Fortinet nelle sue soluzioni di cybersecurity fa già uso della tecnologia del machine learning e di automazione per il rilevamento delle minacce.

L’azienda ha di recente pubblicato sul proprio blog un resoconto delle previsioni del team FortiGuard Labs sul panorama delle minacce cibernetiche per il 2019 e oltre.

Tali previsioni rivelano i metodi e le tecniche che i ricercatori di Fortinet prevedono che i cybercriminali impiegheranno nel prossimo futuro. Oltre a importanti cambiamenti della strategia, che aiuteranno le organizzazioni a difendersi da questi attacchi di cui si prevede l’arrivo.

Un cambio di strategia

Per molte organizzazioni criminali, le tecniche degli attacchi sono valutate non solo in termini di efficacia, ma anche dell’overhead necessario per svilupparle, modificarle e implementarle. Di conseguenza, molte delle loro strategie di attacco possono essere contrastate affrontando il modello economico impiegato dai criminali informatici. Modifiche strategiche a persone, processi e tecnologie possono costringere alcune organizzazioni criminali a ripensare il valore finanziario dell’attaccare determinate organizzazioni.

Un modo per farlo è l’adozione di nuove tecnologie e strategie come il machine learning e l’automazione a cui affidare attività time-consuming. Attività che normalmente richiedono un alto livello di supervisione e intervento umano.

Queste nuove strategie difensive avranno probabilmente un impatto sulle strategie dei criminali informatici. Inducendo questi ultimi a spostare i metodi di attacco e ad accelerare gli sforzi di sviluppo. Nel tentativo di adattarsi al maggiore utilizzo di machine learning e automazione, Fortinet prevede che la comunità di cybercriminali probabilmente adotterà strategie rinnovate. Strategie che l’industria della cybersecurity nel suo complesso dovrà seguire da vicino.

Le strategie dei cybercriminali previste da Fortinet

L’Artificial Intelligence Fuzzing (AIF) è una tecnica sofisticata utilizzata dai ricercatori specializzati in cyber-minacce per scoprire vulnerabilità nelle interfacce e nelle applicazioni hardware e software. Consiste nell’iniettare dati non validi, inaspettati o semi-casuali in un’interfaccia o in un programma. E poi monitorare eventi quali crash, leak di memoria e altro. Storicamente, questa tecnica è rimasta circoscritta a un numero limitato di ingegneri altamente qualificati che lavorano in laboratorio.

Tuttavia, siccome a questo processo sono applicati modelli di machine learning, Fortinet prevede che tale tecnica non solo diventerà più efficiente e affinata. Ma sarà anche disponibile per una gamma più ampia di utilizzatori, meno specializzati. Man mano che i cyber-criminali iniziano a sfruttare il machine learning per sviluppare programmi di fuzzing automatizzati, diventano in grado di accelerare il processo di scoperta delle vulnerabilità zero-day. Ciò porterà a un aumento degli attacchi zero-day rivolti a differenti programmi e piattaforme.

Tutto ciò accelererà in modo significativo la velocità del mining di exploit zero-day. E richiederà dei cambiamenti nel modo in cui le organizzazioni dovranno avvicinarsi alla sicurezza. Inoltre, il “costo” degli exploit zero-day finora è stato piuttosto alto. Ma, dietro la spinta delle tecnologie di intelligenza artificiale, tali exploit passeranno dall’essere estremamente rari a diventare una commodity.

Swarm-as-a-Service e machine learning

I progressi negli attacchi basati sulla tecnologia di swarm intelligence ci stanno avvicinando, secondo Fortinet, a una realtà di botnet basate sullo “sciame”, chiamate hivenet. Questa nuova generazione di minacce verrà utilizzata per creare ampi sciami di bot intelligenti che possono operare in modo collaborativo e autonomo.

Queste reti swarm non solo alzeranno il livello delle tecnologie necessarie per difendere le organizzazioni. Ma oltretutto, come il mining zero-day, avranno anche un impatto sul modello di business cybercriminale sottostante.

FortinetAttualmente, l’ecosistema cyber-criminale è molto ”people-driven”. Alcuni hacker professionisti costruiscono exploit personalizzati a pagamento. Ma con la realizzazione di Swarms-as-a-Service autonomi e self-learning, l’interazione diretta tra hacker e imprenditori ”black hat” diminuirà drasticamente. La combinazione tra swarm e tecnologie di autoapprendimento rende l’acquisto di un cyber-attacco, per i criminali informatici, semplice come scegliere da un menu a-la-carte.

Il machine learning è uno degli strumenti più promettenti nel kit di sicurezza difensiva. I dispositivi e i sistemi di sicurezza possono essere addestrati per eseguire autonomamente compiti specifici. Quali, ad esempio, l’applicazione di analisi comportamentali per identificare minacce sofisticate o il tracciamento e la patch di dispositivi. Sfortunatamente però, questo processo può essere sfruttato anche dai cyber-criminali.

Con il machine learning, i criminali informatici saranno in grado di addestrare dispositivi o sistemi per non applicare patch o aggiornamenti a un particolare device. Oppure per ignorare specifici tipi di applicazioni o comportamenti o per non registrare del traffico specifico per eludere il rilevamento. Ciò avrà un importante impatto evolutivo sul futuro del machine learning e della tecnologia di intelligenza artificiale.

Per Fortinet, la difesa deve diventare più sofisticata

Per contrastare questi sviluppi, sottolinea ancora Fortinet, le organizzazioni dovranno continuare ad alzare il livello della difesa contro i criminali informatici. Opportune strategie difensive avranno un impatto sulle organizzazioni criminali informatiche, costringendole a cambiare tattica, modificare gli attacchi e sviluppare nuovi modi. Il costo per lanciare gli attacchi pertanto aumenterà, richiedendo agli sviluppatori criminali di spendere più risorse per lo stesso risultato o trovare una rete più accessibile da sfruttare.

L’integrazione delle tecniche di deception nelle strategie di sicurezza, basate su false informazioni, costringerà gli attaccanti a convalidare continuamente la loro threat intelligence. E quindi a impiegare tempo e risorse per rilevare falsi positivi e assicurare che le risorse di rete che possono vedere siano effettivamente legittime. E poiché qualsiasi attacco a false risorse di rete può essere immediatamente rilevato, innescando automaticamente contromisure, gli aggressori dovranno essere estremamente cauti nell’eseguire anche tattiche di base come sondare il network.

Uno dei modi più semplici per un criminale informatico di massimizzare gli investimenti in un attacco esistente ed eludere il rilevamento è semplicemente apportare un piccolo cambiamento, anche qualcosa così basilare come cambiare un indirizzo IP. Un modo efficace per tenere il passo con tali cambiamenti è la condivisione attiva delle informazioni sulle minacce. Una strategia, dunque, di threat intelligence condivisa.

Collaborare per la difesa dai cyber-threat

Una threat intelligence continuamente aggiornata consente ai vendor di sicurezza e ai loro clienti di rimanere al passo con il più recente panorama di minacce. Gli sforzi di Open collaboration tra le organizzazioni di ricerca sui cyber-threat, le alleanze industriali, i produttori di sicurezza e le forze dell’ordine ridurranno significativamente il tempo per rilevare nuove minacce. Ciò, esponendo e condividendo le tattiche utilizzate dagli aggressori.

Anziché essere solo reattivi, tuttavia, applicare behavioral analytics ai feed di dati in tempo reale, attraverso una collaborazione aperta, consentirà ai difensori di prevedere il comportamento del malware. Aggirando così il modello attuale utilizzato dai cyber-criminali di sfruttare ripetutamente il malware esistente apportando piccole modifiche.

Secondo Fortinet, non c’è futuro per una strategia difensiva che includa l’automazione o l’apprendimento automatico, senza un mezzo per raccogliere, processare e agire sulle informazioni sulle minacce in modo integrato, per produrre una risposta intelligente. Per far fronte alla crescente sofisticatezza delle minacce, le organizzazioni devono integrare tutti gli elementi di sicurezza in un ”tessuto di sicurezza” per trovare e rispondere alle minacce velocemente e in scala.

Una threat intelligence avanzata, correlata e condivisa tra tutti gli elementi di sicurezza, deve essere automatizzata per ridurre le finestre di rilevamento e fornire soluzioni rapide.

L’integrazione di point product implementati nella rete distribuita, combinata con una segmentazione strategica, contribuirà in modo significativo a combattere la natura sempre più intelligente e automatizzata degli attacchi.

Maggiori informazioni sul tema sono disponibili sul blog di Fortinet.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome