Una nuova era nella cyber security: quando l’avversario è potenziato dall’AI

La mente di un cyber-criminale esperto e all’opera è come quella di un imprenditore; una ricerca incessante di profitto guida ogni sua mossa e a ogni passo nel percorso che lo proietta verso il suo obiettivo si pone le stesse domande: come potrò ridurre al minimo il tempo che devo dedicare al progetto e ottimizzare le risorse? Come riuscirò a mitigare il rischio? Quali misure potrò adottare per ottenere i migliori risultati?

L’integrazione di un modello di “impresa” nel quadro del cyber-crimine spiega il perché gli hacker stiano progressivamente adottando nuove tecnologie per massimizzare l’efficienza e conferma quanto rivelato da un’analisi di Forrester di pochi mesi fa, cioè che l’88% dei responsabili della sicurezza giudichi ormai imminente e inevitabile l’utilizzo dell’IA da parte dell’attività cyber criminale. Oltre la metà degli intervistati durante lo stesso sondaggio, inoltre, prevede, che nei prossimi dodici mesi assisteremo pubblicamente ad attacchi alimentati dall’IA, e forse questo sta già accadendo.

È evidente come l’intelligenza artificiale abbia realizzato notevoli progressi negli ultimi anni in ambiti come l’assistenza sanitaria, il riconoscimento facciale, l’assistenza vocale e altri ancora. Nell’attuale gioco a guardie e ladri che caratterizza il mondo della cybersecurity, le aziende hanno quindi già iniziato ad accettare che per proteggersi dovranno potenziare le proprie difese con l’IA ma dovranno accelerare i propri sforzi perché molto presto saranno gli hacker a utilizzare la tecnologia AI open source a proprio vantaggio.

Il ciclo di vita dell’attacco si potenzia

Per il circuito del cybercrimine, i vantaggi nello sfruttare l’IA durante gli attacchi sono almeno quattro: ottenere una migliore comprensione del contesto, poter operare su scala, rende molto più
difficile l’attribuzione di un attacco e il suo rilevamento e, in definitiva, aumentare notevolmente la redditività.
Per spiegare meglio come ciascuno di questi fattori sia fondamentale, possiamo analizzare il ciclo di vita di un tipico tentativo di sottrazione di dati, che dimostra come l’IA sia in grado di aumentare il potere di chi attacca in ogni fase della sua campagna.

Fase 1: la ricognizione

Forrester stima che i “deep fake” abilitati dall’intelligenza artificiale costeranno alle imprese un quarto di miliardo di dollari di perdite nel 2020.
Per ottenere la fiducia e farsi strada all’interno di un’organizzazione, vedremo un numero sempre maggiore di chatbot automatici interagire con i dipendenti tramite i social media, attraverso fotografie di profili di persone inesistenti creati dall’intelligenza artificiale. Una volta acquisita la fiducia delle vittime nell’organizzazione target, gli hacker acquisiranno informazioni preziose sui dipendenti, e i CAPTCHA-breaker verranno sempre più utilizzati per la ricognizione automatizzata sulle pagine web rivolte al pubblico dell’organizzazione.

Fase 2: l’intrusione

L’AI sarà utilizzata per creare attacchi di spear-phishing convincenti; ad esempio, una versione adattata di SNAP_R potrà essere sfruttata per creare tweet realistici su vasta scala, destinati a diversi dipendenti chiave. I tweet ingannano l’utente portandolo a scaricare documenti dannosi oppure contengono collegamenti a server che facilitano gli attacchi di exploit-kit.

Un motore di fuzzing, di vulnerabilità autonomo basato su Shellphish potrebbe essere in grado di scansionare in modo costante il perimetro della vittima – i server che si interfacciano con Internet e i siti Web – e cercare di scovare nuove vulnerabilità per un punto d’appoggio iniziale di un attacco.

Fase 3: Comando e Controllo

Un noto framework di hacking, Empire, consente agli aggressori di “integrarsi” con le normali operazioni aziendali, limitando il C&C del traffico a periodi di massima attività. Un agent che utilizza una qualche forma di motore decisionale automatizzato per i movimenti laterali potrebbe non richiedere nemmeno l’opzione comando e controllo del traffico per spostarsi lateralmente. Eliminando la necessità del comando e controllo del traffico la superficie per il possibile rilevamento del malware esistente si riduce enormemente.

Fase 4: escalation dei privilegi

In questa fase, un crawler di password come CeWL è in grado di raccogliere parole chiave specifiche che riguardano il target da siti Web interni e inserirle in una rete neurale pre-addestrata, creando essenzialmente centinaia di permutazioni realistiche di password contestualizzate alla velocità della macchina, che possono essere inserite automaticamente negli intervalli del periodo in modo che il team di sicurezza non venga allertato o vengano avviati ripristini.

Fase 5: il movimento laterale

Spostarsi lateralmente e sottrarre account e credenziali comporta l’identificazione dei percorsi ottimali per realizzare l’obiettivo e per ridurre al minimo i tempi di intrusione. Parte della pianificazione di attacco può essere accelerate da strumenti come quelli del framework CALDERA che utilizza metodi di pianificazione automatica dell’IA. Una strategia che ridurrebbe notevolmente il tempo necessario per raggiungere la destinazione finale.

Fase 6: l’esfiltrazione dei dati

È proprio in questa fase finale in cui il ruolo dell’IA negli attacchi si mostra con maggiore evidenza. Invece di eseguire un’operazione di analisi post-intrusione costosa e setacciare gigabyte di dati, gli aggressori possono sfruttare una rete neurale che preseleziona solo materiale rilevante per l’esfiltrazione. Questa rete neurale è pre-addestrata e quindi ha una conoscenza di base di ciò che costituisce il materiale prezioso in modo da contrassegnarlo per una esfiltrazione immediata. La rete neurale potrebbe essere basata su qualcosa di simile al progetto open source di Yahoo per il riconoscimento dei contenuti.

Conclusione

Gli attacchi di oggi richiedono ancora che qualcuno sia seduto davanti a una tastiera e si occupi di ipotizzare i metodi che possono essere più efficaci rispetto al proprio obiettivo, ed è proprio questo elemento umano che spesso consente ai difensori di neutralizzare gli attacchi.
L’intelligenza artificiale offensiva renderà molto più difficile riuscire a rilevare e rispondere agli attacchi.
Oggi esistono ricerche e progetti open source che possono essere sfruttati per aumentare ogni fase del ciclo di vita degli attacchi e questo farà sì che la velocità, la scalabilità e la contestualizzazione degli attacchi aumenteranno tutti esponenzialmente.

I controlli di sicurezza tradizionali mostrano già le prime inadeguatezze nel rilevare attacchi mai visti prima, sia che si tratti di malware senza firme note, nuovi domini di comando e controllo o e-mail di spear phishing personalizzate. Non vi è alcuna possibilità che gli strumenti tradizionali siano in grado di far fronte agli attacchi futuri quando questi saranno all’ordine del giorno e saranno più facili che mai da realizzare.
Per affrontarli l’intelligenza artificiale dovrà diventare una parte necessaria dello stack di protezione, dato che, indipendentemente da quanto siano ben addestrati o ben equipaggiati, gli esseri umani da soli non saranno più in grado di tenere il passo.

Centinaia di organizzazioni stanno già utilizzando la risposta autonoma per combattere nuovi ceppi di ransomware, minacce interne, tecniche, strumenti e procedure precedentemente sconosciuti e molte altre sfide. Una nuova era nella difesa informatica è appena all’inizio e l’effetto dell’IA su questo campo di battaglia si sta già rivelando fondamentale.

Max Heinemeyer

Director of Threat Hunting di Darktrace

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.