AO_418

112 AUTOMAZIONE OGGI 418 SOLUZIONI SOFTWARE PER L’INDUSTRIA Intelligenza artificiale S SI cloud è stato messo in sicurezza prima che l’attacco potesse degenerare in una vera e propria crisi. Minaccia Zero-Day Gli strumenti di sicurezza tradizionali che ricercano i tratti ri- conoscibili e pre-definiti di un attacco sono ciechi di fronte alle nuove varietà di minaccia e, di conseguenza, falliscono costan- temente nella rilevazione dei nuovi malware. Una compren- sione completa del comportamento del traffico su tutta la rete e il cloud, al contrario, consente di individuare le attività inso- lite di ogni tipo, consentendole di intervenire anche in risposta ai trojan zero-day. All’interno di una casa editrice, per esem- pio, Darktrace ha identificato un’email sospetta inviata dall’ac- count Office 365 di un dipendente, che sembrava provenire da un collega fidato che sembrava voler richiedere una fattura, mentre la mail conteneva il link per il download di un malware nascosto. Si trattava di un collegamento mai visto prima, che aveva aggirato gli strumenti tradizionali e non è stato elencato come sospetto in nessuna blac- klist basata su regole, almeno fino al giorno successivo. Sebbene l’attacco mostrasse i livelli di sofisticazione indicativi di una cyber criminalità organizzata, l’intel- ligenza artificiale ha stabilito che la mail fosse molto sospetta e rappre- sentasse una minaccia. Credenziali utente compromesse I criminali informatici possono avere accesso alle credenziali di un account aziendale sfruttando diverse tecni- che: dagli attacchi di social engineering ai malware ‘intelligenti’ che si infiltrano nel traffico e negli asset cloud alla ricerca di pas- sword. Nel caso di un’organizzazione internazionale, per esempio, un attacco ha compromesso un account Office 365 ignorando i controlli di sicurezza nativi. L’azienda ha uti- lizzato uno strumento di sicurezza Microsoft che però non è stato in grado di identificare la manomissione perché si limi- tava a rilevare gli indirizzi dannosi già noti. Questo particolare link di phishing non appariva nelle sue blacklist, mostrando i limiti evidenti di un approccio basato su firme. Nonostante l’azienda possedesse sedi in ogni angolo del mondo, l’intel- ligenza artificiale ha identificato un tentativo di accesso da un indirizzo IP insolito e ha subito creato una nuova regola di elaborazione della posta elettronica per eliminare le email in arrivo sull’account, contenendo la minaccia in pochi secondi. Configurazione errata del cloud Dalla configurazione errata di un ambiente cloud possono de- rivare vulnerabilità potenzialmente fatali per i sistemi di un’a- zienda, e nessuna infrastruttura può dirsi perfetta. Nel caso di una società di servizi finanziari, la configurazione dei controlli cloud nativi ha lasciato esposto su Internet un server core, an- ziché isolarlo con un firewall. La causa del problema potrebbe essere stata una migrazione rapida e caotica o la mancanza di familiarità dei dipendenti con i controlli nativi offerti dal Cloud Service Provider. La criticità, della quale il team di sicurezza non era a conoscenza, è stata scoperta e sfruttata dai crimi- nali informatici dopo aver eseguito una scansione periodica di Internet via Shodan. In pochi secondi, tuttavia, l’IA ha rilevato che il dispositivo stava ricevendo una quantità insolita di ten- tativi di connessione in entrata da una vasta gamma di fonti esterne, rare e ha mitigato la minaccia. Proprietà intellettuale non crittografata in Azure Un’azienda manifatturiera in Europa stava utilizzando un ser- ver Microsoft Azure per conservare i file contenenti schede di prodotto e proiezioni di vendita. Nel momento in cui un dispo- sitivo ha scaricato un file ZIP da questo server da un raro indirizzo IP esterno, Darktrace ha ri- levato l’attività sospetta ritenendola estre- mamente anomala. Successivamente, è stato scoperto che il file ZIP era acces- sibile a chiunque fosse a conoscenza dell’URL della pagina, che si poteva ottenere semplicemente intercet- tando il traffico di rete, dall’interno o dall’esterno dell’azienda. La per- dita o il furto dei file sensibili in questione avrebbe potuto mettere a rischio un’intera linea di prodotti ma Darktrace ha individuato e risolto la minaccia immediatamente, proteg- gendo le informazioni dell’azienda. Attacco alla supply chain Sottraendo i dettagli dell’account di un contatto fidato all’interno della supply chain aziendale, gli aggressori più pre- parati possono ottenere facilmente la fiducia del destinatario e indurlo a cliccare su un collegamento maligno. In una casa di produzione cinematografica di Los Angeles, per esempio, un criminale ha utilizzato le credenziali di Office 365 rubate a un contatto per leggere la corrispondenza con un altro di- pendente, inviando una risposta all’ultima email ricevuta che rispecchiava perfettamente lo stile di scrittura del contatto ru- bato e il senso del contesto delle discussioni precedenti, inclu- dendo però un link dannoso alla comunicazione. L’intelligenza artificiale ha capito che questo contatto fidato era in realtà un aggressore che aveva dirottato l’account. Riconoscendo que- sto collegamento come raro, sia per il mittente sia per il de- stinatario, alla luce dei loro scambi precedenti, ha avvisato il dipendente e neutralizzato il payload malevolo. Darktrace www.darktrace.com Foto tratta da www.pixabay.com