F&N 116

SETTEMBRE 2023 FIELDBUS & NETWORKS 27 Fieldbus & Networks sistemi vicini. Si è trattato di un importante passo avanti per gli attaccanti: ba- stava che una sola vittima cadesse nell’email di phishing, perché si diffondes- sero rapidamente in migliaia di altri computer. Nonostante sia in circolazione da molti anni questo tipo di ransomware rimane una minaccia reale. Ne è un esempio l’attacco WannaCry del 2017, che ha bloccato centinaia di migliaia di computer, mentre ancora nel febbraio dello scorso anno il commodity ran- somware ha bloccato per 2 giorni un impianto di gas naturale statunitense. Gli attaccanti hanno continuato a intensificare il proprio gioco e a diversifi- carsi, sostituendo le tattiche automatizzate con metodi più sofisticati e mirati. Questi attacchi richiedono spesso settimane di pianificazione e, dopo aver conquistato un punto d’appoggio iniziale, i loro autori adattano manualmente i movimenti alle specificità dell’ambiente in cui si sono introdotti. Sono, per esempio, le tattiche impiegate nell’attacco ransomware che ha colpito JBS Foods, condotto da quello che l’FBI ha definito uno dei “gruppi di criminali informatici più specializzati e sofisticati del mondo”. Oltre alla diversificazione dell’attacco stesso, il modello di business del ran- somware si è ramificato in un modello di franchising. L’affiliante fornisce gli strumenti, i playbook e altre infrastrutture di attacco necessarie, mentre gli affiliati utilizzano questi servizi per eseguire gli attacchi, inviando una percen- tuale del riscatto all’affiliante. Il ransomware è diventato così un’industria a tutti gli effetti e non sorprende che le sofisticate varianti gestite manualmente dall’uomo siano state identificate da Microsoft come “una delle tendenze più impattanti negli attacchi informatici di oggi”. L’AI per rinforzare le difese Generalmente le varianti di commodity ransomware già note possono es- sere bloccate all’ingresso, se i team di sicurezza hanno accesso a indicatori tempestivi di compromissione. Anche i tipi più recenti di commodity ran- somware che riescono ad aggirare le misure preventive, sono in genere di portata piuttosto limitata e possono essere superati con un buon processo di back-up e recovery. Contenere le varianti di commodity ransomware in rapida evoluzione, invece, può essere più difficile, anche se in questi casi il modello ‘zero trust’ e altri controlli basati su policy sono un armamentario adeguato a contenere i focolai. Quando si tratta di attacchi ransomware più mirati e gestiti dall’uomo, il suc- cesso non si basa più su politiche prescrittive o configurazioni di sicurezza rigide incentrate sulla prevenzione. Anche se utili, un attaccante sufficientementemoti- vato finirà per superarle. In questo caso, l’attenzione deve spostarsi dal tentativo di prevenire l’inevitabile al rilevamento e alla risposta agli attacchi riusciti nel momento più precoce possibile: è qui che entra in gioco l’intelligenza artificiale. Le stime indicano che il tempo medio di permanenza in un attacco ran- somware è di 43 giorni, per cui l’AI dovrebbe svolgere un ruolo decisivo all’interno del team di sicurezza per aiutare a stanare la minaccia. Un team di analisti potrebbe infatti avere bisogno di giorni o addirittura settimane, ma l’AI è in grado di rilevare rapidamente, se non immediatamente, quando gli attaccanti si muovono nei sistemi, prima che venga avviata la diffusione del ransomware. Questo perché è in grado di contestualizzare e consolidare l’am- pia gamma di segnali e marcatori lasciati dagli attaccanti mentre si muovono attraverso i sistemi per raggiungere il loro obiettivo. L’AI è in grado di riunire tutte queste informazioni disparate in un quadro chiaro, consentendo ai team di sicurezza di rispondere in modo efficiente alle minacce più critiche. Conquistare il campo di battaglia del ransomware Il ransomware continua a essere una seria minaccia per le aziende manifat- turiere e, come dimostrano alcuni recenti incidenti di alto profilo, non sparirà tanto presto. I team di sicurezza delle aziende manifatturiere dovrebbero prendere nota di questi incidenti e considerarli come un esempio di ciò che può accadere se non si è pronti ad affrontare l’ampia varietà di minacce. Se la vostra azienda diventa l’obiettivo di un attacco gestito dall’uomo, non è realistico aspettarsi che gli analisti della sicurezza siano in grado di coprire da soli ogni aspetto. Poiché gli operatori di ransomware continuano a diversi- ficarsi, le aziende manifatturiere dovrebbero valutare la possibilità di aggiun- gere al proprio arsenale di soluzioni di sicurezza anche mezzi di rilevamento del ransomware basati sull’AI, in modo da ridurre significativamente i tempi di individuazione della minaccia. Vectra AI - www.vectra.ai Mentre ai team di analisti occorrono giorni o settimane, l’AI può rilevare rapidamente il ransomware prima che si diffonda Fonte: foto Shutterstock foto