L’intelligenza artificiale (AI) e in particolare quella generativa, la GenAI sta investendo anche l’ambito della cybersecurity, nel bene e nel male. Cosa ci dobbiamo aspettare nel corso di quest’anno?
Lo studio annuale di Trend Micro, che analizza il panorama della sicurezza e presenta le minacce informatiche che imperverseranno nel corso dell’anno, mette in evidenza il ruolo della GenAI nello scenario delle minacce cyber, dalle tattiche sofisticate di social engineering ai furti di identità potenziati da strumenti basati su GenAI, all’inquinamento dei dataset.
“La GenAI è una tecnologia AI avanzata basata sui Large Language Model (Llm), modelli incentrati sulla comprensione e sull'analisi del testo”, spiega Alessio Agnello, Technical Director di Trend Micro Italia, in occasione della presentazione delle prediction emerse dalla ricerca.
“Questi modelli, presenti in qualsiasi lingua, sono una reale e seria minaccia per la sicurezza perché eliminano tutti gli indicatori tipici del phishing, per esempio gli errori di formattazione o quelli grammaticali, rendendo gli attacchi estremamente difficili da individuare”.
La GenAI ricorre nelle cinque prediction
Sono cinque le previsioni a breve termine indicate nello studio Critical Scalability, frutto del lavoro realizzato nei 15 centri di ricerca globali di Trend Micro, che osservano l’evoluzione degli attacchi e analizzano malware e vulnerabilità.
“I nostri esperti di cyber minacce e i data scientist utilizzano anche sistemi esca per individuare i target degli attaccanti e dove si sta spostando l’attenzione”, sottolinea Agnello.
L’evento di presentazione delle prediction ha visto anche la partecipazione di realtà che operano nel mondo industriale, nei servizi e nell’ambito tecnologico, quali Pirelli, Tim e Intel, che hanno arricchito i contenuti dei trend con i loro commenti.
“L’AI rappresenta una grande opportunità per le aziende, legata all’aumento della produttività”, afferma Stefano Vercesi, Ciso di Pirelli. “È un fenomeno che al di là dell’hipe attuale, consentirà al mondo manifatturiero di raggiungere nuovi livelli di produttività e di semplicità. Un impiego corretto e consapevole degli strumenti di AI all’interno dell’azienda comporta anche la comprensione che l’AI possa aumentare alcuni eventi di cybersecurity”.
La GenAI per attacchi mirati
1)L’intelligenza artificiale generativa permetterà ai truffatori di far evolvere le trappole di social engineering in attacchi mirati.
L’ampia disponibilità e la qualità migliorata dell’intelligenza artificiale generativa, insieme all’utilizzo di Generative Adversarial Networks (Gan, un’architettura per addestrare un modello generativo di AI, che ha rivoluzionato il modo in cui si creano contenuti artificiali), saranno la causa di un cambiamento epocale negli attacchi e nelle tattiche di phishing.
“Ci sarà un utilizzo ampio di AI e algoritmi di machine learning per effettuare attacchi mirati, non solo a persone che ricoprono ruoli importanti all’interno delle aziende, ma anche a dipendenti comuni per compiere rapimenti virtuali di identità, deep fake video e soprattutto audio”, afferma Agnello.
Considerato il livello elevato del potenziale guadagno di questi attacchi, i cybercriminali saranno incentivati a sviluppare strumenti GenAI malevoli per lanciare campagne o utilizzare tool legittimi, ma con credenziali rubate, nascondendo le proprie identità all’interno di Vpn.
Dati come armi
2)I dati saranno trasformati in armi e verranno utilizzati per colpire i nuovi modelli cloud-based di machine learning.
“Anche i modelli di AI potrebbero essere sotto attacco. I modelli generici come GenAI e Lml sono difficili da influenzare a causa degli ampi e variegati set di dati, ma i modelli di machine learning cloud-based potrebbero essere un target attraente”, spiega Agnello.
I dataset più specializzati su cui si basano saranno presi di mira per inquinare le informazioni attraverso diverse tecniche, dall’esfiltrazione di dati sensibili al boicottaggio dei filtri anti-frodi, per esempio.
“I bad guys si focalizzeranno sul bypassare la sicurezza dei sistemi dove risiedono i data set per modificarli con l’obiettivo, per esempio, di influenzare e modificare la risposta di una componente GenAI utilizzata all’interno di un call center, o per indirizzare e influenzare l’opinione pubblica su determinati temi, si pensi al contesto geopolitico attuale e alle diverse elezioni politiche in programma quest’anno”, afferma Agnello.
“Un Llm è una sorta di alternativa evoluta tra una tastiera e un mouse, pensato per rendere più facile l’interazione uomo-macchina”, aggiunge Walter Riviera, AI Technical Lead Emea Intel.
“In sé la GenAI non è né buona né cattiva, è solo uno strumento. La differenza la fa il suo uso, corretto o scorretto. Il problema che sorge, semmai, è sulla protezione della qualità e sulla certificazione dei dati che vengono utilizzati per addestrare i diversi modelli Llm”.
“C’è un grande fermento in atto”, continua Riviera. Intel, che dal 2018 si definisce una data center company per abbracciare la rivoluzione AI, punta su sistemi che prevedono aree di memoria criptate che permettono di proteggere il dato, criptandolo anche all’interno di modelli di AI.
Le debolezze del cloud
3)Le lacune di sicurezza negli ambienti cloud consentiranno ad attacchi worm cloud-native di avere successo.
Gli attacchi colpiranno vulnerabilità ed errori di configurazione, utilizzando un livello alto di automazione, per centrare con il minimo sforzo il maggior numero di container, account e servizi.
La digital transformation ha portato il cloud quasi in ogni azienda, tant’è che si parla anche di cloud transformation. “All’inizio di questo fenomeno si parlava di caratteristiche quali il superamento dei limiti dell’on premise e del fatto che il cloud fosse sicuro by design”, osserva il Ciso di Tim Matteo Macina.
“Ora, invece, si parla di misconfigurazioni del cloud e di quanto possano essere sfruttate dagli attaccanti per inserire codice malevolo con capacità di propagarsi in modo automatico. Da qui l’importanza di avere una governance, soprattutto in ambienti multicloud”.
Tim ha un’esperienza pluriennale nella cybersecurity. Il Soc di Tim opera da 20 anni con strutture interne portando avanti attività sia di difesa dai cyberattacchi, sia di osservazione dell’evoluzione delle minacce.
"Oggi, anche per lo sviluppo del software ci si sta spostando sul cloud sfruttando ambienti di sviluppo come Kubernetes, che estendono ulteriormente la superficie di attacco trovandosi già all’interno dei sistemi aziendali”, spiega Agnello. “Gli attaccanti possono inserire del codice malevolo e distribuirlo in maniera automatizzata".
“Bisognerà mettere in campo tecnologie per contrastare questo fenomeno utilizzando la GenAI in modo benevolo. A questo riguardo, le aziende di cybersecurity collaborano tra loro, cercando di condividere informazioni, piattaforme di AI e data set per contrastare le attività degli attaccanti. È questa collaborazione che fa la differenza tra l’utilizzo benevolo della GenAI e quello malevolo”.
Supply chain nel mirino
4)Attacchi alla supply chain dei software
Questi attacchi potrebbero colpire sia i software open-source sia gli strumenti per la gestione delle identità, come le Sim dei telefoni, cruciali nella gestione flotte.
Oggi molte aziende sviluppano i propri software in ambito container, pacchetti di software che contengono tutti gli elementi necessari per l'esecuzione in qualsiasi ambiente.
I container virtualizzano il sistema operativo e sono eseguibili ovunque, da un data center privato al cloud pubblico o anche sul laptop di uno sviluppatore e la possibilità per gli attaccanti di inserirsi nelle supply chain dello sviluppo consente per esempio di modificare e contaminare con codice malevolo librerie o runtime spesso condivise.
Così, senza che lo sviluppatore se ne accorga, in modo automatico, i cybercriminali possono inserire codice malevolo all’interno di un’azienda e accedere a tutta la filiera. Si pensi a una realtà come Pirelli e all’impatto che potrebbe avere la contaminazione di un fornitore della supply chain.
“In merito alla supply chain si sta lavorando per arrivare ad avere una security posture adeguata anche per tutti i fornitori, ma non è facile, se solo si pensa allo sforzo necessario per fornire rassicurazioni in ambito di cybersecurity, sia da parte del cliente che del fornitore”, afferma Stefano Vercesi, Ciso di Pirelli.
“Una possibile alternativa è mettere a punto un sistema di certificazione proprio, in Germania c’è un’esperienza di questo tipo in ambito automotive”.
I rischi per la blockchain
5) I cybercriminali prenderanno di mira le blockchain, per escogitare piani di estorsioni.
Le azioni potrebbero consistere nel modificare, sovrascrivere o cancellare le voci e chiedere un riscatto. In alternativa, i cybercriminali potrebbero provare a crittografare l'intera blockchain attraverso il controllo di un numero sufficiente di nodi.Q
AI e Cybersecurity: verso un ambiente più normato
Queste tendenze potrebbero portare a loro volta a un maggiore controllo normativo e a un maggior impegno in questa direzione di opera nella cybersecurity.
“Per esempio collaborando attivamente con i governi e le istituzioni per sviluppare policy e regolamentazioni specifiche relative all’AI e alla sicurezza”, ha commentato in chiusura Alessandro Fontana, Country Manager di Trend Micro Italia.
Un ambito in cui Trend Micro non manca di fornire il suo sostegno, lavorando al fianco della Pubblica Amministrazione Italiana e delle Forze dell’Ordine nella lotta al cybercrime.
Dal oltre trent’anni sul mercato, Trend Micro continua ad evolvere, tecnologicamente e strategicamente. Oggi l'azienda propone una piattaforma che si arricchisce continuamente grazie al coinvolgimento delle terze parti. Prova ne sono i risultati: Trend Micro nel 2023 è cresciuta del 34% con un’importante quota di mercato anche nelle pubbliche amministrazioni.
