Connect with us

I team di sicurezza stanno risolvendo le minacce sbagliate. Ecco come correggere il corso nell’era degli attacchi AI

Sicurezza informatica

I team di sicurezza stanno risolvendo le minacce sbagliate. Ecco come correggere il corso nell’era degli attacchi AI

mm
Published
Updated

I cyberattacchi non sono più operazioni manuali e lineari. Con l’AI ora integrata nelle strategie offensive, gli attaccanti stanno sviluppando malware polimorfo, automatizzando la ricognizione e bypassando le difese più velocemente di quanto molti team di sicurezza possano rispondere. Questo non è uno scenario futuro, sta accadendo ora.

Allo stesso tempo, la maggior parte delle difese di sicurezza sono ancora reattive. Si basano sull’identificazione di indicatori di compromissione noti, sull’applicazione di modelli di attacco storici e sulla segnalazione dei rischi in base a punteggi di gravità che potrebbero non riflettere il vero paesaggio delle minacce. I team sono sopraffatti dal volume, non dall’insight, creando un ambiente perfetto per gli attaccanti per avere successo.

Il vecchio modo di pensare dell’industria, costruito intorno a checklist di conformità, valutazioni periodiche e strumenti frammentati, è diventato un ostacolo. I team di sicurezza lavorano più duramente che mai, ma spesso risolvono i problemi sbagliati.

Perché esiste questo divario

L’industria della sicurezza informatica ha a lungo fatto affidamento su punteggi di rischio come CVSS per priorizzare le vulnerabilità. Tuttavia, i punteggi CVSS non riflettono il contesto reale dell’infrastruttura di un’organizzazione, come ad esempio se una vulnerabilità è esposta, raggiungibile o sfruttabile all’interno di un percorso di attacco noto.

Di conseguenza, i team di sicurezza spesso spendono tempo prezioso per correggere problemi non sfruttabili, mentre gli attaccanti trovano modi creativi per concatenare debolezze trascurate e bypassare i controlli.

La situazione è ulteriormente complicata dalla natura frammentata dello stack di sicurezza. I sistemi SIEM, EDR, VM e CSPM operano in modo indipendente. Questa telemetria isolata crea punti ciechi che gli attaccanti abilitati dall’AI stanno sfruttando sempre più.

La rilevazione basata su firme sta scomparendo

Una delle tendenze più preoccupanti nella sicurezza informatica moderna è il valore decrescente dei metodi di rilevamento tradizionali. Le firme statiche e l’avviso basato su regole erano efficaci quando le minacce seguivano modelli prevedibili. Ma gli attacchi generati dall’AI non seguono queste regole. Mutano il codice, evitano la rilevazione e si adattano ai controlli.

Prendiamo ad esempio il malware polimorfo, che cambia la sua struttura con ogni distribuzione. O le email di phishing generate dall’AI che imitano gli stili di comunicazione degli executive con un’accuratezza allarmante. Queste minacce possono sfuggire completamente agli strumenti basati su firme.

Se i team di sicurezza continuano a fare affidamento sull’identificazione di ciò che è già stato visto, rimarranno sempre un passo indietro rispetto agli avversari che stanno innovando continuamente.

La pressione normativa sta aumentando

Il problema non è solo tecnico, è anche normativo. La Commissione per i titoli e la borsa degli Stati Uniti (SEC) ha recentemente introdotto nuove regole di divulgazione sulla sicurezza informatica, che richiedono alle società quotate di segnalare incidenti di sicurezza informatica significativi e di descrivere le loro strategie di gestione del rischio in tempo reale. Allo stesso modo, il Digital Operational Resilience Act (DORA) dell’Unione Europea richiede un passaggio dalle valutazioni periodiche a una gestione del rischio informatico continua e validata.

La maggior parte delle organizzazioni non è preparata a questo passaggio. Mancano della capacità di fornire valutazioni in tempo reale dell’efficacia delle loro attuali difese di sicurezza contro le minacce odierne, specialmente mentre l’AI continua a evolvere queste minacce a velocità di macchina.

La priorità delle minacce è rotta

La sfida fondamentale risiede nel modo in cui le organizzazioni priorizzano il lavoro. La maggior parte di esse fa ancora affidamento su sistemi di punteggio di rischio statici per determinare cosa viene corretto e quando. Questi sistemi raramente tengono conto dell’ambiente in cui esiste una vulnerabilità, né se è esposta, raggiungibile o sfruttabile.

Questo ha portato i team di sicurezza a spendere tempo e risorse significativi per correggere vulnerabilità che non sono attaccabili, mentre gli attaccanti trovano modi per concatenare problemi trascurati a basso punteggio per ottenere l’accesso. Il modello tradizionale “trova e correggi” è diventato un modo inefficiente e spesso inefficace per gestire il rischio informatico.

La sicurezza deve evolversi dalla reazione agli avvisi verso la comprensione del comportamento degli avversari – come un attaccante si muoverebbe effettivamente all’interno di un sistema, quali controlli potrebbe bypassare e dove si trovano le vere debolezze.

Un modo migliore in avanti: difesa proattiva guidata dal percorso di attacco

Cosa succederebbe se, invece di reagire agli avvisi, i team di sicurezza potessero simulare continuamente come gli attaccanti reali cercherebbero di violare il loro ambiente e correggere solo ciò che più conta?

Questo approccio, spesso chiamato convalida continua della sicurezza o simulazione del percorso di attacco, sta guadagnando slancio come una svolta strategica. Invece di trattare le vulnerabilità in isolamento, mappa come gli attaccanti potrebbero concatenare misconfigurazioni, debolezze di identità e asset vulnerabili per raggiungere sistemi critici.

Simulando il comportamento degli avversari e convalidando i controlli in tempo reale, i team possono concentrarsi sui rischi sfruttabili che espongono effettivamente l’azienda, e non solo quelli segnalati dagli strumenti di conformità.

Raccomandazioni per i CISO e i leader della sicurezza

Ecco cosa i team di sicurezza dovrebbero priorizzare oggi per stare al passo con gli attacchi generati dall’AI:

  • Implementare simulazioni di attacco continue Adottare strumenti di emulazione dell’avversario automatizzati e guidati dall’AI che testano i controlli nel modo in cui gli attaccanti reali li farebbero. Queste simulazioni dovrebbero essere continue, non solo riservate agli esercizi di red team annuali.
  • Priorizzare l’esposizione sulla gravità Andare oltre i punteggi CVSS. Incorporare l’analisi del percorso di attacco e la convalida contestuale nei modelli di rischio. Chiedere: è questa vulnerabilità raggiungibile? Può essere sfruttata oggi?
  • Unificare la telemetria di sicurezza Consolidare i dati dai sistemi SIEM, CSPM, EDR e VM in una vista centrale correlata. Ciò consente l’analisi del percorso di attacco e migliora la capacità di rilevare intrusioni complesse e multistep.
  • Automatizzare la convalida della difesa Passare dall’ingegneria della rilevazione manuale alla convalida guidata dall’AI. Utilizzare l’apprendimento automatico per assicurarsi che le strategie di rilevamento e risposta evolvano insieme alle minacce che sono destinate a fermare.
  • Modernizzare la segnalazione del rischio informatico Sostituire i dashboard di rischio statici con valutazioni dell’esposizione in tempo reale. Allinearsi con framework come MITRE ATT&CK per dimostrare come i controlli si mappano sui comportamenti di minaccia nel mondo reale.

Le organizzazioni che passano alla convalida continua e alla priorità basata sull’esposizione possono aspettarsi miglioramenti misurabili in molte dimensioni delle operazioni di sicurezza. Concentrandosi solo sulle minacce azionabili e ad alto impatto, i team di sicurezza possono ridurre la stanchezza degli avvisi e eliminare le distrazioni causate da falsi positivi o vulnerabilità non sfruttabili. Questo focus mirato consente risposte più rapide ed efficaci agli attacchi reali, riducendo significativamente il tempo di permanenza e migliorando il contenimento degli incidenti.

Inoltre, questo approccio migliora l’allineamento normativo. La convalida continua soddisfa le crescenti richieste di framework come le regole di divulgazione sulla sicurezza informatica della SEC e il regolamento DORA dell’UE, entrambi i quali richiedono la visibilità in tempo reale del rischio informatico. Forse più importante, questa strategia garantisce un’allocation più efficiente delle risorse e consente ai team di investire il loro tempo e la loro attenzione dove più conta, piuttosto che sparpagliarsi su una vasta superficie di rischio teorico.

Il momento di adattarsi è ora

L’era del cybercrimine guidato dall’AI non è più una previsione, è il presente. Gli attaccanti stanno utilizzando l’AI per trovare nuovi percorsi. I team di sicurezza devono utilizzare l’AI per chiudere questi percorsi.

Non si tratta di aggiungere più avvisi o di correggere più velocemente. Si tratta di sapere quali minacce contano, convalidare continuamente le difese e allineare la strategia con il comportamento degli attaccanti nel mondo reale. Solo allora i difensori possono riconquistare il vantaggio in un mondo in cui l’AI sta riscrivendo le regole dell’engagement.

mm

Om Moolchandani è il co-fondatore, Chief Information Security Officer (CISO) e Chief Product Officer (CPO) di Tuskira. Con una laurea e un master in Informatica, Om porta una profonda esperienza in materia di sicurezza cloud, conformità e software aziendale. In precedenza, ha ricoperto ruoli senior di sicurezza e prodotto in aziende leader come CrowdStrike, Tenable, GE e AutoGrid. Prima di Tuskira, ha anche co-fondato Accurics, una società pionieristica di CNAPP acquisita da Tenable. Om è noto per la creazione di soluzioni sicure e scalabili che affrontano le sfide di sicurezza informatica moderne.