Di fronte ad attacchi informatici sempre più smart e sofisticati, Fortinet ha annunciato importanti cambiamenti di strategia che aiuteranno le organizzazioni a difendersi dall’arrivo delle minacce per il 2019 e oltre.
Sulla base delle previsioni del team FortiGuard Labs, i ricercatori suggeriscono l’adozione di nuove tecnologie e strategie come il machine learning e l’automazione per intraprendere attività ripetitive e che richiedono molto tempo, e che normalmente necessitano di un alto grado di supervisione e intervento umano.
Queste nuove strategie difensive avranno probabilmente un impatto sulle strategie dei criminali informatici, inducendoli a spostare i propri metodi di attacco e ad accelerare gli sforzi di sviluppo.
A ogni azione corrisponde una reazione
Nel tentativo di adattarsi al maggior utilizzo di machine learning e automazione, si prevede che la comunità dei criminali informatici adotterà probabilmente le seguenti strategie, che l’industria della sicurezza informatica nel suo complesso dovrà seguire da vicino:
- Artificial Intelligence Fuzzing (AIF) e vulnerabilità: il fuzzing è tradizionalmente una tecnica sofisticata utilizzata in ambienti di laboratorio da ricercatori specializzati in minacce per scoprire vulnerabilità in interfacce e applicazioni hardware e software, iniettando dati non validi, inaspettati o semi-casuali in un’interfaccia o un programma e monitorando eventi come crash, buchi non documentati alle routine di debug, codici di errore e potenziali perdite di memoria. Storicamente, questa tecnica è stata limitata a una manciata di ingegneri altamente qualificati che lavorano in ambienti di laboratorio. Tuttavia, poiché i modelli di machine learning sono applicati a questo processo, si prevede che questa tecnica diventerà non solo più efficiente e su misura, ma disponibile a una più ampia categoria di individui meno tecnici. Man mano che i criminali informatici iniziano a sfruttare il machine learning per sviluppare programmi di fuzzing automatizzati, saranno in grado di accelerare il processo di scoperta delle vulnerabilità zero-day, che porteranno a un aumento degli attacchi zero-day rivolti a diversi programmi e piattaforme.
- Utilizzo di AIF per attacchi Zero-Day: Una volta che l’AIF è a posto, può essere indirizzato a un codice all’interno di un ambiente controllato per estrarre gli exploit zero-day. Ciò accelererà in modo significativo la velocità con cui vengono sviluppati gli exploit zero-day. Una volta avviato questo processo, verrà abilitata l’estrazione zero-day as-a-service, creando attacchi personalizzati per obiettivi individuali. Questo cambierà drasticamente il modo in cui le organizzazioni devono approcciare la sicurezza poiché non ci sarà modo di prevedere dove appariranno questi zero-day, né come difendersi adeguatamente.
- Il “prezzo” degli Zero-Day: storicamente, il prezzo degli exploit zero-day è stato piuttosto alto, principalmente a causa del tempo, degli sforzi e delle abilità richieste per scoprirli. Ma man mano che la tecnologia AI viene applicata, nel tempo tali exploit passeranno dall’essere estremamente rari a diventare una commodity. Abbiamo già assistito alla mercificazione di exploit più tradizionali, come il ransomware e le botnet, e i risultati hanno spinto al limite molte delle tradizionali soluzioni di sicurezza. L’accelerazione nel numero e nella varietà delle vulnerabilità e degli exploit disponibili, inclusa la capacità di produrre rapidamente exploit zero-day e fornirli as-a-service, potrebbe inoltre avere un impatto radicale sui tipi e sui costi dei servizi disponibili sul dark web.
- Swarm-as-a-Service: i progressi significativi negli attacchi sofisticati basati sulla tecnologia di intelligence swarm-based ci sta avvicinando a una realtà di botnet basate su swarm nota come “hivenets”. Questa generazione emergente di minacce verrà utilizzata per creare grandi “sciami” di bot intelligenti in grado di operare in modo collaborativo e autonomo. Queste reti swarm non solo alzeranno gli standard in termini di tecnologie necessarie per difendere le organizzazioni, ma come il mining zero-day, avranno inoltre un impatto sul modello di business cybercriminale sottostante. In definitiva, con l’evolversi delle tecnologie di exploit e delle metodologie di attacco, il loro impatto più significativo sarà sui modelli di business impiegati dalla comunità dei criminali informatici.
- Menu a scelta di swarm: La capacità di suddividere e differenziare uno swarm in compiti diversi per ottenere un risultato desiderato è molto simile al modo in cui il mondo si è mosso verso la virtualizzazione. In una rete virtualizzata, le risorse possono accelerare o rallentare le VM basandosi interamente sulla necessità di affrontare problemi particolari come la larghezza di banda. Allo stesso modo, le risorse in una rete swarm potrebbero essere allocate o riallocate per affrontare le sfide specifiche incontrate in una catena di attacco. Uno swarm che gli imprenditori criminali hanno già preprogrammato con una gamma di strumenti di analisi ed exploit, combinato con i protocolli di autoapprendimento che consentono loro di lavorare come gruppo per perfezionare i loro protocolli di attacco, rende l’acquisto di un attacco per i criminali informatici semplice come scegliere da un menu alla carta.
- Poisoning di machine learning: il machine learning è uno degli strumenti più promettenti nel toolkit per la sicurezza difensiva. I dispositivi e i sistemi di sicurezza possono essere addestrati per eseguire autonomamente compiti specifici, come i comportamenti di base, l’applicazione di analisi comportamentali per identificare minacce sofisticate o dispositivi di tracciamento e patching. Sfortunatamente, questo processo può essere sfruttato anche dai cyber-avversari. Prendendo di mira il processo di apprendimento automatico, i criminali informatici saranno in grado di addestrare dispositivi o sistemi per non applicare patch o aggiornamenti a un particolare dispositivo, ignorare specifici tipi di applicazioni o comportamenti o non registrare traffico specifico per eludere il rilevamento. Ciò avrà un importante impatto evolutivo sul futuro del machine learning e della tecnologia AI.
Strategie difensive per difendersi dai nuovi attacchi
Per contrastare questi sviluppi, le organizzazioni avranno bisogno di continuare ad alzare gli standard per i criminali informatici. Ognuna delle seguenti strategie difensive avrà un impatto sulle organizzazioni criminali informatiche.
- Tattiche di inganno avanzate: l’integrazione delle tecniche di inganno nelle strategie di sicurezza per introdurre variazioni di rete basate su false informazioni costringerà gli aggressori a convalidare continuamente la loro intelligence delle minacce, impiegare tempo e risorse per rilevare falsi positivi e garantire che le risorse di rete che possono vedere siano effettivamente autentiche.
- Unified Open Collaboration: uno dei modi più semplici per un criminale informatico per massimizzare gli investimenti in un attacco esistente e possibilmente eludere il rilevamento consiste semplicemente nell’apportare un piccolo cambiamento, anche qualcosa di basilare come cambiare un indirizzo IP. Un modo efficace per tenere il passo con tali cambiamenti è la condivisione attiva delle informazioni sulle minacce. La threat intelligence continuamente aggiornata consente ai vendor di sicurezza e ai loro clienti di rimanere al passo con il più recente panorama di minacce. Gli sforzi di open collaboration tra le organizzazioni di ricerca sulle minacce, le alleanze di settore, i vendor di sicurezza e le forze dell’ordine ridurranno significativamente il tempo per rilevare nuove minacce esponendo e condividendo le tattiche utilizzate dai criminali.
Velocità, integrazione e automazione fondamentali per la sicurezza informatica.
Non esiste una strategia di difesa futura che includa l’automazione o il machine learning senza un mezzo per raccogliere, elaborare e agire sulle informazioni sulle minacce in modo integrato per produrre una risposta intelligente. Per far fronte alla crescente sofisticazione delle minacce, le organizzazioni devono integrare tutti gli elementi di sicurezza in un tessuto di sicurezza per trovare e rispondere alle minacce in maniera rapida e su scala.
