Rivelati i trend 2019 del team FortiGuard Labs di Fortinet riguardanti sia il panorama delle cyber minacce che il cambio di strategia difensiva dagli attacchi future.
Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet
Stiamo assistendo a significativi progressi negli strumenti e nei servizi informatici che sfruttano l’automazione e i precursori dell’AI. Le organizzazioni devono ripensare la propria strategia per anticipare meglio le minacce e contrastare le motivazioni economiche costringendo i cybercriminali a rimettersi a tavolino. Piuttosto che impegnarsi in una perpetua corsa agli armamenti, le organizzazioni devono abbracciare l’automazione e l’intelligenza artificiale per ridurre le finestre tra l’intrusione e il rilevamento, e tra rilevamento e il contenimento. Questo si può ottenere integrando elementi di protezione in una struttura di sicurezza coesiva che condivide dinamicamente le informazioni sulle minacce per un’ampia protezione e visibilità su tutti i segmenti di rete, dall’IoT al multi-cloud.
Attacchi informatici più smart e sofisticati
Molte organizzazioni criminali valutano le tecniche di attacco non solo in termini di efficacia, ma anche rispetto al lavoro necessario per svilupparle, modificarle e implementarle. Cambiamenti strategici a persone, processi e tecnologie possono costringere alcune organizzazioni criminali a ripensare il valore finanziario che deriva dal prendere di mira determinate organizzazioni.
Un modo in cui le organizzazioni fanno ciò è attraverso l’adozione di nuove tecnologie e strategie come il machine learning e l’automazione per intraprendere attività ripetitive e che richiedono molto tempo, e che normalmente necessitano di un alto grado di supervisione e intervento umano. Nel tentativo di adattarsi al maggior utilizzo di machine learning e automazione, si prevede che la comunità dei criminali informatici adotterà probabilmente le seguenti strategie, che l’industria della sicurezza informatica nel suo complesso dovrà seguire da vicino:
–Artificial Intelligence Fuzzing (AIF) e vulnerabilità: il fuzzing è una tecnica sofisticata utilizzata in ambienti di laboratorio da ricercatori specializzati in minacce per scoprire vulnerabilità in interfacce e applicazioni hardware e software. Questa tecnica è stata limitata a ingegneri altamente qualificati che lavorano in ambienti di laboratorio. Tuttavia, poiché i modelli di machine learning sono applicati a questo processo, si prevede che questa tecnica diventerà più efficiente , su misura, disponibile.
–Utilizzo di AIF per attacchi Zero-Day: Una volta che l’AIF è a posto, può essere indirizzato a un codice all’interno di un ambiente controllato per estrarre gli exploit zero-day.
Ciò accelererà in modo significativo la velocità con cui vengono sviluppati gli exploit zero-day. Una volta avviato il processo, verrà abilitata l’estrazione zero-day as-a-service, creando attacchi personalizzati per obiettivi individuali.
Questo cambierà drasticamente il modo in cui le organizzazioni devono approcciare la sicurezza poiché non ci sarà modo di prevedere dove appariranno questi zero-day, né come difendersi adeguatamente.
–Il “prezzo” degli Zero-Day: storicamente, il prezzo è stato piuttosto alto a causa del tempo, degli sforzi e delle abilità richieste per scoprirli. Man mano che la tecnologia AI viene applicata, tali exploit passeranno dall’essere estremamente rari a diventare una commodity.
–Swarm-as-a-Service: i progressi significativi negli attacchi sofisticati basati sulla tecnologia di intelligence swarm-based ci sta avvicinando a una realtà di botnet basate su swarm nota come “hivenets”.
Questa generazione emergente di minacce verrà utilizzata per creare grandi “sciami” di bot intelligenti in grado di operare in modo collaborativo e autonomo. Queste reti swarm non solo alzeranno gli standard in termini di tecnologie necessarie per difendere le organizzazioni, ma come il mining zero-day, avranno inoltre un impatto sul modello di business cybercriminale sottostante.
–Menu a scelta di swarm: la capacità di suddividere e differenziare uno swarm in compiti diversi per ottenere un risultato desiderato è molto simile al modo in cui il mondo si è mosso verso la virtualizzazione. In una rete virtualizzata, le risorse possono accelerare o rallentare le VM basandosi interamente sulla necessità di affrontare problemi particolari come la larghezza di banda.
Allo stesso modo, le risorse in una rete swarm potrebbero essere allocate o riallocate per affrontare le sfide specifiche incontrate in una catena di attacco.
–Poisoning di machine learning: il machine learning è uno degli strumenti più promettenti nel toolkit per la sicurezza difensiva. I dispositivi e i sistemi di sicurezza possono essere addestrati per eseguire autonomamente compiti specifici.
Sfortunatamente, questo processo può essere sfruttato anche dai cyber-avversari. Prendendo di mira il processo di apprendimento automatico, i criminali informatici saranno in grado di addestrare dispositivi o sistemi per non applicare patch o aggiornamenti a un particolare dispositivo, ignorare specifici tipi di applicazioni o comportamenti o non registrare traffico specifico per eludere il rilevamento. Ciò avrà un importante impatto evolutivo sul futuro del machine learning e della tecnologia AI.
Come cambiano le strategie difensive
–Tattiche di inganno avanzate: l’integrazione delle tecniche di inganno nelle strategie di sicurezza per introdurre variazioni di rete basate su false informazioni costringerà gli aggressori a convalidare continuamente la loro intelligence delle minacce, impiegare tempo e risorse per rilevare falsi positivi e garantire che le risorse di rete che possono vedere siano effettivamente autentiche.
–Unified Open Collaboration: uno dei modi più semplici per un criminale informatico per massimizzare gli investimenti in un attacco esistente consiste nell’apportare un piccolo cambiamento.
Un modo efficace per tenere il passo con tali cambiamenti è la condivisione attiva delle informazioni sulle minacce. La threat intelligence continuamente aggiornata consente ai vendor di sicurezza e ai loro clienti di rimanere al passo con il più recente panorama di minacce.
Invece di essere solo reattivi, tuttavia, l’applicazione dell’analisi comportamentale a feed di dati in tempo reale attraverso una open collaboration consentirà ai difensori di prevedere il comportamento del malware, aggirando così il modello attuale utilizzato dai criminali informatici per sfruttare ripetutamente il malware esistente apportando piccole modifiche.