AO_418

AUTOMAZIONE OGGI 418 SOLUZIONI SOFTWARE PER L’INDUSTRIA 111 per comprendere quando un’attività sospetta rappresenti un serio pericolo per l’organizzazione. L’intelligenza artificiale di Darktrace rileva leminacce informatiche emergenti in ambienti cloud che tendono a passare solitamente inosservate dagli altri strumenti. Spoofing email in Office 365 Lo spoofing email implica la registrazione di un dominio ap- parentemente legittimo molto simile a quello del contatto di posta elettronica di un individuo o servizio fidato, in modo che un utente malintenzionato possa ingannare il proprio destina- tario lasciandolo all’oscuro e infiltrarsi in una rete con facilità. Per anni questometodo ha permesso agli aggressori di eludere i controlli tradizionali, poiché un dominio appena registrato aveva la capacità non solo di ingannare chi riceveva il messag- gioma anche di eludere le soluzioni implementate basate sulle blacklist. In un’azienda che si occupa della distribuzione dell’energia elettrica, l’intelligenza artificiale ha rilevato un tentativo di spo- ofing molto convincente in un account di posta elettronica di Office 365. L’email era stata inviata apparentemente dal CEO della società a un dipendente dell’ufficio paghe chiedendo che aggiornasse le sue informazioni per l’accredito sul conto. Dal momento che l’email imitava correttamente anche lo stile di scrittura del CEO, l’attacco sarebbe avvenuto con successo se l’intelligenza artificiale non avesse analizzato a priori il flusso della posta di Office 365 dell’intera azienda, identificando im- mediatamente le anomalie anche più impercettibili nell’email e attivando la risposta autonoma che ha bloccato i link nella posta elettronica contrassegnandoli chiaramente come spoofing, prima che raggiungessero l’ufficio paghe. Responsabile IT insoddisfatto Un’azienda retail ha deciso di riorganizzare il proprio diparti- mento IT, cancellando alcune posizioni. Un responsabile IT, scontentodel licenziamento, si è trasformato inunpericoloper l’organizzazione: ha scaricato i dati di contatto e i numeri delle carte di credito dal database dei clienti, trasferendoli su un ser- ver domestico tramite un servizio di trasferimento dati abilitato dall’azienda. Il responsabile IT sapeva che il servizio non solo non era monitorato in base alle policy aziendali, ma era anche basato su cloud, e ha quindi supposto che il team di sicurezza avrebbe avuto una visibilità limitata sulle sue azioni. Eppure, sebbene l’attività avesse eluso senza alcun problema i controlli nativi del provider cloud, l’intelligenza artificiale ha scoperto il comportamento minaccioso in pochi secondi, evidenziando i collegamenti e i download altamente sospetti sul dispositivodel dipendente, anche all’interno dell’attività caotica dell’ambiente aziendale. Dati sensibili e informazioni personali non crittografati su AWS Un governomunicipale degli Stati Uniti che esternalizza i propri database su un servizio cloud di terze parti non è riuscito a con- figurare correttamente i propri protocolli. Di conseguenza, gli indirizzi, i numeri di telefono e i numeri di immatricolazione dei veicoli dei residenti sono stati caricati su un database esterno tramite connessioni non criptate. Questi dati, altamente sen- sibili, erano destinati a un accesso limitato da parte dei dipen- denti comunali, ma la svista di sicurezza li ha resi disponibili a qualsiasi aggressore in grado di analizzare il perimetro della rete. L’azienda non era a conoscenza della configurazione er- rata, poiché non era stata rilevata dagli strumenti di sicurezza tradizionali. Darktrace ha rivelato come stava avvenendo la trasmissione dei dati sensibili agli aggressori che potevano ac- cedervi per raccogliere materiale utile a futuri attacchi di spear phishing o persino a frodi d’identità. Violazione in SharePoint Una volta sottratte le credenziali per accedere a un servizio SaaS, i criminali informatici di norma eseguono script frequenti per identificare rapidamente i file che contengonoparole chiave come ‘password’. È quello che è successo in un caso che ha coinvolto una banca europea in cui gli aggressori hanno sco- perto un file di Office 365 SharePoint che conteneva password non crittografate. Dato che avevano già aggirato i sistemi di si- curezza convenzionale, i criminali si aspettavano di essere fuori pericolo, tuttavia, l’intelligenza artificiale ha identificato imme- diatamente un’attività anomala rispetto al comportamento ‘normale’ della rete bancaria, rilevando l’accesso insolito a que- sti file sensibili. La comprensione del business e delle dinamiche che caratterizzanoutenti edispositivi da partedi un’intelligenza artificiale in costante crescita si è dimostrata fondamentale; in altre circostanze l’attività sospetta poteva essere considerata innocua, ma in questo caso si è rivelata maligna e, se non in- dividuata in tempo, avrebbe permesso agli hacker di sfruttare le password in chiaro per intensificare i propri privilegi e infil- trarsi ulteriormente nella rete aziendale. Con l’IA il perimetrodel Intelligenza artificiale S SI Foto tratta da www.pixabay.com