tutta la produzione
La rapida crescita dell’Internet of Things Industriale sta aumentando drasticamente sia la complessità delle reti OT sia la sfida di metterle al sicuro. Inoltre, sebbene abbia migliorato l’efficienza aziendale, la convergenza delle reti IT e OT amplia notevolmente l’area di attacco a disposizione degli utenti malintenzionati.
Uno dei casi segnalati dal Threat Report di Darktrace quest’anno è un aggressore sconosciuto che ha attaccato una serie di dispositivi IoT industriali sulla catena di montaggio di un produttore alimentare – tra cui frullatori, affettatrici, ecc. – nel tentativo di infiltrarsi nell’infrastruttura IT aziendale.
Questi apparecchi non avevano i permessi per connettersi all’infrastruttura centrale, pertanto l’IA di Darktrace è subito entrata in allerta e ha individuato in tempo reale il comportamento anomalo, evidenziando l’attività come rischio per l’integrità sia della rete aziendale che della catena di montaggio.
Con l’IA l’intera rete è stata visualizzata e protetta, inclusi i dispositivi IoT Industriali e gli ICS. Inoltre, accertando che le connessioni in uscita avevano superato il perimetro delle difese, il team di sicurezza ha potuto rendersi conto di ulteriori problemi nei firewall aziendali e porvi rimedio.
Mentre le reti industriali diventano sempre più interconnesse, l’IA di Darktrace ha l’abilità unica di identificare le minacce e le vulnerabilità latenti in entrambi gli ambienti IT e OT, evitando che vengano causati danni a qualsiasi infrastruttura critica. E questo riguarda sia le minacce note che le nuove minacce emergenti, poiché l’intelligenza artificiale non si basa su ipotesi precedenti di minacce conosciute ma è in grado di identificare qualsiasi scostamento dal comportamento “normale” di un utente o dispositivo e bloccare anche tipologie di attacco mai viste prima, contenendole prima che abbiano superato il perimetro e si siano insinuate nei sistemi di un’azienda.
E intanto i nuovi malware prosperano
Malware sempre più sofisticati si stanno diffondendo, rendendo le soluzioni basate sulla firma e le blacklist superate. I nuovi attacchi ‘unknown unknowns’ sono difficili da individuare.
Un esempio è il malware precedentemente sconosciuto che ha infettato l’infrastruttura di un istituto bancario multinazionale tramite un allegato di posta elettronica dannoso. Il malware, noto come ‘Squirtdanger’, era stato identificato dall’intelligence open source pochi giorni prima, ma doveva ancora essere creata una regola o una firma per rilevare la minaccia.
Squirtdanger presenta una serie di funzionalità, tra cui la possibilità di fare screenshot, modificare i processi di sistema, scaricare i file e le informazioni della directory e rubare password sul browser.
Una volta infettato, il dispositivo ha iniziato quindi a comunicare con l’infrastruttura online di Squirtdanger, scaricando pagamenti, installando un programma automatico impostato per essere eseguito a intervalli regolari e mantenere il contatto con server dannosi. Contemporaneamente, sono stati osservati eventi interni anomali multipli, tra cui grandi volumi di login errati e un nuovo utilizzo delle credenziali amministrative. Il malware ha tentato anche di diffondersi agli altri dispositivi sulla rete, forzando gli accessi e tentando di sfruttare password e accessi privilegiati degli account degli utenti. Con l’abilità unica di rilevare il nuovo malware nelle primissime fasi dell’attacco, l’IA di Darktrace è riuscita a difendere in questo caso i dati personali bancari degli utenti.
Stiamo entrando in una nuova era di cyber guerra e adottando l’IA di Darktrace le organizzazioni stanno per la prima volta riacquistando un vantaggio sugli avversari, riuscendo anche a batterli.