Mentre gli attacchi alle infrastrutture critiche diventano sempre più sofisticati, il paradigma della cybersecurity si sposta dalla reazione alla predizione. Ecco come l’unione di intelligenza artificiale e analisi umana è la chiave per neutralizzare i malware sconosciuti prima che causino danni.
Autore: Alessandro Di Pinto
Il panorama della sicurezza informatica per le tecnologie operative (OT) sta vivendo una trasformazione cruciale. Non è più sufficiente reagire alle minacce dopo che si sono manifestate; l’obiettivo strategico è oggi quello di identificarle e neutralizzarle in modo proattivo, prima ancora che possano sferrare il loro attacco. Ma come si può riconoscere un nemico che non si è mai visto prima?
Il processo assomiglia a cercare il classico ago in un pagliaio. La telemetria raccolta da innumerevoli fonti genera una quantità enorme di dati, al cui interno si nascondono i candidati a essere nuovi malware. Analizzare manualmente questo volume di informazioni è impensabile.
È qui che entra in gioco un approccio a più livelli, che combina la potenza dell’automazione con l’insostituibile intuito umano.
Sistemi avanzati basati sull’intelligenza artificiale agiscono come un primo, fondamentale filtro. Sono addestrati per setacciare montagne di dati e identificare schemi o anomalie che, pur non corrispondendo a nessuna minaccia nota, presentano caratteristiche sospette. Questo processo riduce drasticamente il “rumore di fondo”, permettendo di restringere il campo a un numero gestibile di campioni potenzialmente dannosi.
Una volta che l’AI ha isolato gli elementi più degni di attenzione, la palla passa agli analisti esperti di malware. Il loro compito è quello di contestualizzare e giudicare. Un file è davvero un malware o potrebbe essere uno strumento legittimo, magari personalizzato, utilizzato in un ambiente OT?
Un esempio emblematico è quello di BUSTLEBERM, un tool che permette di modificare i valori modbus. A prima vista, potrebbe essere uno strumento di ingegneria benigno. Senza contesto, è quasi impossibile determinarne la natura. L’analista umano, però, può arricchire l’analisi con dati telemetrici aggiuntivi: da dove proviene il file? Con quali macchine comunica? Cosa è successo sulla rete nello stesso momento? Queste domande trasformano un semplice sospetto in un verdetto informato.
In situazioni ambigue, l’approccio migliore è la trasparenza. Invece di ignorare una potenziale minaccia perché non se ne ha la certezza assoluta, la si rileva assegnandole un punteggio di rischio adeguato. Si avvisa il cliente, spiegando chiaramente perché il file è stato segnalato. In questo modo, l’azienda, che possiede il contesto completo del proprio ambiente operativo, può prendere una decisione finale informata, decidendo se l’allarme sia pertinente o se si tratti di un falso positivo in quel contesto specifico.
Per affrontare le nuove minacce OT, le organizzazioni non possono più essere passive. Devono adottare un approccio articolato su più aspetti collegati tra loro:
La lotta contro i malware OT di nuova generazione è impegnativa, ma non è persa in partenza e richiede un’evoluzione strategica. L’investimento in tecnologie avanzate, combinato con l’esperienza umana, permette di passare da una difesa reattiva a una protezione predittiva, minimizzando il rischio prima che il danno si concretizzi.