Esperti di Trend Micro, TIM, Pirelli e Intel discutono dei rischi per la cybersecurity legati alle GenAI, al cloud moderno, alla blockchain e alla supply chain e suggeriscono come mitigarli.
34 percento di crescita nel 2023, un mercato sempre più ampio che va dalle Telco al large enterprise per arrivare alla PA e in modo capillare alle PMI. Previsioni di forte crescita anche per il 2024 e una evoluzione strategica, oltre che tecnologica, che porta Trend Micro a non proporsi più come semplice vendor, ma come piattaforma ed ecosistema aperto a tutti coloro che non sono più competitor, ma piuttosto partner tecnologici per i progetti di cybersecurity. È questa, in estrema sintesi, la presentazione di Trend Micro Italia da parte del Country Manager Alessandro Fontana in occasione del tradizionale appuntamento annuale con il SecurityBarcamp, in cui manager e ospiti di prestigio commentano le proprie previsioni per l’anno appena iniziato.
A questo giro il panel di discussione era composto da Alessio Agnello, Technical Director di Trend Micro Italia; Matteo Macina, Director, Head of Cyber Security di TIM; Stefano Vercesi, CISO di Pirelli e Walter Riviera, AI Technical Lead EMEA di Intel Corporation. In collegamento da remoto era Rachel Jin, VP of Product Management di Trend Micro.
Com’è facile prevedere, denominatore comune di tutte le Predictions 2024 è l’Intelligenza Artificiale, in particolar modo quella generativa che nel 2023 è stata protagonista di un forte hype e destinataria di elevati investimenti da parte delle maggiori imprese. Ma non è l’unico leitmotiv, perché trova nuovamente ampio spazio il cloud, nelle accezioni più moderne rispetto al generico journey to cloud degli anni passati. Chiudono poi le previsioni che coinvolgono supply chain e blockchain.
Da sinistra a destra: Lorenzo Valentino, Major Account Manager; Simone Romanelli, Major Account Manager; Alessio Agnello, Technical Director; Stefano Mesiti, Head Of Enterprise Sales; Salvatore Marcis, Head Of Channel And Territory Sales; Alessandro Fontana, Country Manager; Veronica, Pace Head Of Marketing e Alice D’afflisio, Field Marketing Specialist
Le considerazioni per nulla scontate che sono emerse nel corso del panel sono state molte. A partire dall’esigenza, nel 2024, che i Governi si assumano il ruolo di regolamentare l’AI, come ha sottolineato Jin. Regolamentazione necessaria perché ignorare l’AI non è un’opzione. Come sottolinea correttamente Vercesi, “l’AI costituisce una grande opportunità per le imprese perché, al di là dell’hype, permetterà di raggiungere nuovi livelli di produttività”. Quello che serve è quindi un approccio che da una parte permetta di beneficiare delle opportunità offerte dall’AI generativa, dall’altro di comprendere il rischio cyber in esse implicato. Peraltro, in Pirelli il machine learning basato su LLM e applicato ai processi produttivi è già una realtà strutturata. I dipendenti devono essere messi al corrente dell’uso appropriato che bisogna fare di questa tecnologia e devono comprenderne i rischi, anche mediante una regolamentazione interna come avvenuto in Pirelli. Riviera di Intel puntualizza poi che “l’AI non è buona o cattiva, è uno strumento, quindi è come ne facciamo uso a fare la differenza”.
Fra i molti rischi legati all’uso delle AI, uno su tutti richiederà particolare attenzione e Jin lo indica nel fatto che gli attaccanti inizieranno a condurre attività di data poisoning per attaccare i modelli di AI generativa. L’unica difesa possibile a tale proposito è la protezione dei set di dati, ovunque essi siano archiviati. E dato che questo patrimonio prezioso risiede più che altro in cloud, questa previsione si riallaccia direttamente a quella successiva, che coinvolge appunto il cloud moderno.
Ma quando parliamo di rischi che cosa si intende all’atto pratico? Un esempio esplicativo arriva dall’esperienza di Pirelli, in cui si sta già assistendo all’impiego della GenAI per orchestrare attacchi di spear phishing altamente mirati e di altissima qualità e per orchestrare attacchi automatizzati che si spostano sul perimetro esterno e che cambiano a seconda dell’ambiente che trovano, allungando i tempi di detection.
Il discorso relativo ai modelli di AI è particolarmente interessante. Agnello ricorda infatti la dinamica che riguarda il training dei modelli di AI: “l’AI generativa non è concepita perché ciascuna azienda abbia una AI proprietaria ‘in casa’ a cui fare training privatamente. I set di dati per il training vengono acquistati dall’esterno e una modifica del set di dati influisce direttamente sulle risposte che verranno date all’AI” o può corrompere gli strumenti di controllo affinché non “vedano” i rischi. Lo sanno bene gli attaccanti, che cercheranno sempre di più di compromettere i set di dati per inquinare il training e corrompere i motori di AI affinché diano risposte che avvantaggiano l’attaccante.
Da sinistra: Alessio Agnello, Technical Director di Trend Micro Italia; Matteo Macina, Director, Head of Cyber Security di TIM; Walter Riviera, AI Technical Lead EMEA di Intel Corporation e Stefano Vercesi, CISO di Pirelli
Infine, le tattiche di social engineering saranno sempre più sfruttate non solo per perpetrare truffe molto sofisticate, ma anche per influenzare l’opinione pubblica, soprattutto in relazione alle imminenti elezioni presidenziali americane e ai conflitti bellici in atto.
Il cloud è un ambiente ormai di fondamentale importanza dato che tutte le aziende di medie e grandi dimensioni hanno adottato soluzioni di cloud ibride. Il problema è che, nonostante la diffusione capillare del cloud, restano dei gap di security da chiudere e misconfigurazioni che non sono di facile risoluzione in ambienti altamente frammentati. Jin reputa che le aziende di cybersecurity come Trend Micro abbiano l’importante ruolo di supportare le imprese nell’individuare e risolvere i problemi che minacciano la sicurezza del cloud.
Esattamente quali sono questi problemi? Come spiega Agnello, servizi di storage cloud popolari come OneDrive, Google Drive, ospitano malware (ovviamente in maniera involontaria). Peccato che gli stessi ambienti ospitino anche ambienti di sviluppo in cloud, come Kubernetes o Docker. Questo è un link non casuale e di grande importanza, perché “gli attaccanti sfrutteranno le capacità di calcolo del cloud e il fatto che i malware sono già presenti all’interno dell’infrastruttura CI/CD per integrare worm nel codice di sviluppo” prevede Agnello.
Non è difficile capire dove si va a parare: i container, oggi ampiamente usati per lo sviluppo, estendono la superficie di attacco e, se non adeguatamente protetti, favoriscono l’ingerenza degli attaccanti negli ambienti di sviluppo. Qualora un cyber criminale riuscisse a modificare librerie e runtime archiviati in cloud SaaS e usati dagli sviluppatori, ci si ritroverebbe davanti a un nuovo SolarWinds.
Fra i motivi che spingono gli esperti a mettere in guardia c’è poi la presa di coscienza di una migliorata capacità da parte delle imprese di indirizzare le tematiche di security posture degli ambienti IaaS, ma non è ancora diffuso lo stesso approccio nell’ambito SaaS, che è quello a cui si fa riferimento sopra.
Riguardo alle misconfigurazioni, Matteo Macina di TIM mette inoltre l’accento sul fatto che il termine stesso dà il senso del rischio vero del cloud. Il fatto, argomenta Macina, è che “a volte le misconfigurazioni sono industrializzate e gli attaccanti lo sanno, quindi sviluppano progetti malevoli capaci di propagarsi in rete proprio sfruttando le misconfigurazioni”. Per questo è necessaria una forte capacità di verifica e controllo negli ambienti ibridi e un supporto all’IT da parte della Security.
Le previsioni per la cyber security del 2024
Altre due previsioni riguardano argomenti meno chiacchierati al momento, ma non per questo meno importanti. Sulle supply chain la questione è molto semplice: in passato si usava condurre controlli di security posture solo sui fornitori IT, è evidente che questo approccio è insufficiente. Gli esperti concordano sul fatto che occorre un approccio ampio perché – come rimarca Vercesi - persino un attacco che blocca un fornitore di logistica può causare danni gravissimi a un’azienda. Non solo: come ricorda Macina, il controllo della security posture dei fornitori è un processo che deve anche essere rivisto nel tempo e che deve riguardare sia il software che l’hardware.
Infine, il discorso blockchain si lega al web3 e alla sua promessa di decentralizzazione. Ebbene, non nell’immediato, secondo Agnello gli attaccanti creeranno strutture decentralizzate per lo sviluppo. Occorre tenere alta la guardia e monitorare la situazione per comprendere come evolve e non farsi trovare impreparati.