Le Security Operations al tempo dell’Artificial Intelligence

cybersecurity@poliverso.org

Le Security Operations al tempo dell’Artificial Intelligence

A cura di Vicki Vinci, SOC Architect – International di Fortinet

Il trend tecnologico di assoluto maggior rilievo degli ultimi anni è senza dubbio l’avvento dell’Artificial Intelligence soprattutto declinata nella sua componente generativa (GenAI). Accantonando per il momento le considerazioni su come il mercato ne abbia fatto adozione, non è negabile che nel mondo della sicurezza questa evoluzione abbia portato una serie di cambiamenti molto significativi.
A cura di Vicki Vinci, SOC Architect – International di Fortinet
Proviamo ad analizzare alcuni casi d’uso su cui l’industria della security e la community hanno provato a focalizzare maggiormente l’attenzione:

Come l’AI viene utilizzata dagli attaccanti
L’ AI nelle attività di chi deve difendere
Come le soluzioni di GenAI possono venire attaccate
Le modalità in cui si possono proteggere i motori di LLM

Partendo dal primo esempio non v’è dubbio che la possibilità di utilizzare strumenti di GenAI abbia facilitato e di molto il compito degli attaccanti su molteplici fronti:

La facilità nella creazione di codice malevolo in grado di aggirare le difese classiche messe in atto dalle organizzazioni
Il supporto al perfezionamento di campagne di phishing con testi sempre più perfezionati e repliche fedeli di messaggi e portali realmente in uso da parte degli utenti
L’integrazione delle funzionalità native degli LLM a supporto di variegate campagne d’attacco automatizzandone ed ottimizzandone le fasi partendo dallaReconnaissance, la Weaponization, fino a Installation, Command and Control (C2) terminando con Actions on Objectives

Allo stesso tempo chi ha come sua missione la difesa, viene affiancato da soluzioni in grado di:

Accelerare la capacità di Triage aumentandone anche la profondità di dettaglio
Produrre componenti delle soluzioni di SecOps (playbooks, connettori, ecc.) in maniera semplificata e quanto più sempre nella direzione di uno sviluppo codeless
Mettere in campo specifiche attività di riconoscimento, contenimento e remediation automatizzate attraverso soluzioni di AgenticAI

Perché questa serie di opzioni possa essere messa in campo, uno degli elementi fondamentali è la disponibilità di un motore di LLM (pubblico o privato che sia) che inevitabilmente diventa a sua volta oggetto di possibili attacchi. La disponibilità, l’integrità e confidenzialità dei contenuti sono messi in pericolo sia singolarmente che in modo congiunto a seconda delle metodologie utilizzate.

A tal proposito i modus operandi che vediamo essere messi in atto dai Threat Actors con maggiore frequenza sono:

Attacchi volumetrici e qualitativi sulle risorse di calcolo destinate alla fruizione del LLM (DdoS)
Prompt injection per costruire Bias tali da produrre allucinazioni da parte del motore di LLM o attività di mass-query per estrapolazione delle informazioni contenute
Attacchi “tradizionali” per colpire le componenti infrastrutturali coinvolte nell’erogazione del servizio (network, compute, application-layer)
Accessi non autorizzati a motori di LLM privati tramite credenziali compromesse o accessi di rete non correttamente presidiati

In ultima istanza l’industria della Cyber Security si è messa in movimento per dare il suo contributo nella difesa di questa componente sempre più fondamentale nella nostra economia digitale. Mappando le tipologie di attacco appena citate, le soluzioni che stanno guidando il mercato sono:

Soluzioni di GSLB, Waf e CNAPP
Prodotti di Deep Inspection che disaccoppiano la sessione dell’utente rispetto all’accesso sulla componente di front-end del motore di LLM, strumenti di DLP e di monitoraggio
Firewalling, strumenti di API protection
Unified SASE, ZTNA, MFA e segregazione della rete

In ognuno di questi casi d’uso, l’ingresso degli strumenti di Artifical Intelligence ha cambiato radicalmente il livello qualitativo ma anche le tempistiche collegate alle varie fasi dell’attacco. Se in precedenza l’intervento umano era ancora una componente fondamentale in alcuni dei passaggi, oggi molte di queste attività possono essere delegate a macchine che sono in grado sia di accelerare che di parallelizzare i task accorciandone le tempistiche e moltiplicandone i volumi.

Con queste premesse diventa mandatorio mettere a disposizione dei Blue-Team strumenti che possano contrastare le nuove modalità d’attacco pareggiandone sia i tempi che le quantità. L’obiettivo finale è quello di mettere a disposizione dell’analista informazioni quanto più possibile ricche di dettaglio e che minimizzino il tempo di analisi e decisione delle contromisure, quando non siano già state messe in campo in maniera automatizzata.

Se gli attaccanti stanno utilizzando sempre più la tecnologia (oltre che le tecniche di Social Engineering) elevando la potenza delle loro attività nella scala del “tempo-macchina”, anche i difensori non possono esimersi da adottare strategie e strumenti che permettano loro di rispondere nello stesso ordine di grandezza della scala temporale. Minimizzare il dwell time farà sempre più la differenza tra un attacco andato a buon fine da un’eccellente capacità di risposta e contenimento.

Per tutti gli approfondimenti del caso è disponibile la pagina dedicata.

L'articolo Le Security Operations al tempo dell’Artificial Intelligence proviene da Red Hot Cyber.

Citiverse

Navigazione

Account

Navigazione

Account

Le Security Operations al tempo dell’Artificial Intelligence

Making YouTube Work in the Netscape 4.5 Browser on Windows 98

Recovering Data from the OceanGate depths

BonIo vi ho avvisati #photography #digitale

Building A Clamshell Writer Deck

MARILYN MANSON - This Is Halloween (Live)

La corsa alla cybersicurezza è partita e l’Italia corre con le scarpe legate

This Week in Security: Vibecoding, Router Banning, and Remote Dynamic Dependencies

Venticinque anni dopo Matrix, la matematica chiude il dibattito: un teorema dimostra che la realtà simulata è impossibile.