1 73 Table of Contents 75 138

AO_411

GENNAIO-FEBBRAIO 2019 AUTOMAZIONE OGGI 411 74 AO S P E C I A L E si ripone fiducia così da consentire agli attacchi informatici ba- sati sull’IA di eludere il rilevamento e massimizzare il danno cau- sato. Piuttosto che indovinare in quale momento si svolgono le nor- mali operazioni commerciali, o se un ambiente utilizza princi- palmente macchine Windows o macchine Linux, o se Twitter o Instagram sarebbero un canale migliore per la C2 steganografica, il malware sarà in grado di impararlo, comprendere quale sia la comunicazione dominante nella rete del target e confondersi con essa. Un ulteriore scenario che è stato preso in esame da Darktrace ha permesso di fare emergere una minaccia estremamente furtiva. I dati venivano estrapolati da un’azienda di tecnologia in ambito medico a un ritmo così lento e, in pacchetti così piccoli, che non innescavano la soglia di allarme del volume di dati negli stru- menti di sicurezza legacy. Il dispositivo in questione è stato osservato collegarsi più volte a un indirizzo IP esterno estremamente raro su Internet nel corso di 24 ore. Ogni connessione era inferiore a 1 MB di dimensione; tut- tavia, il volume accumulato da centinaia di trasferimenti regolari di dati rappresentava una violazione significativa. Il dispositivo aveva inviato 15 GB di dati all’infrastruttura esterna di un utente malintenzionato. Per nascondere ulteriormente la sua attività malevola, il dispositivo utilizzava le porte TCP 516 e 7897. Sebbene l’uso di porte non standard potrebbe normalmente destare sospetti, l’ambiente target era molto frenetico e utilizzava con regolarità un numero consi- stente di porte esterne. Dal momento che l’IA di Darktrace impara il ‘modello di vita’ di una rete per tutta la durata della sua implementazione, moni- torando la situazione nel corso di 24 ore ha potuto identificare il volume complessivo di interazioni come chiaramente anomalo, rilevando il trasferi- mento di dati in uscita. Darktrace ha immediatamente allertato il team di sicurezza del cliente della violazione dei dati in corso, evitando loro di incorrere in danni reputazionali e normativi, le- gati alla natura sensibile e medica dei dati in questione. Quando parliamo di attacchi machine-speed, generalmente im- maginiamo che il malware si muova troppo velocemente perché gli esseri umani siano in grado di rispondere. Il corollario, tutta- via, è altrettanto pericoloso: gli attacchi ‘low-and-slow’ sfuggono al rilevamento perché ogni singola azione è troppo piccola per essere rilevata dagli umani e dai tradizionali strumenti di sicu- rezza. Gli strumenti di sicurezza più tradizionali funzionano in modo binario: se il caricamento è superiore a 500 MB viene segnalato come sospetto per le indagini successive. Gli aggressori ne sono consapevoli e proprio per questo adattano i propri metodi di estrazione dei dati di conseguenza, riducendo i dati in blocchi più piccoli ed estraendoli gradualmente nel tempo. Questi dati possono essere inviati su Internet a un singolo server C2 o a più destinazioni diverse. Anche se quest’ultimo caso era abbastanza sofisticato da ag- girare tutti gli strumenti di sicurezza esistenti, a eccezione di Darktrace, sono possibili scenari di estrazione dei dati ancora più furtivi. Un attaccante con una forte presenza nella rete target non è infatti obbligato a realizzare il furto nel corso di 24 ore, può distribuire la sua attività anche nell’arco di 24 giorni rendendola ancora più difficile da individuare. Sebbene sia già difficile per gli strumenti tradizionali rilevare esfiltrazioni di dati low-and-slow di questo tipo, diventerà an- cora più difficile una volta che il malware utilizzerà l’intelligenza artificiale per comprendere il contesto dell’ambiente target. Non appena il malware non utilizzerà più una soglia di volume dati hard-coded ma sarà in grado di cambiarla in modo dinamico, in base alla larghezza di banda totale utilizzata dalla macchina infetta, diventerà molto più efficiente. Invece di inviare 20 KB ogni 2 ore, potrà aumentare il volume dei dati estratti durante i periodi più adatti, ad esempio quando il dipendente il cui lap- top è infetto sarà in videoconferenza e invierà comunque grandi volumi di dati. AI: nuovi attacchi e nuove difese In conclusione, la combinazione tra le caratteristiche sofisticate del malware odierno con le abilità di comprensione immediata dell’IA segnerà un cambio di paradigma per l’industria della si- curezza informatica. Nel maggio 2017 abbiamo visto un primo cambiamento epocale con l’avvento di WannaCry. Sebbene gli attacchi di tipo worm fossero noti da tempo nel settore della sicurezza informatica, nessuno di questi era altrettanto efficace come WannaCry, né utilizzavano payload distruttivi come il ransomware. Dopo WannaCry, l’ecosi- stema del cyber-crimine ha rapidamente adattato le proprie tecniche ‘di successo’ ad altre forme di attacco informatico come il malware di cripto-mining o i trojan ban- cari in grado di spostarsi lateralmente. Una volta che i primi attacchi di successo guidati dall’IA colpiranno pesantemente le organizzazioni, probabilmente si potranno ve- rificare comportamenti simili nel mondo del cyber-crime. La cyber IA offensiva, infatti, sarà sempre più allettante per gli ag- gressori, in primo luogo per i guadagni finanziari che ne possono derivare: migliori capacità di movimento laterale si traducono in- fatti in un raggio di azione più ampio per i ransomware, e i me- todi C2 migliorati porteranno a periodi di infiltrazione più lunghi aumentando così la quantità di dati estratti. Una seconda moti- vazione deriva dal fattore scalabilità: gli attaccanti umani pos- sono muoversi con molta furtività grazie alla propria intelligenza, consapevolezza del contesto e capacità decisionali, ma possono scalare fino a un certo punto. Essere in grado di automatizzare alcune delle operazioni di orchestrazione ad alta intensità, come le intrusioni hands-on-keyboard, si tradurrà per gli aggressori in un maggiore ritorno sull’investimento. Le aziende che combattono le minacce avanzate, come i nuovi ceppi di ransomware, servendosi dei soli strumenti legacy stanno già fal- lendo perché la cyber IA difensiva è l’unica possibilità di prepararsi al cambiamento di paradigma che si verificherà nel panorama delle minacce quando il malware guidato dall’IA diventerà realtà. • Darktrace - www.darktrace.com DopoWannaCry, l’ecosistema del cyber-crimine ha rapidamente adattato le proprie tecniche ‘di successo’ ad altre forme di attacco informatico

RkJQdWJsaXNoZXIy MTg0NzE=