A cura di Justin Fier, Director of Cyber Intelligence & Analytics, Darktrace
In un momento in cui gli attacchi informatici automatizzati agiscono a rapidità crescente, il loro semplice rilevamento non è più sufficiente per fermarli prima che causino danni reali.
Secondo uno studio del Ponemon Institute, le aziende statunitensi impiegano in media 206 giorni per identificare una violazione dei dati. E anche quando i team di sicurezza scoprono una potenziale compromissione ancora all’esordio, le persone non sono in grado di tenere testa al codice malevolo in grado di crittografare o causare la fuoriuscita dei dati in meno di un minuto.
In questa era di minacce ad azione rapida, l’unica soluzione consiste nel combattere il codice con il codice, mettere in azione un algoritmo contro un algoritmo e contrastare gli attacchi rapidi con difese autonome, altrettanto veloci. Darktrace, ideatore della prima tecnologia di risposta autonoma di livello enterprise, sfrutta gli algoritmi di intelligenza artificiale per bloccare i malware in azione, consentendo ai difensori della rete di guadagnare tempo per indagare e reagire. In particolare, Antigena salvaguarda la proprietà digitale giorno e notte, nei weekend e durante le vacanze, presupponendo che i cyber-criminali possano agire in qualsiasi momento.
Ecco tre esempi di attacchi sofisticati che Antigena è stata in grado di neutralizzare per conto dei team di sicurezza, che erano fuori sede o impossibilitati a reagire in tempo. Nel complesso questi casi dimostrano come il futuro della difesa informatica autonoma sia già arrivato.
Estorsione automatizzata quando il team di sicurezza è assente
L’esempio per eccellenza di una minaccia informatica troppo rapida perché i professionisti umani possano fermarla è il ransomware, diventato sempre più una preoccupazione per le organizzazioni di tutto il mondo. In effetti, svariate ricerche hanno rilevato che circa il 70% delle aziende decide di pagare il riscatto subito dopo essere stato colpito, indipendentemente dalla cifra richiesta. Tuttavia, la risposta autonoma di Darktrace impedisce la diffusione del ransomware confinando l’attività di utenti e dispositivi all’interno dei propri “modelli di vita” normali. Raffinando costantemente la comprensione delle attività comuni alla rete e di quelle estranee al suo funzionamento standard, l’IA di Darktrace interviene chirurgicamente per interrompere solo l’attività anomala, consentendo alle operazioni aziendali di continuare senza interruzioni.
In un caso realmente accaduto, alle 19:05 di un venerdì, un dipendente di un’importante azienda di telecomunicazioni ha effettuato l’accesso alla propria email personale da uno smartphone aziendale ed è stato indotto a scaricare un file dannoso contenente ransomware. Qualche secondo dopo, il dispositivo ha iniziato a connettersi a un server esterno sulla rete Tor, dando il via all’attacco subito dopo che il team di sicurezza dell’azienda aveva lasciato l’ufficio per il fine settimana.
L’intelligenza artificiale di Darktrace per rispondere ha impiegato solo nove secondi dall’inizio della crittografia, inviando un alert prioritario che richiedeva un’azione immediata. Poiché il comportamento persisteva, nei pochi secondi successivi Darktrace ha attivato la propria risposta autonoma abilitata dall’IA che ha interrotto tutti i tentativi di crittografia prima che il ransomware si diffondesse attraverso la rete di telecomunicazioni. Si è quindi rivelato di importanza critica il fatto che la tecnologia di risposta autonoma fosse in guardia, anche quando il team di sicurezza non poteva esserlo.
Antigena anticipa l’alfabeto
Quasi il 95% di tutti gli attacchi informatici che vanno a buon fine iniziano da un’e-mail di phishing, che inganna un dipendente facendogli violare la propria azienda prima che il team di sicurezza se ne accorga. Ancora più difficili da individuare sono le e-mail personalizzate di “spear phishing” che utilizzano le conoscenze approfondite acquisite dai social media o dalla sorveglianza fisica per impersonare colleghi fidati. Per contrastare una campagna di spear phishing avanzata è necessario comprendere il comportamento normale di ciascun utente abbastanza a fondo da contrassegnare le email anche minimamente sospette e poter disattivare autonomamente i link dannosi: una combinazione che solo l’intelligenza artificiale di Darktrace è in grado di compiere.
Sulla rete di una delle maggiori città degli Stati Uniti, una campagna di spear phishing sofisticata è riuscita a bypassare i controlli di posta elettronica nativi della città. Gli aggressori, che avevano ottenuto l’elenco dei residenti, inviavano ai destinatari in ordine alfabetico, delle email con un contenuto apparentemente innocuo che in realtà nascondeva un payload maligno. Nonostante la natura ben mascherata di questo attacco, Darktrace ha immediatamente contrassegnato il dominio nelle e-mail come anomalo per i dipendenti della città, un’azione possibile solo grazie alla costante evoluzione della comprensione del comportamento normale della rete da parte dell’IA di Darktrace.
La risposta autonoma di Darktrace era stata implementata in “Modalità Passiva”, un’impostazione iniziale nella quale l’IA si limita a comunicare quale risposta attiverebbe per reagire alla minaccia invece che agire direttamente. È interessante notare, tuttavia, come questa modalità sia servita a dimostrare la capacità della tecnologia di fermare gli attacchi che gli strumenti convenzionali non rileverebbero. Darktrace ha riconosciuto la campagna alla lettera “A”, mentre gli strumenti legacy della città non hanno rilvato l’anomalia fino a quando l’attacco ha raggiunto la lettera “R.” In “Modalità attiva”, Antigena avrebbe neutralizzato l’attacco ancor prima che colpisse anche un singolo utente.
Grave minaccia nascosta in un parco divertimenti
L’esfiltrazione dei dati è oggi uno degli obiettivi più comuni dei cyber-criminali, poiché le informazioni personali e le credenziali rubate possono essere vendute sul dark web, utilizzate per commettere furti di identità o sfruttate per spostarsi lateralmente all’interno della rete di una vittima. In un parco di divertimenti del Nord America, un aggressore avanzato ha preso di mira un dispositivo IoT, un armadietto fisico progettato per riporre oggetti personali, tentando di sottrarre dati. Come parte dell’impostazione predefinita, l’armadietto “intelligente” stabiliva regolarmente un contatto con la piattaforma online di fornitori terzi, un processo in cui gli aggressori si sono infiltrati per compromettere il dispositivo.
A questo punto, l’armadietto ha iniziato a trasferire oltre un gigabyte di dati non criptati attraverso la rete verso un raro sito esterno. Le connessioni, che probabilmente includevano dettagli identificativi e credenziali sensibili, potevano essere trasmesse su Internet senza alcuna protezione, consentendo agli aggressori di intercettare le connessioni e utilizzare le informazioni per violare il perimetro della rete aziendale.
A causa della gravità della minaccia, Darktrace ha stabilito che fosse necessaria una risposta autonoma. In pochi secondi, l’IA di Darktrace ha agito bloccando in modo intelligente tutte le connessioni in uscita dall’armadietto compromesso dando, in tal modo, più tempo al team di sicurezza per rimuovere lo smart locker da Internet prima che qualsiasi dato sensibile appartenente all’azienda o ai consumatori potesse essere sottratto.