Fortinet, machine learning e AI Fuzzing devono far evolvere le strategie difensive

Security managementSicurezzaVirus

Attaccanti e difensori… Quando si parla di cybersecurity bisogna tenere sempre conto che le armi a disposizioni dei secondi lo sono anche a disposizione dei primi. L’analisi di Fortinet sui trend sicurezza nell’era del fuzzing e dello Swarm-as-a-Service

Il ‘Fuzzing’ è una sofisticata tecnica utilizzata in laboratorio da ricercatori specializzati sulle minacce e serve per scoprire vulnerabilità in interfacce e applicazioni hardware e software, iniettando dati non validi, inaspettati o semi-casuali, in un’interfaccia o un programma, e monitorando eventi come crash, buchi non documentati alle routine di debug, codici di errore e potenziali perdite di memoria.

Questa tecnica così come è conosciuta da chi protegge le informazioni, così ovviamente è conosciuta oggi anche da chi scrive malware. E così come fino ad oggi è stata limitata a una manciata di ingegneri altamente qualificati che lavorano in ambienti di laboratorio, la diffusione dei modelli di machine learning ha consentito al fuzzing di diventare più efficiente ma anche disponibile a una più ampia categoria di individui meno tecnici.

Così man mano che i criminali informatici iniziano a sfruttare il machine learning per sviluppare programmi di fuzzing automatizzati, essi stessi sono stati in grado di accelerare il processo di scoperta delle vulnerabilità zero-day, che hanno portato e porteranno a un aumento degli attacchi zero-day rivolti a diversi programmi e piattaforme.

Insomma, le strategie difensive hanno sempre un impatto sulle strategie dei criminali informatici, inducendoli a spostare i propri metodi di attacco e ad accelerare gli sforzi di sviluppo.

Così nel tentativo di adattarsi al maggior utilizzo di machine learning e automazione, si prevede che la comunità dei criminali informatici adotterà probabilmente a sua volta le strategie che l’industria della sicurezza informatica nel suo complesso è chiamata a monitorare.

Fortinet spiega ancora meglio, come una volta assimilate e sfruttate le tecnologie AIF (Artificial Intelligence Fuzzing) si possano indirizzare a un codice all’interno di un ambiente controllato per estrarre gli exploit zero-day.

Ciò accelererà in modo significativo la velocità con cui vengono sviluppati gli exploit zero-day. Una volta avviato questo processo, verrà abilitata l’estrazione zero-day as-a-service, creando attacchi personalizzati per obiettivi individuali.

Per questo deve cambiare il modo in cui le organizzazioni approcciano la sicurezza poiché non ci sarà modo di prevedere dove appariranno questi zero-day, né come difendersi adeguatamente.

Ciò sarà particolarmente difficile laddove si utilizzano strumenti di sicurezza isolati o di legacy che molte organizzazioni oggi hanno implementato nelle proprie reti. Lo scenario prevede inoltre che questa disponibilità di risorse porterà ad un abbassamento dei costi degli exploit zero-day, quasi a livello di commodity.

Non finisce qui, l’intelligence sulle minacce ha evidenziato i progressi significativi degli attacchi Swarm Based, offerti come servizio. Questa generazione emergente di minacce verrà utilizzata per creare grandi “sciami” di bot intelligenti in grado di operare in modo collaborativo e autonomo.

Queste reti swarm non solo alzeranno gli standard in termini di tecnologie necessarie per difendere le organizzazioni, ma come il mining zero-day, avranno inoltre un impatto sul modello di business cybercriminale sottostante. In definitiva, con l’evolversi delle tecnologie di exploit e delle metodologie di attacco, il loro impatto più significativo sarà sui modelli di business impiegati dalla comunità dei criminali informatici.

La particolarità in questo caso è data anche dal modello di relazione tra cliente cliente hacker e un imprenditore black hat destinato a semplificarsi ulteriormente. Questo per una serie di fattori, li spieghiamo.

Fortinet - Trend in Cybersecurity
Fortinet – Trend in Cybersecurity

La capacità di suddividere e differenziare uno swarm in compiti diversi per ottenere un risultato desiderato è molto simile al modo in cui il mondo si è mosso verso la virtualizzazione. In una rete virtualizzata, le risorse possono accelerare o rallentare le VM basandosi interamente sulla necessità di affrontare problemi particolari come la larghezza di banda.

Allo stesso modo, le risorse in una rete swarm potrebbero essere allocate o riallocate per affrontare le sfide specifiche incontrate in una catena di attacco.

Uno swarm che gli imprenditori criminali hanno già pre-programmato con una gamma di strumenti di analisi ed exploit, combinato con i protocolli di autoapprendimento che consentono loro di lavorare come gruppo per perfezionare i loro protocolli di attacco, rende l’acquisto di un attacco per i criminali informatici semplice come scegliere da un menu alla carta.

Agevola i compiti anche il machine learning ‘velenoso’: i dispositivi e i sistemi di sicurezza possono essere addestrati per eseguire autonomamente compiti specifici, come i comportamenti di base, l’applicazione di analisi comportamentali per identificare minacce sofisticate o dispositivi di tracciamento e patching.

Sfortunatamente, questo processo può essere sfruttato anche dai cyber-avversari. Prendendo di mira il processo di apprendimento automatico, i criminali informatici saranno in grado di addestrare dispositivi o sistemi per non applicare patch o aggiornamenti a un particolare dispositivo, ignorare specifici tipi di applicazioni o comportamenti o non registrare traffico specifico per eludere il rilevamento. Ciò avrà un importante impatto evolutivo sul futuro del machine learning e della tecnologia AI.

Parola d’ordine: rendere sofisticate le difese

L’integrazione delle tecniche di inganno nelle strategie di sicurezza per introdurre variazioni di rete basate su false informazioni costringerà gli aggressori a convalidare continuamente la loro intelligence delle minacce, impiegare tempo e risorse per rilevare falsi positivi e garantire che le risorse di rete che possono vedere siano effettivamente autentiche.

E poiché qualsiasi attacco a false risorse di rete può essere immediatamente rilevato, innescando automaticamente contromisure, gli aggressori dovranno essere estremamente cauti nell’eseguire anche tattiche di base come sondare la rete.

Un modello di collaborazione aperto

Un modo efficace per tenere il passo con le sofisticazioni del cybecrime è la condivisione attiva delle informazioni sulle minacce. La threat intelligence continuamente aggiornata consente ai vendor di sicurezza e ai loro clienti di rimanere al passo con il più recente panorama di minacce.

Gli sforzi di open collaboration tra le organizzazioni di ricerca sulle minacce, le alleanze di settore, i vendor di sicurezza e le forze dell’ordine ridurranno significativamente il tempo per rilevare nuove minacce esponendo e condividendo le tattiche utilizzate dai criminali.

Invece di essere solo reattivi, tuttavia, l’applicazione dell’analisi comportamentale a feed di dati in tempo reale attraverso una open collaboration consentirà ai difensori di prevedere il comportamento del malware, aggirando così il modello attuale utilizzato dai criminali informatici per sfruttare ripetutamente il malware esistente apportando piccole modifiche.

Il fattore velocità

Non esiste una strategia di difesa futura che includa l’automazione o il machine learning senza un mezzo per raccogliere, elaborare e agire sulle informazioni sulle minacce in modo integrato per produrre una risposta intelligente. Per far fronte alla crescente sofisticazione delle minacce, le organizzazioni devono integrare tutti gli elementi di sicurezza in un tessuto di sicurezza per trovare e rispondere alle minacce in maniera rapida e su scala.

L’intelligence avanzata sulle minacce correlata e condivisa tra tutti gli elementi di sicurezza deve essere automatizzata per ridurre le finestre di rilevamento necessarie e fornire una soluzione rapida. L’integrazione dei singoli prodotti attraverso la rete distribuita, combinata alla segmentazione strategica, contribuirà in modo significativo a combattere la natura sempre più intelligente e automatizzata degli attacchi.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore