La cybersecurity è probabilmente uno dei primi ambiti che ha abbracciato la metodologia cloud in modo efficace. Questo molto tempo prima che il cloud diventasse una buzzword e prima ancora che vi fosse la trasfigurazione del termine da tecnologia istanziata on-line, gestita da un soggetto terzo, verso un’aura intorno all’offerta di una manciata di grandi player.
Cloud e cybersecurity: un lungo sodalizio
Alcune delle prime applicazioni di cloud cybersecurity sono state la gestione dello spam, il controllo del malware (quando si diceva ancora semplicemente “virus”) e la protezione da attacchi online. Appena la banda passante è diventata sufficientemente veloce, è parsa una buona idea aggregare i messaggi di spam, i campioni di malware e le modalità di intrusione manifestate presso tutti gli utenti per incrociare gli eventi, individuare tendenze generali e offrire prevenzione costruita secondo una prospettiva ampia, invece che basata sulla visibilità a corto raggio del singolo utente. Il salto di scala comportò immediatamente un evidente vantaggio.
Cloud cybersecurity e apprendimento automatico
È interessante notare che il controllo dello spam accennato più in alto, basato sull’analisi bayesiana di tutta la posta elettronica per distinguere la posta regolare dalla posta “sospetta”, può essere considerata una delle prime forme di “apprendimento” automatico che le aziende hanno incontrato (seppure con una azione completamente dietro le quinte).
Si può quindi affermare che il cloud rientra nella tradizione della cybersecurity e che precursori lontani delle tecniche AI, oggi tanto in auge, erano impiegati in ambito cybersecurity già nei primi anni Duemila. L’AI ha evidentemente lavorato in qualità di operatore di scena per anni, per poi venire “scoperta” e trascinata nel palcoscenico come attrazione principale solo di recente.
Il cloud come amplificatore della cybersecurity
Uno dei cardini della cybersecurity è la conoscenza, ottenuta attraverso una rete di sensori collocati negli elementi che costituiscono l’ambiente di lavoro: endpoint, server, dispositivi di comunicazione ed elementi on-cloud.
Si deve poi integrare l’output dei sensori installati nella propria organizzazione per incrementare il potere visivo e infine impiegare il cloud, come amplificatore di consapevolezza situazionale.
Nel cloud del produttore della soluzione di sicurezza confluiscono infatti le “immagini” viste dagli occhi di milioni di sensori in tutto il mondo. L’apporto di tutti gli utilizzatori della soluzione permette di raccogliere una casistica immensa dove applicare gli algoritmi, tradizionali e/o basati su tecniche di intelligenza artificiale.
Si possono così “imparare” pattern mondiali sospetti e palesemente malevoli, da bloccare. Questa conoscenza cloud viene quindi riflessa nelle reti dei singoli utilizzatori, i quali otterranno un livello di protezione superiore a quanto sarebbe stato possibile senza l’integrazione e la comparazione con le casistiche globali.
Creare profili criminali
L’azione può essere ulteriormente migliorata attraverso la ricerca del modus operandi dei “bad actor”, ovvero dei gruppi hacker più noti, dentro il flusso di scansioni. Sono stati classificati a tale scopo vari attori malevoli rilevanti e costruiti i relativi profili.
Soluzioni avanzate di cloud cybersecurity possono quindi tentare di stabilire se vi è il comportamento di un bad actor nella propria rete e allertare l’IT manager e il CISO del potenziale rischio. In concomitanza si possono attivare in forma automatica dei “playbook” collaudati. Questo si esprime in una serie di azioni presso i singoli sensori sugli endpoint, presso gli apparati di comunicazione o sugli oggetti dell’estensione cloud della propria rete, riconfigurandoli, limitandoli o bloccandoli, in parte o totalmente.
In questo copione di azioni possono rientrare anche i gruppi di security in azienda, opportunamente formati per moltiplicare il potenziale di azione delle tecnologie e operare nel dominio umano, contattando gli utenti e i gruppi interessati, risalendo alle azioni svolte dalle persone nel tempo, allertando i responsabili aziendali, i quali attiveranno le procedure per gestire lo stato di crisi.
Questo modo di operare è conforme con le normative obbligatorie come GDPR e NIS2, ma anche con framework volontari come ISO 27001.
Anticipare i bad actor
Lo scenario descritto evidenzia l’importanza dei metodi di analisi, inclusa l’intelligenza artificiale, nel riconoscere i pattern di comportamento degli endpoint, dei server aziendali e del traffico di rete, attivando allarmi e azioni mirate per mitigare e risolvere tempestivamente le criticità.
Valutare il contesto di cybersecurity attuale
Il modello tecnologico indicato più in alto non può essere disgiunto da una analisi del contesto. Gli attacchi informatici non sono infatti più un atto dimostrativo del singolo hacker o l’azione distruttiva perpetrata con il solo scopo vandalico. Gli attori presenti oggi sono finanziati da governi, con potenziali scopi geopolitici oppure sono gruppi criminali organizzati con obbiettivi estortivi. L’azione di hacking non mira quindi al danno di una singola azienda o istituzione ma al furto di informazioni di valore o all’ottenimento di un riscatto.
Per massimizzare questo scopo vi è una fase di studio in cui il bad actor è nella rete e non compie alcuna azione. Si limita a una fase di osservazione e studio dell’ambiente.
Cloud cybersecurity e AI per allargare la profilazione criminale
Avere strumenti di analisi comportamentale basato su pattern ottenuti in modo distribuito, su scala planetaria, potrebbe fermare il bad actor prima dell’attivazione delle azioni di esfiltrazione di informazioni o prima che vengano messe in atto le condizioni per la richiesta di un riscatto.
È possibile impiegare strumenti di machine learning capaci di imparare la fisionomia del traffico di rete e dell’uso di endpoint e server in condizioni normali, in modo da individuare comportamenti, anche flebili, che possono ricondursi a esplorazioni conoscitive o a tentativi di penetrare nell’ambiente. Questo può essere abbinato ai tradizionali, ma sempre buoni, elenchi mantenuti on-cloud di indirizzi sorgenti malevoli e agli elenchi dei pattern ostili con una tendenza di crescita.
Questa tecnica di analisi risulta efficace in quanto i bad actor potrebbero a loro volta impiegare strumenti automatici per fare scansioni mondiali alla ricerca di possibili target. Una parte iniziale dell’attacco potrebbe quindi avere un modus operandi già individuato presso altri utilizzatori che adottano la soluzione di sicurezza, perciò catalogata e quindi distribuita via Internet a tutti gli utenti della soluzione.
Lo scopo è sempre generare allarmi, notificare gli IT manager e i CISO, iniziare azioni prima che una falla o un anello debole sia sfruttato con successo.
Uno spiraglio per la gestione degli zero-day
Le esplorazioni iniziali potrebbero impiegare un particolare “zero day”, ovvero una vulnerabilità non nota al produttore di una soluzione software o hardware specifica.
Cloud, AI e la forza del branco
È difficile avere protezione contro questo genere di attacchi, proprio perché non noti alla comunità internazionale. Una buona strategia è la protezione da branco. Se si utilizzano soluzioni di sicurezza on-cloud usate da un numero elevato di utenti e si ha la fortuna di non essere una delle prime vittime, è possibile beneficiare della cattiva sorte altrui e dalla conoscenza ottenuta da tali compromissioni ottenendo firme di protezione post-evento. Si può così mitigare il problema in attesa del rilascio di patch di sicurezza ufficiali.
I produttori stanno cercando di migliorare questa tipologia di soluzioni, nuovamente con analisi comportamentali e con tecniche AI per cercare di scorgere le correlazioni deboli che si hanno nelle prime fasi di sfruttamento di una falla zero-day. Si tratta tuttavia di una situazione di asimmetria, dove l’entità ostile ha molto più potere rispetto ai target.
L’approccio consigliato è l’impiego di sistemi XDR capaci di analizzare il comportamento degli endpoint e server per individuare comportamenti sospetti sui processi in esecuzione o scorgere movimenti laterali nei sistemi. La speranza è rallentare l’azione all’interno della rete, data per scontata la difficoltà a proteggersi se si è una delle prime vittime zero day.
Rovesciare la strategia di protezione: fare modelli
La strategia appena illustrata di analisi comportamentale dei processi nelle varie macchine in rete è molto interessante. Ci sono player di mercato che hanno esteso il concetto oltre la protezione in tempo reale. Il valore per questi produttori non è fermare un attacco nel momento in cui sta avvenendo, quando si è già in pericolo, ma usare il modello di protezione “in tempo di pace”.
L’obiettivo è installare sonde nei sistemi che non si limitano a raccogliere eventi ma che cercano di svolgere movimenti laterali e forzature verso gli altri membri della rete. Si generano in questo modo modelli di potenziali attacchi possibili nella configurazione corrente della rete.
Ottenuti questi modelli si possono applicare correzioni mirate alla infrastruttura e modificare il modello sicurezza per poi lanciare ulteriori campagne di modellizzazione, con lo scopo di migliorare la sicurezza per tentativi successivi. Ragionare come i “cattivi” per tenerli lontani.
Cloud e cybersecurity: nuovi anelli nella catena di sicurezza
L’impiego di analisi comportamentali, machine learning e tecniche matematiche di analisi basate su AI sono un potente strumento di protezione, soprattutto quando affiancati da repository cloud con la raccolta di pattern e di comportamenti di milioni di reti “vive”.
Questo però crea un nuovo anello nella catena della sicurezza, oggetto di interesse da parte dei bad actor: il modello AI.
Manipolare il decisore automatico
Si diventa cioè vulnerabili a una nuova dimensione di possibili attacchi come, per esempio, il poisoning dei data set usati per il training, la manipolazione degli input e l’alterazione degli output.
Le applicazioni AI sono impiegate per prendere decisioni e quindi l’adulterazione di questo elemento può diventare prezioso per dirottare le decisioni verso una direzione favorevole agli utenti malintenzionati.
Fortunatamente (in questo caso) non è semplice comprendere in tempo reale gli stati interni di un motore AI, perfino per chi ha creato il sistema. Sono più realistiche situazioni in cui si ottiene accesso alla rete attraverso campagne di hacking tradizionali per poi operare in maniera occulta e manipolare i dataset impiegati per il training.
È richiesto però un livello di competenza molto alto in quanto si deve ottenere un accesso ampio alla rete e avere conoscenze nell’ambito della modellizzazione e dello sviluppo AI.
Vi sono già stati casi eclatanti di campagne strutturare in cui si è ottenuto accesso a una rete per alterare il codice sorgente di un prodotto, entrato poi in capillare diffusione mondiale. In alcuni casi ci si è resi conto dell’evento dopo lungo tempo, perfino anni. Lo scenario non è quindi ipotetico.
Si potrebbe anche ipotizzare di non intaccare il sistema AI centrale ma piuttosto la sua catena, alterando il codice che interroga l’AI per riscriverne l’output generato a proprio vantaggio.
Inondare la nuvola
I problemi potenziali di sicurezza si estendono anche all’ambito cloud. Escludendo il rischio sempre incombente di intrusione nell’ambiente, gestibile attraverso una politica aziendale di sicurezza, processi di sicurezza e strumenti tecnologici, resta un perenne rischio di messa fuori servizio dell’ambiente cloud attraverso un attacco DoS distribuito. Si tratta di un attacco che richiede basse competenze tecniche in quanto le botnet possono essere oggi acquisite in modalità “as a service” dai gruppi criminali. Colpire un target ben definito diviene quindi un fatto di pura opportunità economica.
Questo metodo può rendere non accessibile un servizio on-line per tempi prolungati, a meno di non avere un contratto con il fornitore cloud per la gestione in emergenza dell’immenso flusso di traffico e per riattestare i servizi presso altre direttrici online. Naturalmente questo livello di servizio è accessibile previa sottoscrizione di servizi o accordi di tipo enterprise.
Colpire l’asset più prezioso: il cashflow
Non si deve poi sottovalutare la banda “bruciata” durante l’attacco DoS e i costi che potrebbero essere fatturati dall’operatore cloud. Un flusso consistente protratto per ore ha un impatto economico significativo.
Inaccessibilità delle risorse, disservizi agli utenti, costi non previsti, perdita di confidenzialità delle informazioni e potenziale perdita di reputazione on-line sono un problema complesso da gestire. È bene quindi impiegare tutte le soluzioni di prevenzione messe a disposizione dagli operatori del settore e approfittare dell’efficacia data dal cloud e dalla consapevolezza allargata offerta dalle tecniche AI.
