Nel suo report annuale sulle minacce informatiche Darktrace rivela come nel 2018 i cyber attacchi siano stati ancora più rapidi e alimentati dalla tecnologia e siano oggi in grado di criptare o compromettere i dispositivi nel giro di pochi secondi, rendendo ulteriormente arduo per i team di sicurezza, che utilizzano esclusivamente degli strumenti tradizionali, contrastarli alla velocità necessaria.

Il report dimostra attraverso esempi concreti di attacchi individuati e bloccati da Darktrace, come l’IA sia diventata oggi un alleato fondamentale contro gli aggressori, e come, supportata dalla tecnologia di risposta autonoma, sia in grado di fermare le minacce in tempo reale e più efficacemente di qualunque essere umano.

La velocità con cui l’intelligenza artificiale può rispondere a una minaccia emergente si è rivelata, infatti, un punto di svolta cruciale, poiché ha consentito ai team di sicurezza di guadagnare tempo prezioso durante un attacco, il cui impatto distruttivo cresce esponenzialmente col passare del tempo. Stiamo entrando in un’era in cui la tecnologia combatte contro la tecnologia e in cui la risposta autonoma sarà fondamentale per evitare che un attacco si diffonda rapidamente degenerando in una crisi che finisca sulle prime pagine dei giornali.

Anche le minacce latenti, nascoste nell’azienda, rappresentano oggi ancora una sfida importante e difficile da individuare. In particolare, le figure interne all’organizzazione, soprattutto chi possiede un accesso privilegiato, possono causare danni ingenti: da un amministratore dei sistemi pronto a sfruttare l’infrastruttura aziendale per minare cripto valute, al dipendente che, inconsapevolmente, scarica un malware da un’email di phishing.

Tra i casi più interessanti riscontrati da Darktrace quest’anno segnaliamo una grande aziende farmaceutica europea, in cui un assistente amministrativo ha scaricato ingenuamente un allegato a una mail di pagamento, a prima vista valutata attendibile, che conteneva in realtà un malware in grado di superare ogni difesa di sicurezza. Questo malware sofisticato aveva l’obiettivo di infiltrarsi nella proprietà intellettuale dell’impresa, che comprendeva formule mediche altamente riservate.

Se questo patrimonio fosse stato compromesso, l’azienda avrebbe corso un grosso rischio dal punto di vista reputazionale e di concorrenza sul mercato. Una volta scaricato, il malware ha iniziato a connettersi a destinazioni esterne insolite e a muoversi lateralmente verso le altre aree della rete aziendale. L’IA di Darktrace è stata in grado di identificare la presenza estranea nelle prime fasi dell’attacco, impedendone la diffusione, senza interrompere in nessun modo le attività del business.

Dall’Iot all’IIoT; quanto a rischio è tutta la produzione

La rapida crescita dell’Internet of Things Industriale sta aumentando drasticamente sia la complessità delle reti OT sia la sfida di metterle al sicuro. Inoltre, sebbene abbia migliorato l’efficienza aziendale, la convergenza delle reti IT e OT amplia notevolmente l’area di attacco a disposizione degli utenti malintenzionati.

intelligenza artificiale

Uno dei casi segnalati dal Threat Report di Darktrace quest’anno è un aggressore sconosciuto che ha attaccato una serie di dispositivi IoT industriali sulla catena di montaggio di un produttore alimentare – tra cui frullatori, affettatrici, ecc. – nel tentativo di infiltrarsi nell’infrastruttura IT aziendale.

Questi apparecchi non avevano i permessi per connettersi all’infrastruttura centrale, pertanto l’IA di Darktrace è subito entrata in allerta e ha individuato in tempo reale il comportamento anomalo, evidenziando l’attività come rischio per l’integrità sia della rete aziendale che della catena di montaggio.

Con l’IA l’intera rete è stata visualizzata e protetta, inclusi i dispositivi IoT Industriali e gli ICS. Inoltre, accertando che le connessioni in uscita avevano superato il perimetro delle difese, il team di sicurezza ha potuto rendersi conto di ulteriori problemi nei firewall aziendali e porvi rimedio.

Mentre le reti industriali diventano sempre più interconnesse, l’IA di Darktrace ha l’abilità unica di identificare le minacce e le vulnerabilità latenti in entrambi gli ambienti IT e OT, evitando che vengano causati danni a qualsiasi infrastruttura critica. E questo riguarda sia le minacce note che le nuove minacce emergenti, poiché l’intelligenza artificiale non si basa su ipotesi precedenti di minacce conosciute ma è in grado di identificare qualsiasi scostamento dal comportamento “normale” di un utente o dispositivo e bloccare anche tipologie di attacco mai viste prima, contenendole prima che abbiano superato il perimetro e si siano insinuate nei sistemi di un’azienda.

E intanto i nuovi malware prosperano

Malware sempre più sofisticati si stanno diffondendo, rendendo le soluzioni basate sulla firma e le blacklist superate. I nuovi attacchi ‘unknown unknowns’ sono difficili da individuare. Un esempio è il malware precedentemente sconosciuto che ha infettato l’infrastruttura di un istituto bancario multinazionale tramite un allegato di posta elettronica dannoso. Il malware, noto come Squirtdanger, era stato identificato dall’intelligence open source pochi giorni prima, ma doveva ancora essere creata una regola o una firma per rilevare la minaccia.

Squirtdanger presenta una serie di funzionalità, tra cui la possibilità di fare screenshot, modificare i processi di sistema, scaricare i file e le informazioni della directory e rubare password sul browser. Una volta infettato, il dispositivo ha iniziato quindi a comunicare con l’infrastruttura online di Squirtdanger, scaricando pagamenti, installando un programma automatico impostato per essere eseguito a intervalli regolari e mantenere il contatto con server dannosi.

Contemporaneamente, sono stati osservati eventi interni anomali multipli, tra cui grandi volumi di login errati e un nuovo utilizzo delle credenziali amministrative. Il malware ha tentato anche di diffondersi agli altri dispositivi sulla rete, forzando gli accessi e tentando di sfruttare password e accessi privilegiati degli account degli utenti. Con l’abilità unica di rilevare il nuovo malware nelle primissime fasi dell’attacco, l’IA di Darktrace è riuscita a difendere in questo caso i dati personali bancari degli utenti. Stiamo entrando in una nuova era di cyber guerra e adottando l’IA di Darktrace le organizzazioni stanno per la prima volta riacquistando un vantaggio sugli avversari, riuscendo anche a batterli.