Nel 2018 i cyber attacchi sono stati ancora più rapidi e alimentati dalla tecnologia. Lo ha dimostrato Darktrace che, nel suo report annuale sulle minacce informatiche ha sottolineato come, quest’ultime, siano oggi in grado di criptare o compromettere i dispositivi nel giro di pochi secondi, rendendo ulteriormente arduo per i team di sicurezza contrastarli alla velocità necessaria.
Nello specifico, all’interno di Darktrace Discoveries 2018, Darktrace dimostra attraverso esempi concreti di attacchi individuati e bloccati dalla sua tecnologia come l’intelligenza artificiale sia diventata oggi un alleato fondamentale contro gli aggressori. Ma non solo.
Supportata dalla tecnologia di risposta autonoma, proprio l’AI è in grado di fermare le minacce in tempo reale e più efficacemente di qualunque essere umano.
In un’era in cui la tecnologia combatte contro la tecnologia
La velocità con cui l’intelligenza artificiale può rispondere a una minaccia emergente si è rivelata, infatti, un punto di svolta cruciale, poiché ha consentito ai team di sicurezza di guadagnare tempo prezioso durante un attacco, il cui impatto distruttivo cresce esponenzialmente con il passare del tempo.
Anche le minacce latenti, nascoste nell’azienda, rappresentano oggi ancora una sfida importante e difficile da individuare. In particolare, le figure interne all’organizzazione, soprattutto chi possiede un accesso privilegiato, possono causare danni ingenti: da un amministratore dei sistemi pronto a sfruttare l’infrastruttura aziendale per minare cripto valute, al dipendente che, inconsapevolmente, scarica un malware da un email di phishing.
Tra i casi più interessanti riscontrati da Darktrace quest’anno segnaliamo una grande azienda farmaceutica europea, in cui un assistente amministrativo ha scaricato ingenuamente un allegato a una mail di pagamento, a prima vista valutata attendibile, che conteneva in realtà un malware in grado di superare ogni difesa di sicurezza.
Questo malware sofisticato aveva l’obiettivo di infiltrarsi nella proprietà intellettuale dell’impresa, che comprendeva formule mediche altamente riservate.
Se questo patrimonio fosse stato compromesso, l’azienda avrebbe corso un grosso rischio dal punto di vista reputazionale e di concorrenza sul mercato. Una volta scaricato, il malware ha iniziato a connettersi a destinazioni esterne insolite e a muoversi lateralmente verso le altre aree della rete aziendale.
L’IA di Darktrace è stata in grado di identificare la presenza estranea nelle prime fasi dell’attacco, impedendone la diffusione, senza interrompere in nessun modo le attività del business.
Ma in una quotidianità in cui le reti non hanno più confini definiti, la superficie di attacco è sempre più vasta e i nuovi modelli di computing offerti dal cloud, l’esplosione dell’IoT, la convergenza delle reti IT e OT stanno creando nuovi punti ciechi e aumentando la difficoltà di assicurare ogni possibile ingresso.
Per questo motivo, i team di sicurezza si rivolgono sempre più all’IA, capace di individuare e rispondere alle minacce ovunque esse emergano.
In un parco divertimenti in Nord America, un attacco avanzato ha preso di mira gli armadietti a disposizione dei visitatori, che servono a conservare bagagli e oggetti personali.
Questi apparecchi IoT erano progettati per stabilire regolarmente un contatto con la piattaforma online del fornitore.
L’hacker ha identificato la fonte di questo processo automatico dirottandolo per compromettere l’armadietto. Una volta infiltrato, ha iniziato a trasferire i dati personali non criptati dei clienti, potenzialmente sensibili, a un sito esterno.
L’attacco è stato molto difficile da identificare perché lento e furtivo e sarebbe potuto rimanere latente per mesi o addirittura anni.
Un altro caso molto difficile da identificare si è verificato sempre negli Stati Uniti e ha coinvolto un’azienda che aveva installato diversi chioschi di pagamento hi-tech nei parcheggi per aiutare a elaborare i pagamenti e consentire anche un avviso in tempo reale di eventuali problemi di manutenzione.
Per garantire la sicurezza della rete aziendale, l’azienda ha configurato i dispositivi in modo che non si collegassero mai alla rete IT aziendale. Tuttavia, uno dei chioschi ha iniziato a connettersi a siti web per adulti e a siti esterni insoliti. Oltre a questa attività anomala, la presenza del chiosco sulla rete aziendale rappresentava una vulnerabilità latente critica.
Dispositivi IoT ancora troppo vulnerabili
Questi esempi evidenziano le vulnerabilità dei dispositivi IoT e la necessità di una visibilità e di una protezione completa su tutta l’infrastruttura digitale.
Inoltre, sebbene abbia migliorato l’efficienza aziendale, la convergenza delle reti IT e OT amplia notevolmente l’area di attacco a disposizione degli utenti malintenzionati.
Uno dei casi segnalati dal Threat Report di Darktrace quest’anno è un aggressore sconosciuto che ha attaccato una serie di dispositivi IoT industriali sulla catena di montaggio di un produttore alimentare nel tentativo di infiltrarsi nell’infrastruttura IT aziendale.
Questi apparecchi non avevano i permessi per connettersi all’infrastruttura centrale, pertanto l’IA di Darktrace è subito entrata in allerta e ha individuato in tempo reale il comportamento anomalo, evidenziando l’attività come rischio per l’integrità sia della rete aziendale che della catena di montaggio.
Con l’IA l’intera rete è stata visualizzata e protetta, inclusi i dispositivi IoT Industriali e gli ICS. Inoltre, accertando che le connessioni in uscita avevano superato il perimetro delle difese, il team di sicurezza ha potuto rendersi conto di ulteriori problemi nei firewall aziendali e porvi rimedio.
E intanto i nuovi malware prosperano
Malware sempre più sofisticati si stanno diffondendo, rendendo le soluzioni basate sulla firma e le blacklist superate. I nuovi attacchi ‘unknown unknowns’ sono difficili da individuare.
Un esempio è il malware precedentemente sconosciuto che ha infettato l’infrastruttura di un istituto bancario multinazionale tramite un allegato di posta elettronica dannoso. Il malware, noto come ‘Squirtdanger’, era stato identificato dall’intelligence open source pochi giorni prima, ma doveva ancora essere creata una regola o una firma per rilevare la minaccia.
Squirtdanger presenta una serie di funzionalità, tra cui la possibilità di fare screenshot, modificare i processi di sistema, scaricare i file e le informazioni della directory e rubare password sul browser.
Una volta infettato, il dispositivo ha iniziato quindi a comunicare con l’infrastruttura online di Squirtdanger, scaricando pagamenti, installando un programma automatico impostato per essere eseguito a intervalli regolari e mantenere il contatto con server dannosi. Contemporaneamente, sono stati osservati eventi interni anomali multipli, tra cui grandi volumi di login errati e un nuovo utilizzo delle credenziali amministrative. Il malware ha tentato anche di diffondersi agli altri dispositivi sulla rete, forzando gli accessi e tentando di sfruttare password e accessi privilegiati degli account degli utenti.
