Post di Elia Zaitsev, CTO, CrowdStrike – 

È un momento molto critico per la sicurezza del cloud, il più critico finora. Mentre le aziende si concentrano sulla gestione di team che lavorano da remoto e in modalità ibrida in uno scenario economico globale incerto, gli attacchi sono diventati più sofisticati, implacabili e dannosi. Secondo il Global Threat Report 2023 di CrowdStrike, gli attacchi al cloud sono aumentati del 95%, e il numero di attori delle minacce in cloud è aumentato di oltre 3 volte nell’ultimo anno. Allo stesso tempo, la crescita del cloud computing, il ritmo di DevOps e l’aumento dell’uso di piattaforme di sviluppo senza – o a basso – codice hanno portato a un’esplosione di applicazioni e microservizi implementati in ambienti cloud.

La velocità e la natura dinamica di queste applicazioni rendono impossibile per le aziende avere a disposizione un quadro completo di tutte le applicazioni, i microservizi, i database e le dipendenze associate in esecuzione nei loro network. Questo crea un enorme profilo di rischio che gli avversari esperti di cloud cercano continuamente di sfruttare. Nel 2024, per vincere questa battaglia, le aziende dovranno concentrarsi sulla protezione dell’intero patrimonio cloud, sia dal punto di vista delle applicazioni che delle infrastrutture.

Le falle dell’IA aprono la porta a nuovi rischi aziendali

Nel 2024, CrowdStrike prevede che gli avversari informatici sposteranno la loro attenzione sui sistemi di IA come nuovo vettore di minaccia per colpire le aziende, attraverso vulnerabilità nelle implementazioni di IA autorizzate e falle provenienti dall’uso non autorizzato degli strumenti di IA da parte dei dipendenti.

Dopo un anno di enorme crescita dei casi d’uso e di adozione dell’IA, i team di sicurezza sono ancora nelle fasi iniziali di comprensione dei modelli di minacce nell’ambito delle implementazioni di IA e del monitoraggio degli strumenti di IA non autorizzati introdotti dai dipendenti. Queste falle, assieme alle nuove tecnologie, aprono la porta ad utenti malintenzionati, desiderosi di infiltrarsi nelle reti aziendali o di accedere a dati sensibili.

Analizzando in modo critico, finché i dipendenti utilizzeranno gli strumenti di IA senza la supervisione del team di sicurezza, le aziende saranno costrette ad affrontare nuovi rischi per la protezione dei dati. I dati aziendali inseriti negli strumenti di IA non solo sono soggetti al pericolo che attori del crimine informatico sfruttino le vulnerabilità di questi strumenti per estrarre dati, ma rischiano anche di essere divulgati o condivisi con soggetti non autorizzati come parte del protocollo di training del sistema.

Che anno sarà il 2024 per il cloud e per le aziende

Il 2024 sarà l’anno in cui le aziende dovranno guardare al loro interno per capire dove l’IA è già stata introdotta (attraverso canali ufficiali e non), valutare il loro stato di sicurezza, ed essere strategici nella creazione di linee guida per garantire un utilizzo sicuro e verificabile che minimizzi il rischio e la spesa aziendale, massimizzandone il valore.

Sebbene molti ritengano che l’IA sarà uno dei principali trend di investimento aziendale dei prossimi anni, un recente studio ha rilevato che il 47% dei professionisti della cybersecurity ammette di avere una conoscenza tecnica minima o nulla dell’IA. Inoltre, l’IA presenta una serie di nuove sfide per la sicurezza, in quanto i sistemi di IA richiedono l’accesso a grandi insiemi di dati spesso archiviati nel cloud. La protezione di questi dati e la garanzia che i modelli IA in esecuzione nel cloud non vengano sfruttati per scopi dannosi, saranno una preoccupazione crescente nel 2024. Una piattaforma CNAPP (Cloud Native Application Protection Platform) completa sarà quindi più importante che mai per respingere gli aggressori.

Il Security information and event management scomparirà

I SIEM (Security information and event management) tradizionali hanno fallito nel SOC (Security operations center, l’unità organizzativa che ha il compito di supervisionare e gestire la sicurezza dei sistemi informativi, ndr). Sono lenti e costosi e sono stati progettati per un’epoca in cui i volumi di dati, la velocità e il livello di sofisticazione degli avversari non erano neppure minimamente come quelli attuali. I team sono stati obbligati a dedicare più tempo e risorse alla configurazione, alla manutenzione e al tentativo di estrarre informazioni efficaci sulla sicurezza dai loro SIEM, piuttosto che a bloccare le violazioni.

Con tempi di breakout che si avvicinano ai 7 minuti per gli avversari più veloci, i SIEM tradizionali non sono più all’altezza della sfida. I team IT hanno bisogno di adottare approcci estremamente più veloci, facili da implementare ed economici rispetto a quelli attuali.

Per fermare i moderni avversari nel 2024, il SIEM deve essere ricostruito da zero per il SOC attorno all’esperienza dell’analista di sicurezza. Il mercato imporrà la necessità di soluzioni che unificano tutte le funzionalità, tra cui SIEM, SOAR, EDR e XDR, in un’unica piattaforma cloud-native, alimentata dall’intelligenza artificiale, per offrire risultati migliori, più rapidi e più convenienti.

Il grande problema dei prodotti obsoleti

Nel 2024, le aziende saranno costrette a unificare le operazioni di sicurezza e IT, poiché i malintenzionati aumenteranno gli sforzi per infiltrarsi nelle falle presenti all’interno dei sistemi. Una lacuna critica da affrontare è il continuo utilizzo di prodotti obsoleti a fine vita (EOL) che forniscono un rifugio sicuro agli attori delle minacce. Dopo aver analizzato i prodotti che hanno raggiunto la fine del ciclo di vita tra settembre 2022 e settembre 2023, CrowdStrike ha rilevato un crescente numero di attacchi rivolti a dispositivi gateway, sistemi operativi e applicazioni. CrowdStrike ha inoltre identificato diversi attori che stanno deliberatamente prendendo di mira i prodotti a fine vita, in particolare su Windows, per sfruttare in maniera opportunistica vulnerabilità già note e vecchie di diversi anni, e che stanno attivamente sviluppando nuove tecniche per sfruttare prodotti sui quali non possono essere applicate patch per limitarne le vulnerabilità.

È preoccupante che molti di questi prodotti, come Windows 8.1, MS SQL Server 2012 e Windows Server 2003, rilasciati più di dieci anni fa vengano ancora oggi utilizzati. Poiché gli attori delle minacce prenderanno sempre più di mira queste lacune critiche, nel 2024 sarà più importante che le aziende consolidino le operazioni IT e quelle di sicurezza per mantenere aggiornato l’inventario delle risorse, tenere traccia dell’imminente obsolescenza del software e dei sistemi interessati e aggiornare/mitigare/sostituire la tecnologia quando possibile.

Cloud, il ruolo di CISO e CIO nel 2024

Poiché i CISO (Chief Information Security Officer) e i CIO (Chief Information Officer) sono chiamati a fare di più con meno, nel 2024 assisteremo a un cambiamento a livello di settore man mano che le aziende, anziché utilizzare soluzioni puntuali legacy, ricorreranno a piattaforme che consentono di abbattere i silos operativi e ridurre la complessità e i costi. La crescente collaborazione tra CISO e CIO sta generando la necessità di una piattaforma che possa essere la soluzione ai problemi di entrambi: una piattaforma nativa AI in grado di bloccare le violazioni e fornire un punto di controllo unico ed economico per i CIO.

L’intelligenza artificiale generativa e le elezioni USA

Con l’avvicinarsi delle elezioni presidenziali statunitensi del 2024, è probabile che gli attori delle minacce prendano di mira i sistemi e i processi elettorali nel contesto generale della (dis)informazione. Gli avversari degli Stati-nazione come Russia, Cina e Iran, hanno una storia consolidata di tentativi di condizionare o sovvertire le elezioni a livello internazionale attraverso mezzi informatici e attività di informazione. Questi avversari hanno fatto leva su strategie miste che includono elementi di campagne “hack-and-leak”, l’integrazione di contenuti modificati o falsificati e la diffusione di materiali o temi particolarmente rilevanti.

Visti i recenti progressi dell’IA generativa – che include audio, immagini, video e testo – gli attori delle minacce avranno a disposizione ulteriori strumenti e capacità per creare contenuti dannosi, che potrebbero rendere più difficile per gli elettori distinguere ciò che è reale da ciò che non lo è. Tutte le parti interessante all’interno del governo, compreso il Congresso, il settore dell’IA e la comunità della cybersecurity in generale, dovranno collaborare per monitorare gli sviluppi in questo settore.