Palo Alto Networks: intelligenza artificiale e cyber attacchi

L’11 aprile Palo Alto Networks ha organizzato a Milano l’evento Ignite on Tour, dove nel corso della giornata si è parlato di minacce informatiche, di intelligenza artificiale e della convergenza tra IT e OT. Helmut Reisinger, CEO EMEA e LATAM, Michele Lamartina, Country Manager Italia e Malta, e Umberto Pirovano, Senior Manager Systems Engineering, hanno approfondito con la stampa i più recenti trend del mercato della cybersecurity, l’evoluzione delle esigenze dei clienti e delle tecnologie, le soluzioni più adatte a soddisfarle. Il tutto con un occhio di riguardo alla situazione italiana.

L’intelligenza artificiale usata per l’attacco e per la difesa

Il settore manifatturiero in Italia è molto attivo e vivace, caratterizzato da molte PMI. Ma la grande maggioranza di queste società è vulnerabile agli attacchi informatici. Attacchi che stanno aumentando in modo consistente e che sono compiuti da hacker isolati, organizzazioni informatiche criminali, addirittura nazioni che organizzano e sostengono cybercriminali. I motivi di questi attacchi sono sostanzialmente tre: soldi, spionaggio industriale, eco terrorismo. Quest’ultimo è il più recente ed è un problema particolarmente sentito in America Latina.

Di recente è emerso un altro fattore che può aggravare una situazione già preoccupante, in particolare in Italia: l’affermarsi dell’intelligenza artificiale, impiegata dai cybercriminali per condurre attacchi ancora più veloci, su larga scala e sofisticati (come è il caso dei deepfake). Questa evoluzione è solo lo step più recente di una crescita in termini di pericolosità e di velocità degli attacchi. Se tre anni fa passavano in media 44 giorni tra l’infezione da ransomware e l’esfiltrazione dei dati, oggi questo intervallo si è ridotto a poche ore.

Quest’anno ci sarà un grande cambiamento con l’imporsi dell’intelligenza artificiale, un cambiamento che non coinvolge solo le aziende ma anche i fornitori, l’intera supply chain. Le imprese devono essere consapevoli di come effettuare questo passaggio, in pratica come sfruttare la potenza dell’AI per combattere i cybercriminali. Palo Alto, che si occupa di AI da più di dieci anni, chiama questa nuova fase digital next o trasformazione digitale guidata dall’intelligenza artificiale.

I cybercriminali puntano all’OT

L’Italia è uno dei Paesi nell’Unione Europea che è risultato più sotto attacco nel corso del 2022, un primato negativo che vale anche per il 2023. La nostra nazione ha una percentuale di successo degli attacchi pari al 65%, molto più alta di quella di altri Paesi. Questo principalmente per mancanza di investimenti adeguati in misure di protezione.

La situazione è particolarmente grave se esaminiamo in dettaglio il settore manifatturiero, che rappresenta una fetta molto importante del PIL nazionale. Il reparto ancora oggi più trascurato nelle aziende che producono beni materiali è quello dell’operation technology (OT), che include le macchine che costruiscono i prodotti. Oggi queste macchine sono connesse alla rete aziendale, sono comandabili da remoto e quindi sono vulnerabili agli attacchi esterni. Discorso simile va fatto per i robot, sempre più diffusi e connessi per loro stessa natura. Secondo la ricerca “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, commissionata da Palo Alto ad ABI Research, che ha coinvolto poco meno di 2.000 manager OT in 16 mercati diversi, la situazione delle industrie è molto preoccupante, soprattutto per la sicurezza dell’OT.

Ma perché gli ambienti OT sono un obiettivo così attraente? La loro complessità e un’architettura tecnologica frammentata li rendono vulnerabili ad attacchi informatici che possono avere gravi conseguenze per l’azienda. Solo nell’ultimo anno, il 72% delle società italiane (68% a livello globale) ha subìto un attacco informatico OT e il 20% (24% a livello globale) ha dovuto addirittura interrompere le operazioni dopo un cyber attacco riuscito. In questo quadro si inserisce l’intelligenza artificiale, vista sia come un rischio sia come un’opportunità dalla maggior parte dei manager.

Oggi le soluzioni per la protezione disponibili sul mercato sono in prevalenza molto specifiche per un determinato ambiente e sono piuttosto complesse. Non permettono di avere una visione olistica di ciò che sta accadendo nella rete aziendale. Il 70% dei manager intervistati chiede invece soluzioni più semplici e multiambiente. È sempre più sentita l’esigenza di far comunicare OT e IT, superare una logica a silo e impiegare un’unica piattaforma, una sola console di gestione, che permetta di avere una visione complessiva per essere più efficienti ed efficaci nel contrasto ai cyber attacchi.

La necessità di allestire una difesa contro gli attacchi è sancita anche dalle norme contenute nella Direttiva NIS, la direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Questa direttiva è stata promulgata nel 2016, ma l’evoluzione tecnologica è stata talmente rapida da richiedere nel 2023 la nuova Direttiva NIS 2, che allarga gli scopi, gli ambiti e i settori che devono essere conformi a una serie di regole. Sicuramente nei prossimi anni queste regole diventeranno ancora più severe e stringenti.

Queste norme, tra le altre cose, stabiliscono che i CEO delle aziende sono responsabili delle conseguenze di un attacco informatico, e che le società violate devono pagare sanzioni che arrivano fino al 2% del fatturato globale dell’azienda o a 10 milioni di euro.

Garantire la cyber resilienza

Se in passato i due mondi OT e IT erano isolati, adesso sono convergenti, sempre più uniti. Il 79% dei manager intervistati nell’indagine vede come trend nei prossimi 3 – 5 anni l’unificazione della gestione OT e IT. Bisogna quindi eliminare differenze e disomogeneità tra i due settori, perché il problema è uno solo: garantire la cyber resilienza.

La difficoltà non è solo di sistemi e di apparati, è anche umana. Non solo le competenze sono difficili da trovare (Gartner stima che entro il 2025 il 99% degli attacchi avrà una correlazione con un’errata configurazione delle tecnologie di cyber security), ma anche mentalità deve cambiare. Per esempio far capire ai manager OT che il loro ambiente non è più chiuso e che va protetto con le stesse logiche di quello IT. In sostanza, da una parte le persone hanno mentalità divergenti, dall’altro le normative e la gravità degli attacchi spingono verso la convergenza.

Cosa bisogna fare quindi? Per prima cosa semplificare, facendo fare il lavoro a chi è in grado di farlo meglio di noi, ovvero alle macchine, più precisamente ad algoritmi di controllo, all’intelligenza artificiale. L’AI non ha problemi a trattare grandi quantità di dati, anzi, più sono le informazioni più precise sono le sue risposte.

Il secondo aspetto da considerare è scegliere la piattaforma giusta, che deve supportare applicazioni per tutti gli ambienti, OT e IT, e che deve essere integrata in maniera nativa e centrata sui dati.

Anche la parte detection and response deve essere automatizzata, perché così la risposta all’attacco è molto più veloce. Un essere umano non può competere con la velocità di una macchina, di una AI. In un mondo estremamente dinamico e che si evolve molto rapidamente, l’AI è la soluzione da adottare per individuare e rispondere ai cyber attacchi. Questa differenza di prestazioni tra macchina ed essere umano è amplificata dall’aumento esponenziale dei dati. Nessun operatore può tenere d’occhio la moltitudine di eventi che interessano oggi una rete aziendale. L’AI controlla invece ogni singolo evento e, dove possibile, lo risolve in automatico.

Umberto Pirovano, Senior Manager Systems Engineering, Palo Alto Networks
È necessario un cambio di paradigma. Invece di applicare l’automazione ai processi che sono stati creati per l’essere umano, bisogna mettere a punto nuovi sistemi di automazione creati per le macchine e lasciare all’essere umano il compito di seguire solo quei casi dove le macchine non arrivano.