Tra le varie dinamiche di attacco descritte dal Global Threat Report 2024 di CrowdStrike spicca - oltre alla vulnerabilità del cloud - quella che riguarda i supply chain attack, intesi in questo caso come attacchi alle supply chain dello sviluppo e della distribuzione di software. Attacchi cioé che violano le infrastrutture IT di una azienda con lo specifico obiettivo di poter poi penetrare in quelle delle aziende che usano il software della prima.

I supply chain attack non sono certo una cosa nuova ma sono sempre più importanti, perché nelle logiche della criminalità cyber violare una software house può significare avere un accesso più semplice a centinaia o migliaia di obiettivi, anche in aziende di per sé molto attente alla sicurezza. Questa considerazione resta sempre valida, quindi i supply chain attack non diminuiranno certo da soli. Per contrastarli meglio deve crescere la consapevolezza delle imprese riguardo i rischi che può comportare una supply chain software non controllata, e in tal senso qualcosa secondo CrowdStrike si sta muovendo.

"L'impressione generale è ancora che non stia cambiando molto nella sensibilità delle aziende al problema supply chain - spiega Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike - ma questo anche perché ci sono grosse differenze tra grandi, medie e piccole aziende. Le grandi aziende europee oggi, forse anche perché scottate da quello che è successo in passato, prestano attenzione alla ricerca di compliance o cercano di affidarsi a regolamentazioni sull'utilizzo di fornitori terzi".

Dal punto di vista delle soluzioni, qualcosa in più si può fare con strumenti di monitoraggio e configurazione che coprano la supply chain software. Di certo, comunque, ci sono ampi spazi di miglioramento e il 2024 dovrebbe servire per colmarli, almeno in parte.

Anche perché la superficie di attacco delle imprese si sta facendo sempre più articolata. Ad esempio, una dinamica che CrowdStrike segnala come importante per il prossimo futuro è quella degli attacchi "under the radar", nati per aggirare la diffusione delle soluzioni EDR che ormai proteggono la gran parte degli endpoint tradizionali, come i PC.

Ora che l'endpoint classico è diventato difficile da "bucare", i threat actor si stanno focalizzando sui dispositivi "unmanaged" posti alla periferia di molte reti. Questi sono bersagli appetibili più dei classici PC, perché non sono protetti da software EDR e hanno vulnerabilità - anche zero-day - che le aziende risolvono lentamente. Sono quindi un vettore ideale per un attacco iniziale, da cui spostarsi poi lateralmente verso risorse più preziose.

"Le aziende - spiega Luca Nilo Livrieri - non hanno controllo, o ancora peggio visibilità, su questi dispositivi. Manca ciò che chiamiamo external surface management, per oggetti che sono in rete ma che sono spesso anche legacy, privi di protezioni di alto livello ma esposti verso l'esterno della rete".

Attenzione all'AI

I rischi crescenti per la cybersecurity delle imprese non sono legati solo al legacy ma anche alle tecnologie invece nuove dell'AI generativa, che è uno dei principali temi potenzialmente "disruptive" del 2024. Ora che la GenAI è alla portata di tutti, è anche nel raggio d'azione dei threat actor e può essere secondo CrowdStrike usata in due modi principali: per migliorare genericamente le azioni di attacco, ad esempio generando script o codice mirato, e come supporto alle campagne di social engineering.

Rispetto all'utilizzo della GenAI da parte degli attaccanti, CrowdStrike preferisce essere abbastanza cauta nelle sue valutazioni, anche perché è difficile avere la certezza che un certo attacco sia stato portato anche sfruttando l'AI. Non è un caso che le valutazioni più concrete su questo tema siano venute da due aziende - OpenAI e Microsoft - che hanno potuto direttamente monitorare cosa veniva chiesto ai loro motori di AI generativa.

Di certo il rapporto tra AI generativa e cybersecurity andrà sempre più esplorato, e in varie direzioni. La prima: che l'AI migliori e diventi uno strumento più pericoloso in mano ai threat actor. "Oggi le AI più affdabili in fondo non sono altro che 'super analisti' di informazioni - spiega Nilo Livrieri - e il loro output, per quanto riguarda la sicurezza, è ancora di basso livello, con pattern molto riconoscibili". Ma le prossime AI potrebbero comportare più rischi, essendo in grado di generare codice migliore e di automatizzare gli attacchi.

Da questo punto di vista CrowdStrike segnala nel suo report la possibilità che i criminali informatici sviluppino propri modelli o strumenti di AI, pensati in modo specifico per supportare attacchi cyber. In teoria, questi modelli potrebbero essere addestrati a partire dal codice e dalle tecniche di attacco attuali per generarne altri più sofisticati ed efficaci. O, parallelamente, per diventare motori di automazione per attacchi generati in maniera più massiva e veloce.

Nel corso del 2023 non si è visto molto in questo senso. Da un lato perché gli LLM disponibili pubblicamente sono perlopiù proprietari e quindi dotati di "blocchi di sicurezza" che impongono uno sforzo, anche minimo, di prompt engineering per essere aggirati. Dall'altro lato, i (relativamente pochi) modelli di GenAI open source su cui si può lavorare direttamente richiedono comunque tempo e risorse per essere implementati ed addestrati.

Il tema di cybersecurity AI del prossimo futuro sarà anche legato alla possibilità di violare i modelli di AI generativa perché diano risposte sbagliate o, peggio, compiano azioni indesiderate. È troppo presto perché considerazioni su questo appaiano in un report ufficiale di consuntivo come il Global Threat Report 2024 di CrowdStrike, ma "è una considerazione che internamente abbiamo già fatto e un tema che stiamo esaminando", racconta Luca Nilo Livrieri.