La mancanza di allineamento fra attaccanti e difensori favorisce il successo degli attacchi ransomware nell’ambito manifatturiero. Lo spiega Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, sottolineando come negli ultimi anni gli attaccanti sono passati da tattiche elementari e completamente automatizzate, abbastanza semplici da prevenire, a tattiche più mirate e sofisticate. Al contempo la maggior parte dei security team aziendali utilizza le stesse vecchie tattiche per cercare di prevenire attacchi ransomware, adottando un approccio ormai superato. Non è una novità, lo stesso commento fu fatto un anno fa dagli esperti del Clusit, a testimonianza che evidentemente non è cambiato molto da allora.

Oggi però questa situazione non è più sostenibile: l’Industria 4.0 ha ampliato a dismisura la superficie d’attacco. I cybercriminali, sempre attenti ai cambiamenti, hanno colto le opportunità legate all’accresciuta vulnerabilità delle aziende manifatturiere e le hanno sfruttate. Basti pensare che nel 2021 il settore manifatturiero è stato il più colpito dai ransomware.

Vectra AI quindi suona la sveglia ed esorta le aziende ad evolversi, a guardare oltre all’approccio preventivo mirato sul tentativo di impedire al ransomware di fare breccia nel perimetro aziendale. Ormai siamo al punto in cui tutti dovrebbero avere compreso che è impossibile bloccare tutti gli attacchi, bisogna rassegnarsi all’idea che gli attacchi supereranno le difese. L’abilità di un buon difensore è quella di rilevare e fermare un attacco sul nascere. Come? Nella visione di Vectra AI; facendo uso dell’Intelligenza Artificiale.

Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI

L’Intelligenza Artificiale per rinforzare le difese

Galvagna ricapitola i diversi tipi di minaccia a cui i team di security devono fare fronte. I primi “commodity ransomware” funzionavano con il pilota automatico e seguivano un semplice modello commerciale: infettare il maggior numero possibile di computer, perché almeno una parte delle vittime avrebbe sicuramente pagato per recuperare i propri file. La difesa è piuttosto semplice, con gli Indicatori di Compromissione a portata di mano. La seconda evoluzione ha visto la combinazione dei “commodity ransomware” con i worm, in modo da poter atterrare su un singolo sistema e poi infettare rapidamente anche i sistemi vicini.

Oggi non si parla più di commodity ransomware: gli attaccanti (spesso affiliati nel modello RaaS) hanno rimpiazzato le tattiche automatizzate con metodi più sofisticati e mirati. Gli attacchi richiedono spesso settimane di pianificazione e, dopo aver conquistato un punto d’appoggio iniziale, i loro autori adattano manualmente i movimenti alle specificità dell’ambiente in cui si sono introdotti.

Generalmente le varianti più note di “commodity ransomware” possono essere bloccate all’ingresso, se i team di sicurezza hanno accesso a indicatori tempestivi di compromissione. Anche i tipi più recenti di “commodity ransomware” che riescono ad aggirare le misure preventive sono in genere di portata piuttosto limitata e possono essere superati con un buon processo di backup e recovery. Più complesso è contenere le varianti ransomware in rapida evoluzione, per le quali è necessario un approccio con il modello Zero Trust e altri controlli basati su policy sono un armamentario adeguato a contenere i focolai.

Quando si tratta di attacchi ransomware mirati e gestiti dall’uomo, il successo non si basa più su politiche prescrittive o configurazioni di sicurezza rigide incentrate sulla prevenzione. Anche se utili, un attaccante sufficientemente motivato finirà per superarle. In questo caso, l’attenzione deve spostarsi dal tentativo di prevenire l’inevitabile al rilevamento e alla risposta agli attacchi riusciti nel momento più precoce possibile. Ed è qui che entra in gioco l’Intelligenza Artificiale.

Poiché le stime indicano che il tempo medio di permanenza in un attacco ransomware è di 43 giorni, l’Intelligenza Artificiale dovrebbe svolgere un ruolo decisivo all’interno del team di sicurezza per aiutare a stanare la minaccia. Mentre un team di analisti potrebbe aver bisogno di giorni o addirittura settimane, l’Intelligenza Artificiale è in grado di rilevare rapidamente, se non immediatamente, quando gli attaccanti si muovono nei sistemi prima che venga avviata la diffusione del ransomware. Questo perché l’Intelligenza Artificiale è in grado di contestualizzare e consolidare l’ampia gamma di segnali e marcatori lasciati dagli attaccanti mentre si muovono attraverso i sistemi per raggiungere il loro obiettivo. L’Intelligenza Artificiale è in grado di riunire tutte queste informazioni disparate in un quadro chiaro, consentendo ai team di sicurezza di rispondere in modo efficiente alle minacce più critiche.

Conquistare il campo di battaglia del ransomware

Alcuni recenti incidenti di alto profilo devono essere considerati dalle aziende manifatturiere come un esempio di ciò che può accadere se non si è pronti ad affrontare l’ampia varietà di minacce. Galvagna ricorda che quando un’azienda è oggetto di un attacco moderno, non è realistico aspettarsi che gli analisti della sicurezza siano in grado di coprire da soli ogni aspetto. È necessario valutare la possibilità di aggiungere al proprio arsenale di soluzioni di sicurezza anche mezzi di rilevamento del ransomware basati sull’Intelligenza Artificiale, in modo da ridurre significativamente i tempi di individuazione della minaccia.