L’intelligenza artificiale generativa è il tema del momento. Ma com’è la situazione nella cibersicurezza? La cyberdefence sarà davvero sommersa da un’ondata di attacchi basati sull’IA o è solo una questione di clamore? Una valutazione.
Testo: Andreas Heer, Immagine: Swisscom, Data: 29 aprile 2024 4 Min.
L’interesse per l’intelligenza artificiale generativa (IA generativa) è enorme. Così come l’entusiasmo per le opportunità. È ovvio che anche la cibercriminalità organizzata sia interessata alle possibilità dei grandi modelli linguistici (LLM) come GPT, Llama, Mistral o Claude. Le aziende saranno quindi prese d’assalto da un’ondata di attacchi informatici guidati dall’IA, o è tutto solo clamore?
«Abbiamo effettivamente già assistito ad attacchi concreti», afferma Florian Leibenzeder, direttore tecnico del Security Operation Center interno di Swisscom. Leibenzeder cita come esempio la possibile valutazione e prosecuzione delle e-mail da parte di un LLM per e-mail di phishing mirate dopo una Business Email Compromise (BEC). «Se un’e-mail sembra quella dell’interlocutore effettivo e, dal punto di vista del contesto, si adatta allo scambio di e-mail precedente», dice Leibenzeder, «questo induce naturalmente i destinatari a cliccare sul link indicato.»
Naturalmente, sono ipotizzabili scenari in cui l’IA generativa venga utilizzata direttamente per gli attacchi. Agenti IA che attaccano e compromettono autonomamente i siti web grazie all’addestramento con informazioni corrispondenti sono fattibili, ma finora solo in teoria, come dimostrano i ricercatori dell’Università dell’Illinois in una pubblicazione(apre una nuova finestra).
«Finora presso Swisscom non abbiamo assistito ad alcun attacco concreto, al di là del phishing, che abbia fatto ricorso in modo inequivocabile all’IA», relativizza Leibenzeder. «Ma posso immaginare che l’IA venga utilizzata sempre di più per preparare attacchi, ad esempio per la valutazione dei file di log di un Vulnerability Scanner o per l’analisi del codice sorgente del software per individuare eventuali lacune.» Secondo Leibenzeder, un possibile scenario è l’analisi degli smart contract in ambito blockchain per identificare le lacune che possono poi essere sfruttate per il furto di criptovalute.
Informatevi sugli ultimi sviluppi della cybersicurezza e scoprite quali sono le principali minacce.
Se grazie all’automatizzazione della preparazione degli attacchi si riduce il tempo necessario, il numero di attacchi informatici aumenta? Leibenzeder resta scettico: «I criminali informatici sono così professionalizzati che già oggi i servizi per le singole fasi di attacco possono essere acquistati a un prezzo relativamente basso, come ad esempio Initial Access Broker e Ransomware as a Service.» In altre parole, l’ostacolo alla realizzazione di progetti maligni è già basso oggi e non viene ridotto in modo significativo dall’IA.
Tuttavia, secondo le previsioni del World Economic Forum(apre una nuova finestra), l’intelligenza artificiale influenzerà notevolmente gli attacchi informatici. Gli hacker disporrebbero di maggiori e migliori informazioni sugli obiettivi, che consentirebbero di effettuare attacchi su misura, ad esempio tramite phishing o deepfake. Questo porta alla conclusione che forse il numero di attacchi con IA non è in aumento, ma la «qualità» sì grazie a una migliore personalizzazione.
Il Machine Learning e l’IA generativa giocano sempre più un ruolo anche nella difesa e nel riconoscimento degli attacchi informatici. Leibenzeder cita come esempio di codice occultato (obfuscated code) di un malware: «Mentre gli hacker utilizzano l’IA per mascherare il codice e renderne difficile il riconoscimento, i difensori possono analizzare il codice e comprenderne il funzionamento utilizzando gli stessi metodi.»
Il riconoscimento algoritmico di schemi LLM, tuttavia, evita alla cyberdefence anche i piccoli e noiosi lavori, ad esempio l’individuazione delle diverse fasi di un attacco informatico in caso di incidente di grandi dimensioni. «In questo caso l’IA può aiutare a riportare gli avvisi e gli eventi dei diversi file di log su un asse temporale e a descrivere cosa è successo.» Questa trasparenza consente a sua volta agli esperti di cibersicurezza di reagire in modo mirato ed efficace a un incidente. Allo stesso tempo, i tool di IA fungono da «assistenti per la sicurezza» e aiutano a redigere un Management Summary dell’incidente per la direzione.
Gli scenari di attacco e i pericoli causati dall’IA sono già confluiti nei comuni framework di cibersicurezza come Mitre Att&ck e OWASP.
Al momento l’intelligenza artificiale non dovrebbe quindi rivoluzionare completamente la cibersicurezza, ma piuttosto introdurre il livello successivo nell’eterna competizione tra hacker ed esperti di cibersicurezza. «È importante che i difensori gestiscano la nuova tecnologia in modo altrettanto aperto e attivo come gli aggressori», afferma Leibenzeder. «La cyberdefence deve imparare a capire come vengono utilizzate le nuove tecniche di attacco e come difendersi da esse».
A livello di esperti, quindi, è importante rimanere al passo e ampliare di conseguenza il know-how. Il WEF consiglia alle aziende di tenere maggiormente in considerazione la supply chain all’interno della strategia di cibersicurezza e di sensibilizzare i collaboratori. Con l’avvento dell’intelligenza artificiale, quindi, anche l’intelligenza umana acquista sempre più importanza sotto forma di maggiore Security Awareness.