Mentre il mondo della sicurezza si fa sempre più complesso, si moltiplicano gli annunci e le promesse relative a tutto ciò che riguarda l’apprendimento automatico e l’intelligenza artificiale.
In maniera lenta ma metodica si assiste alla creazione di algoritmi sempre più intelligenti, e c’è un sempre più forte desiderio di aumentare l’impatto della SOAR (Security Orchestration Automation & Response) attraverso mezzi automatici.
Queste nuove tecniche potrebbero però presto diventare un alleato di hacker e cyber criminali.
Uno degli aspetti più complicati dei sistemi di sicurezza automatici di nuova generazione, infatti, è trovare il giusto equilibrio tra intelligenza e prevedibilità.
Senza dubbio, è soltanto una questione di tempo e presto vedremo la nascita di attacchi intelligenti, che potranno avere la forma di smart phishing (cioè la distribuzione di un volume di spam con spear phishing mirato e automatizzato) o di swarmbot, capaci di agire senza alcun bisogno di supervisione umana, o ancora malware polimorfici che mutano continuamente durante l’attacco.
Le sfide etiche e sociali con cui quotidianamente si misura chi è impegnato a rallentare le derive più estreme dell’Intelligenza artificiale non preoccuperanno chi domani vorrà sferrare i propri attacchi.
L’Intelligenza artificiale che potremmo definire “dark” non crescerà in un ambiente rigidamente controllato e il suo sviluppo non sarà regolato. Chi si adopera per costruire la più efficace (e distruttiva) intelligenza artificiale ha altre priorità rispetto gli aspetti morali o le implicazioni a lungo termine.
Secondo Christian Reilly, CTO di Citrix, non è lecito aspettarsi che l’intelligenza artificiale dark segua le tre leggi della robotica e si può pensare che il digital underground non sia ancora in grado di produrre algoritmi tanto avanzati.
Malware e ransomware non sono però il frutto del lavoro di piccoli gruppi di hacker, dove un semplice sviluppatore scrive l’intero codice per la catena distruttiva del malware.
Oggi abbiamo migliaia di marketplace sparsi nel dark web dove è possibile acquistare componenti specializzati o exploit, allo stesso modo in cui si comprano vestiti o libri.
Oggi un ransowmare consiste tipicamente di diversi moduli di terze parti e open source che sono specializzati in crittografia decrittografia, pagamenti, infrastrutture di comando e controllo e altro.
Se in questo momento creare algoritmi complessi richiede precisi skill di programmazione, è in realtà solo questione di tempo e di soldi prima che qualcuno costruisca un modulo-commodity che permetterà ad altri di creare e utilizzare malware dotati di intelligenza artificiale e grandi botnet fatti di centinaia di migliaia di macchine e dispositivi IoT infetti potranno offrire la potenza necessaria per la prossima generazione di attacchi.
Per Reilly è realistico aspettarsi che nuovi algoritmi permetteranno di potenziare lo sviluppo del malware in tutte le sue fasi.
Con la minaccia di un malware modulare e intelligente e di attacchi ramsonware, è tempo di implementare uno strato adattivo di tool di sicurezza combinati. Chi si difende deve infatti rompere la catena del cyber kill in più punti possibile.
Invece di due grossi eserciti che si confrontano sul campo per un’unica battaglia decisiva, vedremo una sorta di guerriglia fatta di incidenti isolati, spesso senza supervisione umana.
Orchestrazione, automazione e capacità di proteggere tutte le risorse utilizzando strumenti di sicurezza adattiva sarà il futuro del campo di battaglia per la sicurezza.
