L’intelligenza artificiale nell’ecosistema degli zero-day e le nuove frontiere di attacco e di difesa dei nostri sistemi.

L’intelligenza artificiale sta acquisendo nel campo della cybersecurity un’importanza via via crescente. Ciò copre anche il tema della scoperta e dello sfruttamento delle vulnerabilità zero-day. Gli 0day sono falle di sicurezza non note che criminali informatici e attori malevoli sfruttano e fanno sfruttare prima che sia intrapresa un’opera di disclosure, ovvero prima che quelle vulnerabilità siano rilevate, portate alla luce e fatte correggere dagli sviluppatori.

L’utilizzo dell’IA per sfruttare vulnerabilità zero-day solleva un ampio e variegato ventaglio di preoccupazioni per la sicurezza informatica e la privacy degli utenti. I timori maggiori sono strettamente legati ai seguenti aspetti:

  1. L’aumento dell’efficacia degli attacchi valutata in combinato con l’espansione delle superfici d’attacco che la tecnologia attuale regala agli utenti. L’IA può essere utilizzata per mettere a punto e sferrare attacchi più sofisticati e mirati, incrementando la probabilità di successo nella violazione di sistemi e reti.
  2. L’automazione degli attacchi. L’IA consente di automatizzare il processo di ricerca, identificazione di e sfruttamento delle vulnerabilità, permettendo agli aggressori di colpire in maniera assai vantaggiosa su larga scala, senza richiedere un intervento umano costante.
  3. La difficoltà d’individuazione tempestiva delle azioni di cyberattacco. L’IA può essere adottata per sviluppare malware o strumenti offensivi capaci di sfuggire alla rilevazione da parte delle soluzioni di sicurezza informatica tradizionale, rendendo così più arduo addivenire alla loro rapida identificazione, comprensione e neutralizzazione.

Un esempio concreto in tal senso è quello rappresentato dall’applicazione dell’intelligenza artificiale per sviluppare exploit 0day mirati ai dispositivi “intelligenti” connessi all’Internet delle cose (IoT), anche in campo industriale (IIoT).

L’uso dell’intelligenza artificiale negli attacchi informatici contro i dispositivi IoT e IIoT sta aumentando in maniera esponenziale. Gli aggressori infatti se ne servono per identificare le vulnerabilità dei dispositivi di quelle reti, prevedere il comportamento degli utenti e condurre attacchi specifici e automatizzati. L’intelligenza artificiale può essere utilizzata anche per generare ceppi di malware sofisticati, difficili da riconoscere e che possono essere rapidamente veicolati e diffusi attraverso le reti IoT. Sfruttando l’apprendimento automatico, gli attaccanti possono creare falsificare dati di autenticaizone e aggirare così le misure di sicurezza dei dispositivi IoT. Inoltre, i bot alimentati dall’IA possono sferrare attacchi brute-force sulle password, determinando potenziali violazioni ed esfiltrazioni (ulteriori) di dati.

Se è vero quanto illustrato poc’anzi, altrettanto lo è il fatto che gli strumenti d’intelligenza artificiale possono al contempo essere impiegati in maniera fruttuosa per potenziare e migliorare il processo di scoperta degli 0day, anche a fini preventivi e di difesa. Alcuni dei modi per utilizzare proficuamente l’intelligenza artificiale su questo fronte possono essere:

  1. L’analisi automatica del codice. L’IA può essere addestrata per esaminare il codice sorgente o il bytecode dei programmi, al fine di riconoscere pattern o anomalie che potrebbero suggerire la presenza di vulnerabilità. Questo processo può essere automatizzato per accelerare l’individuazione delle vulnerabilità e ridurre la dipendenza dalle analisi manuali. Si risparmierebbe in termini di tempo e di costi e si guadagnerebbe sulla tempestività della messa a punto delle relative correzioni e patch.
  2. L’apprendimento automatico dalle vulnerabilità note. Utilizzando algoritmi di apprendimento automatico, l’IA può essere istruita su un dataset di vulnerabilità note abbastanza esteso da consentirle addivenire all’identificazione di pattern e segnali comuni che possano indicare la presenza di una nuova vulnerabilità. Questo tipo di metodo consentirebbe cioè d’identificare rapidamente e in maniera automatizzata nuovi tipi di vulnerabilità sulla base di somiglianze con falle già conosciute.
  3. L’analisi del comportamento: l’IA può essere utilizzata per tener monitorato il comportamento dei sistemi e delle applicazioni al fine di individuare, tramite la loro analisi, tutte quelle attività sospette o anomale che possano essere ricondotte a vulnerabilità zero-day. L’IA può imparare dai modelli predittivi di comportamento tipico, usuale e rilevare tutte quelle deviazioni che sono tanto significative da sottintendere la possibilità di un attacco o la presenza di una vulnerabilità sfruttabile.
  4. L’intelligenza artificiale può essere messa in campo anche semplicemente per implementare le misure di sicurezza informatica tradizionali, come i firewall e i software antivirus. Ad esempio, i firewall basati sull’ intelligenza artificiale possono analizzare il traffico di rete in tempo reale e bloccare qualsiasi attività sospetta prima che raggiunga e colpisca in vario modo la rete aziendale.
  5. L’integrazione di informazioni di threat intelligence è un altra ottima misura che può essere sposata, soprattutto dalle organizzazioni economiche. In questo caso si tratta di utilizzare l’IA per analizzare e correlare informazioni provenienti da fonti di threat intelligence esterne, come database di vulnerabilità o segnalazioni di attacchi, al fine d’ identificare e mitigare le minacce zero-day. Questo approccio costituisce un valido strumento per mantenere aggiornata la difesa dell’organizzazione rispetto alle nuove minacce emergenti.
  6. L’automazione della risposta agli attacchi. L’IA può essere adoperata per automatizzare anche la risposta agli attacchi zero-day, consentendo una mitigazione tempestiva e precisa delle minacce. Ciò include l’isolamento dei sistemi compromessi, la distribuzione di patch di emergenza e l’implementazione di contromisure a livello di rete per bloccare gli attacchi.

È tuttavia importante sottolineare che l’utilizzo dell’Intelligenza Artificiale nella difesa contro gli attacchi zero-day richiede una vigilanza e un aggiornamento continui. Le minacce evolvono a ritmo incessante. Per tale ragioni le organizzazioni devono essere proattive nell’ implementare misure di sicurezza avanzate, modulabili e adattabili, in grado di far fronte alle nuove sfide tecnologiche segnate dall’ingresso a gamba tesa dll’IA nella nostra quotidianità e in misura preponderante. Inoltre, è essenziale mantenere una combinazione di strumenti di sicurezza, processi e competenze umane qualificate e costantemente aggiornate per garantire una difesa effettiva contro gli attacchi basati sull’IA e le minacce zero-day. L’IA è uno strumento sì potente , ma l’analisi e la comprensione umana sono e resteranno fondamentali per prendere le decisioni giuste e adattare le strategie di difesa in modo consapevole, mirato ed efficace.

Leave a Reply