Massimiliano Galvagna, Country Manager Italia di Vectra AI, spiega perché l’Intelligenza Artificiale dovrebbe svolgere un ruolo decisivo per aiutare le aziende a stanare le minacce informatiche, rilevando rapidamente i movimenti degli attaccanti all’interno dei sistemi prima della diffusione del ransomware
La minaccia di attacchi ransomware per le aziende manifatturiere non è una novità. La diffusione di nuovi dispositivi e dati, portata dall’avvento del modello Industry 4.0, ha infatti determinato un allargamento della superficie di attacco. Di fatto, il settore manifatturiero è stato il più bersagliato dai ransomware nel 2021. L’anno scorso anche colossi come il produttore tedesco Knauf e le case automobilistiche Toyota e Ferrari sono stati vittima di attacchi ransomware.
Quando si tratta di difendersi da questo genere di attacchi, uno dei problemi principali che devono affrontare le aziende è legato al fatto che negli ultimi anni il ransomware si è evoluto e diversificato. Gli aggressori sono passati da tattiche elementari e completamente automatizzate, abbastanza semplici da prevenire, a tattiche più mirate e sofisticate. Allo stesso tempo, la maggior parte dei security team aziendali utilizza le stesse vecchie tattiche per cercare di prevenire attacchi ransomware, adottando un approccio ormai superato.
È giunto il momento per i produttori di evolversi, il che significa guardare oltre un approccio preventivo che cerca di impedire al ransomware di fare breccia nel perimetro aziendale, e concentrarsi invece sulla necessità di dotarsi di strumenti in grado di rilevare e fermare un attacco sul nascere. Una cosa è certa: nel sempre più vasto panorama IT di oggi, l’Intelligenza artificiale (AI) giocherà un ruolo decisivo nel contrasto contro il ransomware.
Una minaccia che si diversifica
Le prime forme di ransomware funzionavano con il pilota automatico e seguivano un semplice modello commerciale: infettare il maggior numero possibile di computer, perché almeno una parte delle vittime avrebbe sicuramente pagato per recuperare i propri file. Questo cosiddetto “commodity ransomware” si è presto evoluto fino a dare la caccia e crittografare intere unità di rete, con l’intenzione di aumentare le possibilità di bloccare qualcosa di cui la vittima non può fare a meno. Durante questa evoluzione iniziale gli aggressori hanno iniziato anche a prendere di mira organizzazioni come le aziende manifatturiere, piuttosto che le singole persone, perché considerate più propense a pagare riscatti elevati per recuperare file critici.
Da qui, il “commodity ransomware” è stato combinato con i worm, in modo da poter atterrare su un singolo sistema e poi infettare rapidamente anche i sistemi vicini. Si è trattato di un importante passo avanti per gli attaccanti: bastava che una sola vittima cadesse nell’e-mail di phishing perché si diffondessero rapidamente in migliaia di altri computer. Nonostante sia in circolazione da molti anni, questo tipo di ransomware rimane una minaccia reale. Ne è un esempio l’attacco WannaCry del 2017, che ha bloccato centinaia di migliaia di computer, mentre ancora nel febbraio dello scorso anno il commodity ransomware ha bloccato per due giorni un impianto di gas naturale statunitense.
Gli attaccanti hanno continuato a intensificare il proprio gioco e a diversificarsi, sostituendo le tattiche automatizzate con metodi più sofisticati e mirati. Questi attacchi richiedono spesso settimane di pianificazione e, dopo aver conquistato un punto d’appoggio iniziale, i loro autori adattano manualmente i movimenti alle specificità dell’ambiente in cui si sono introdotti. Sono, ad esempio, le tattiche impiegate nell’attacco ransomware che ha colpito JBS Foods, condotto da quello che l’FBI ha definito uno dei “gruppi di criminali informatici più specializzati e sofisticati del mondo”.
Oltre alla diversificazione dell’attacco stesso, il modello di business del ransomware si è ramificato in un modello di franchising. L’affiliante fornisce gli strumenti, i playbook e altre infrastrutture di attacco necessarie, mentre gli affiliati utilizzano questi servizi per eseguire gli attacchi, inviando una percentuale del riscatto all’affiliante. Il ransomware è diventato così un’industria a tutti gli effetti e non sorprende che le sofisticate varianti gestite manualmente dall’uomo siano state identificate da Microsoft come “una delle tendenze più impattanti negli attacchi informatici di oggi”.
L’Intelligenza Artificiale per rinforzare le difese
Generalmente le varianti di commodity ransomware già note possono essere bloccate all’ingresso, se i team di sicurezza hanno accesso a indicatori tempestivi di compromissione. Anche i tipi più recenti di commodity ransomware che riescono ad aggirare le misure preventive sono in genere di portata piuttosto limitata e possono essere superati con un buon processo di backup e recovery. Contenere le varianti di commodity ransomware in rapida evoluzione può essere più difficile, anche se in questi casi il modello Zero Trust e altri controlli basati su policy sono un armamentario adeguato a contenere i focolai.
Quando si tratta di attacchi ransomware più mirati e gestiti dall’uomo, il successo non si basa più su politiche prescrittive o configurazioni di sicurezza rigide incentrate sulla prevenzione. Anche se utili, un attaccante sufficientemente motivato finirà per superarle. In questo caso, l’attenzione deve spostarsi dal tentativo di prevenire l’inevitabile al rilevamento e alla risposta agli attacchi riusciti nel momento più precoce possibile. Ed è qui che entra in gioco l’Intelligenza Artificiale.
Poiché le stime indicano che il tempo medio di permanenza in un attacco ransomware è di 43 giorni, l’Intelligenza Artificiale dovrebbe svolgere un ruolo decisivo all’interno del team di sicurezza per aiutare a stanare la minaccia. Mentre un team di analisti potrebbe aver bisogno di giorni o addirittura settimane, l’Intelligenza Artificiale è in grado di rilevare rapidamente, se non immediatamente, quando gli attaccanti si muovono nei sistemi prima che venga avviata la diffusione del ransomware. Questo perché l’Intelligenza Artificiale è in grado di contestualizzare e consolidare l’ampia gamma di segnali e marcatori lasciati dagli attaccanti mentre si muovono attraverso i sistemi per raggiungere il loro obiettivo. L’Intelligenza Artificiale è in grado di riunire tutte queste informazioni disparate in un quadro chiaro, consentendo ai team di sicurezza di rispondere in modo efficiente alle minacce più critiche.
Conquistare il campo di battaglia del ransomware
Il ransomware continua a essere una seria minaccia per le aziende manifatturiere e, come dimostrano alcuni recenti incidenti di alto profilo, non sparirà tanto presto. I team di sicurezza delle aziende manifatturiere dovrebbero prendere nota di questi incidenti e considerarli come un esempio di ciò che può accadere se non si è pronti ad affrontare l’ampia varietà di minacce.
Se la vostra azienda diventa l’obiettivo di un attacco gestito dall’uomo, non è realistico aspettarsi che gli analisti della sicurezza siano in grado di coprire da soli ogni aspetto. Poiché gli operatori di ransomware continuano a diversificarsi, le aziende manifatturiere dovrebbero valutare la possibilità di aggiungere al proprio arsenale di soluzioni di sicurezza anche mezzi di rilevamento del ransomware basati sull’Intelligenza Artificiale, in modo da ridurre significativamente i tempi di individuazione della minaccia.
