Il tradizionale appuntamento annuale con il Security Barcamp di Trend Micro ha messo in luce l'aumento delle minacce informatiche, l'importanza della collaborazione tra pubblico e privato e il ruolo cruciale dell'AI come strumento sia di attacco che di difesa. Gli ospiti presenti hanno inoltre puntato i riflettori sulle iniziative legislative e sulle strategie aziendali per affrontare le nuove sfide, con un focus sulla formazione degli utenti.

Nel corso dell’evento Marco Balduzzi, Presidente di No Hat e Senior Threat Researcher di Trend Micro, ha riepilogato la situazione cyber a livello globale; Alessio Agnello, Technical Director per l'Italia di Trend Micro, si è occupato delle previsioni di cybersecurity per il 2025, mentre Gianluca Galasso, Direttore del Servizio Operazioni/ CSIRT Italia, Agenzia per la Cybersicurezza Nazionale (ACN) ha tratteggiato il quadro della situazione italiana. Sono intervenuti poi due ospiti di prestigio a testimoniare le proprie esperienze sul campo: Ivan Monti, CISO di Ansaldo Energia e David Neumarker, CISO di Aruba S.p.A.

Le previsioni: tanta AI

Partiamo con la sintesi delle previsioni, curata da Alessio Agnello, Technical Director per l'Italia di Trend Micro, ricordando che quelle complete ed estese sono pubblicate nello Speciale di dicembre 2024 di SecurityOpenLab. Concentrandosi sull’AI, Agnello ha rimarcato che nel 2025 è attesa una spesa per l’AI che si aggira intorno ai 10mila miliardi di dollari, distribuiti tra due vettori principali: il settore consumer e quello enterprise. E che ci sarà un problema rappresentato dalle vulnerabilità, che saranno sempre più presenti con l’adozione massiccia di strumenti basati sull’AI in entrambi gli ambiti.

Alessio Agnello Technical Director per l'Italia di Trend MicroNell’ottica dello sfruttamento dell’anello debole della catena di cui parliamo più avanti, l’AI e in particolare gli LLM saranno impiegati in maniera massiva per generare attacchi abbastanza credibili da ingannare anche gli utenti più consapevoli e preparati in materia di security. In questo contesto i deepfake diventeranno "lo strumento principale utilizzato sia a livello consumer che enterprise per nuove truffe e attività fraudolente".

Sul fronte delle vulnerabilità, invece, Agnello propone un esempio che chiarisce il problema connesso ad agent AI e chatbot basati su modelli forniti da provider come AWS e Google Cloud. "Se uno di questi modelli avesse una vulnerabilità, questa potrebbe essere sfruttata per accedere alle informazioni aziendali", ha avvertito Agnello, che prosegue: "questi agent hanno accesso a enormi quantità di dati e potrebbero essere utilizzati dagli attaccanti per estrarre informazioni sensibili, con tattiche spesso invisibili alle tecniche tradizionali di detection".

Per questo motivo è corretto affermare che il ricorso all’intelligenza artificiale ha ampliato la superficie d’attacco. A tale proposito Agnello sottolinea che si può fare un parallelo "con quanto avvenuto anni fa con il cloud, quando molte aziende ne hanno accelerato l’adozione senza considerare adeguatamente la sicurezza, creando di conseguenza nuovi problemi. Sta accadendo lo stesso con l’AI, con le aziende che cercano di ridurre i costi e aumentare i profitti, senza valutare appieno i rischi".

La soluzione passa per l’investimento in tecnologie di sicurezza che siano “in grado di analizzare l’intera kill chain e prevedere i vettori di attacco più esposti", che è quello a cui sta lavorando Trend Micro, con l’obiettivo di sfruttare l’AI per anticipare i movimenti degli attaccanti.

L’andamento delle minacce cyber globali

Balduzzi ha snocciolato pochi dati che hanno riassunto in un colpo d’occhio la situazione globale: il costo del cybercrime ha registrato un aumento esponenziale, dato che il giro d’affari "nel 2015 era all’incirca di 3mila miliardi di dollari, quest'anno si stima che supererà i 10mila miliardi di dollari a livello globale, con un aumento anno dopo anno del 15%". Un fenomeno in crescita anche nel settore del crypto crime, in cui si è passati da 46 miliardi nel 2023 a 51 miliardi nel 2024.

Marco Balduzzi, Presidente No Hat e Senior Threat Researcher Trend MicroTra le principali minacce evidenziate ci sono i ransomware, il traffico nel dark web e gli attacchi alla finanza decentralizzata. In relazione a quest’ultimo settore, sottolinea Balduzzi, gli attacchi verso i portafogli di bitcoin hanno fruttato oltre 8 miliardi, il che dà una chiara indicazione di come la criminalità sia cresciuta e degli importi che ci sono in ballo.

Il fenomeno ransomware ha subìto un'evoluzione significativa: "solamente l'anno scorso, in un semestre, i gruppi criminali hanno intascato circa 260 milioni di dollari. La cosa interessante è che si è passati da una media di pagamento di riscatto di circa 200 mila dollari a un milione e mezzo di dollari" spiega Balduzzi. Alla base di questo salto in avanti c’è un cambio di strategia. Gli attacchi, un tempo indiscriminati, oggi sono sempre più mirati e colpiscono grandi organizzazioni con dati sensibili, con una catena di attacco ben nota: viene preso controllo della rete, viene fatto un movimento laterale verso server che contengono informazioni chiave e che spesso risiedono in cloud, vengono esfiltrati terabyte di dati (in media dai 10 ai 100 terabyte), poi viene chiesto un riscatto molto elevato.

Balduzzi ha sottolineato che Trend Micro ha contribuito attivamente alla lotta contro il ransomware, lavorando di concerto con le Forze dell'Ordine. Un esempio è l’Operazione Kronos che ha portato al takedown di Lockbit, permettendo di recuperare 2.200 portafogli bitcoin, per un valore di circa 110 milioni di dollari, e di ottenere un migliaio di chiavi di decryption così da consentire migliaia di vittime di non dover pagare alcunché per tornare in possesso dei propri dati".

Il secondo tema caro a Balduzzi è la trasformazione del dark web: l’esperto spiega che "nel 2015 il 65% delle merci vendute nel dark web riguardava stupefacenti; nel 2024 oltre il 50% di quello che viene venduto sugli stessi canali riguarda servizi di criminalità". È quanto accaduto a seguito della nascita di veri e propri servizi cybercriminali, in cui chi vuole delinquere paga e in cambio ottiene un servizio che si occupa di tutti gli aspetti tecnici. Inoltre, i criminali si stanno spostando da marketplace in cui era abbastanza facile infiltrare le Forze dell'Ordine a canali tipo Telegram e Signal.

Il focus sull’Italia

Alla conferenza stampa è intervenuto anche Gianluca Galasso, Direttore del Servizio Operazioni/CSIRT Italia dell'Agenzia per la Cybersicurezza Nazionale (ACN), che ha offerto una panoramica della situazione italiana in materia di cybersecurity, sottolineando la vulnerabilità del Paese e gli sforzi in corso per contrastare le minacce informatiche.

Gianluca Galasso, Direttore del Servizio Operazioni/ CSIRT Italia, Agenzia per la Cybersicurezza Nazionale (ACN)"L'Italia è un paese del G7 altamente industrializzato, con uno dei più alti PIL al mondo, ma anche molto meno digitalizzato di quanto potrebbe essere", ha affermato Galasso, evidenziando una digitalizzazione "vetusta" e "scorretta", con ritardi significativi nella pubblica amministrazione e un accesso ancora parziale alla digitalizzazione da parte delle piccole e medie imprese. Inoltre, ha sottolineato come il nostro Paese sia "geopoliticamente esposto" e coinvolto in dinamiche internazionali che lo rendono bersaglio di attacchi, specialmente a seguito del supporto all'Ucraina nel conflitto con la Russia. Pertanto, "l'Italia è un paese assolutamente esposto a rischi di natura cibernetica".

Sul fronte dei dati relativi al 2024, Galasso ha sottolineato un aumento degli incidenti di sicurezza: "abbiamo gestito in Agenzia quasi duemila eventi, il 42% in più rispetto all'anno precedente. Di questi, 584 sono stati oggetto di intervento diretto, quasi il doppio rispetto al 2023." Anche il numero delle vittime è cresciuto in modo significativo: "andando a considerare le singole vittime rispetto a eventi e incidenti, il numero è salito del 124%". Gli attacchi DDoS sono aumentati del 64%, mentre il ransomware ha registrato un incremento del 21%.

Di fronte a queste minacce, Galasso ha ribadito che "la risposta alle minacce cibernetiche non può essere lasciata ai singoli, ci deve essere una risposta di sistema". In questo contesto si inserisce il ruolo dell'Agenzia per la Cybersicurezza Nazionale, istituita nel 2021 e in costante crescita: "il primo settembre 2021 c'era una persona, a fine 2021 c'erano 30 persone, oggi siamo quasi 300 e stiamo continuando a crescere".

Tra le iniziative più significative, Galasso ha menzionato la legge 28 giugno 2024 n. 90 sul rafforzamento della protezione cibernetica del Paese e il recepimento della direttiva europea NIS2: "dal punto di vista della regolamentazione è stato fatto tanto, perché è necessario creare le condizioni affinché la minaccia venga posta alla dovuta attenzione da parte delle pubbliche amministrazioni e degli operatori privati".

Guardando ai risultati ottenuti, Galasso ha citato il Global Cybersecurity Index 2024 dell'ITU, in cui "l'Italia è posizionata nel gruppo dei 46 Paesi più virtuosi al mondo nel 2024. Negli anni precedenti non era così, e questo è un indicatore importante." Galasso ha anche anticipato che l'Italia ha ottenuto buoni risultati nel Cyber Index europeo dell'ENISA, i cui dettagli saranno resi pubblici nei prossimi mesi.

Quanto alla NIS2, sarà un anno “complesso sia per noi come Agenzia - per gestire questi aspetti normativi e operativi - sia per tutti gli operatori assoggettati, ai quali verranno richieste nuove attività". Tra le iniziative future, Galasso ha citato lo sviluppo di strumenti basati sull'intelligenza artificiale, pur chiarendo che "l'Agenzia non è il SOC del Paese, non lavoriamo come un operatore. Per noi l'intelligenza artificiale serve per mettere a sistema grandi quantità di dati, non per fare detection".

Infine, l’esperto ha affrontato due temi chiave: ransomware e intelligenza artificiale. Sul ransomware ha riconosciuto che, nonostante le operazioni di smantellamento di alcuni gruppi "il numero totale di pagamenti di ransomware non è diminuito", rimarcando la necessità di "attrezzarsi per difendersi e cercare di non diventare vittima".

Riprendendo quanto detto da Balduzzi e le previsioni di Agnello, Galasso ha inoltre ribadito il rischio che l’AI possa abbassare la barriera d’ingresso per i cybercriminali, permettendo "a chiunque, anche senza competenze, di creare malware su misura” anche se, nonostante “un forte hype sull’uso dell’IA da parte dei criminali, non c’è ancora evidenza di codice malevolo generato in modo completamente automatico".

Ansaldo Energia e Aruba: sicurezza OT e delle supply chain

Al Security Bootcamp ha preso la parola anche Ivan Monti, CISO di Ansaldo Energia, che ha portato la testimonianza di una grande industria italiana impegnata sia nella protezione dei propri sistemi sia nel garantire la sicurezza delle soluzioni offerte ai clienti. Monti ha subito messo l’accento sul ruolo della security: "non esiste una gara, non esiste un contatto con nessun cliente in cui non ci vengano fatte domande sulla cybersecurity e su come affrontiamo le relative tematiche".

Ivan Monti, CISO di Ansaldo EnergiaFra i molti temi toccato da Monti alcuni sono di grande importanza, a partire dalla centralità della sicurezza OT e dell’uso dell’AI per la sua difesa. "Noi vediamo nell'intelligenza artificiale uno strumento che ci aiuta in ambito OT ad evitare, ad esempio, i falsi positivi – ha spiegato il CISO di Ansaldo. Grazie all'intelligenza artificiale e alla sua capacità di analizzare grandi flussi di dati, stiamo cercando di ridurre al minimo gli imprevisti e di evitare di dover spegnere un impianto o una sua parte”.

Affrontando il tema della supply chain, Monti ha poi evidenziato quanto sia complesso garantire la sicurezza in un ecosistema che coinvolge molte piccole e medie imprese. "L'industria italiana si appoggia quasi totalmente sulla piccola e media impresa. Dobbiamo garantire ai nostri clienti che tutta la nostra catena di fornitura soddisfi le normative e verificare la loro attenzione alle tematiche di cyber security – racconta Monti - Tuttavia, la realtà delle PMI mostra ancora significative carenze" che sono da colmare con un lavoro di concerto di tutti gli attori in scena perché questo compito non può essere preso in carica esclusivamente dai grandi player come Ansaldo.

Sempre in relazione alla supply chain, Monti invita a una ulteriore riflessione: "qualora un attaccante dovesse modificare il disegno progettuale di un bullone fornito da uno dei nostri fornitori, o modificare informazioni sulla qualità del materiale impiegato, quando andiamo a consegnare una nostra turbina elettrica in una centrale, domani potrebbe verificarsi un problema", questo per comprendere che “oggi tutto c'entra con la cyber security, perché tutto può portare a danni in campo".

David Neumarker, CISO di Aruba S.p.A

Il tema è stato trattato anche da David Neumarker, CISO di Aruba S.p.A.,che ha evidenziato come "le aziende devono perseguire i propri obiettivi di business, non possono avere ricercatori o iper-specialisti di sicurezza. In questo frangente entra in gioco il fornitore, che grazie all’economia di scala può accedere alle tecnologie più avanzate e creare competence center per gestirle al meglio". Neumarker ha inoltre sottolineato l'importanza della collaborazione: "il fornitore può essere parte di un network di information sharing, capitalizzando le informazioni sulle minacce e mettendole a disposizione dei clienti. Questo modello porta benefici sia alle imprese che alle autorità".

Infine, Neumarker ha evidenziato come le normative (per esempio la NIS2), rafforzino il ruolo dei fornitori nella sicurezza delle PMI: "noi ci consideriamo un abilitatore, aiutiamo i nostri clienti a raggiungere gli obiettivi della normativa". L'approccio di Aruba alla sicurezza si basa infatti su una presenza IT multidimensionale: "dalla presenza online con domini e posta elettronica, alla capacità elaborativa con server e cloud, fino ai servizi trust, un settore in cui l'Italia eccelle, con primati nella PEC e nella fatturazione elettronica".

Infine, sul discorso ransomware, Monti pone l'accento su alcuni rischi spesso sottovalutati. Come tutti anche Ansaldo ha il timore di subire un attacco ransomware, che può avere un costo molto elevato per via del blocco della produzione. Ma un danno ben maggiore è quello che causerebbe un threat actor in casa, persistente e silente, esfiltrando informazioni relative all’immenso patrimonio di brevetti dell’azienda.

Vulnerabilità e cloud europeo

Il CISO Aruba David Neumarker ha esposto un approccio che consiste nell’applicare le nuove tecnologie, e l’AI in particolare, alle tre dimensioni chiave della sicurezza: persone, processi e tecnologie. Tratteremo più avanti l’aspetto delle persone e ci concentriamo sugli altri due. In relazione ai processi, Neumarker ha ribadito la necessità di rigore: "gli incidenti e le vulnerabilità sono ancora una delle principali cause degli attacchi. Dobbiamo reagire con processi più rigorosi, come la conoscenza dettagliata degli asset aziendali, specialmente quando sono nel cloud, e con configurazioni security by default estremamente rigorose". L’esperto ha parimenti evidenziato l'importanza del vulnerability management, che consiste in "testing pervasivo, patching continuo e, nei casi in cui non sia possibile aggiornare un sistema, l’adozione di soluzioni compensative come il virtual patching".

Sul piano tecnologico, Aruba punta su un modello di cloud europeo e il CISO ha sottolineato il concetto di sovranità digitale su tre livelli: "i nostri data center sono in Italia, le operazioni sono gestite localmente e puntiamo a un pieno controllo tecnologico attraverso lo sviluppo interno e l'uso dell'open source".

L’anello debole della catena

Tutti gli esperti intervenuti concordano sul fatto che le vulnerabilità spesso derivano dal fattore umano. Balduzzi ha sottolineato che "spesso il punto più debole della catena è l'essere umano e tutte le tecniche di AI che gli attaccanti stanno implementando vanno in quella direzione". Per questo motivo l’esperto reputa che l’ampia diffusione dell’AI causerà non pochi problemi per la protezione dell'end user.

È dello stesso avviso Ivan Monti di Ansaldo Energia, che nei suoi interventi ha sottolineato che, parte enterprise, “la maggior parte degli incidenti che avvengono nelle aziende si verificano perché l'utente, consapevolmente o meno, ha commesso un errore o perché ha compiuto un'azione che non doveva compiere, oppure perché c'era una vulnerabilità nei sistemi dell'azienda." Per questo motivo l’esperto reputa che la formazione e le campagne di awareness siano una delle prime difese per mitigare i rischi.

Anche David Neumarker ha dato grande importanza all'inganno reso possibile dall'AI, che rappresenta una sfida crescente: "solo il 57% delle persone è in grado di distinguere un'immagine reale da una falsa, il che significa che la capacità di inganno oggi per un attaccante è decisamente alta". La situazione impone un ripensamento delle strategie di awareness: "anche se i dipendenti sono formati e riconoscono il phishing iniziale, possono comunque cadere in trappola nel momento in cui ricevono messaggi coerenti su canali diversi, come WhatsApp". Per questo Aruba ha sviluppato un'academy interna con programmi di formazione che mirano a rafforzare la consapevolezza sulle insidie dell'intelligenza artificiale. "Insegniamo un trucco di diffidenza operativa: nel dubbio, chiedere qualcosa che non c'entra nulla con il business, come il titolo di un film discusso in precedenza, per verificare l'identità dell'interlocutore" ha rivelato Neumarker.

Amplia il discorso Alessio Agnello, secondo cui assisteremo ad attacchi sempre più sofisticati perché "l’intelligenza artificiale può accelerare il numero di attacchi attraverso l’uso di modelli di linguaggio avanzati che saranno cuciti addosso a specifici utenti e che possono simulare stile di scrittura e informazioni di un individuo al fine di rendere più credibili attacchi di business email compromise a livello enterprise". Fuori dalle aziende la situazione non si prefigura tanto migliore, perché “a livello consumer - ha evidenziato Agnello - si è già osservata la creazione di kit di phishing mirati, sviluppati per colpire aumentare l’efficacia delle campagne di phishing e per individuare e selezionare le vittime vulnerabili”.

È una sorta di versione evoluta della vecchia pesca a strascico, in cui l’AI manda messaggi di phishing alle potenziali vittime, per poi passare il controllo agli attaccanti umani che, sfruttando modelli LLM e informazioni disponibili online, acquisiscono la fiducia dalla vittima con l’unico scopo di portarla al profitto.

Un po’ di ottimismo

Nonostante le difficoltà, Balduzzi ha espresso ottimismo per i progressi compiuti in Italia. Alla luce delle testimonianze degli altri relatori ha espresso soddisfazione per " lo sviluppo che c'è stato in Italia dal punto di vista dell'awareness. Ci sono ancora dei passi da compiere e delle sfide che ci attendono, ma sicuramente adesso c'è un framework, c'è una struttura per poter discutere certi argomenti". Inoltre, è cambiata la percezione stessa del settore della cybersecurity: finalmente anche in Italia sono stati fatti grossi passi avanti grazie a vendor, partner, forze dell'ordine, pubblica amministrazione.

Esprime ottimismo anche Neumarker: "gli incidenti cyber aumentano, ma guardiamo il lato positivo: è la conferma che le imprese si stanno digitalizzando, e questo è già un aspetto positivo. Spetta a noi far sì che il digitale sia sicuro".