Fortinet: l'IA e la condivisione di informazioni indispensabili nella cybersecurity odierna

Il mondo non è più sicuro come una volta. No, non è un'esagerazione: è una constatazione dell'evoluzione del mondo della sicurezza informatica per le aziende. Bisogna essere chiari ed espliciti: non si può più pensare di non utilizzare soluzioni di sicurezza mirate, aggiornate e in grado di competere ad armi pari con gli attacchi sempre più sofisticati dei vari agenti malevoli. E l'intervento umano non basta più. Quest'ultimo passaggio è quanto conferma Fortinet in un lungo comunicato in cui spiega la situazione attuale nel mondo della cybersicurezza. Facciamo il punto.

Fortinet: attacchi sempre più sofisticati richiedono la threat intelligence

Prendiamo un caso d'esempio classico: un'azienda in cui sono presenti soluzioni di sicurezza che si affidano ad aggiornamenti esterni per avere continuamente informazioni sulle nuove minacce e aggiornamenti agli algoritmi di rilevamento e risposta agli attacchi. Senza questi aggiornamenti continui, l'utilità delle soluzioni di sicurezza diminuisce fino a sparire in breve tempo, perché gli attaccanti sviluppano continuamente nuove metodologie di attacco sempre più sofisticate.

Pur con queste soluzioni aggiornate e metodologie avanzate, però, il tempo medio di esistenza di una falla nella rete prima della sua scoperta è di 266 giorni, con 197 giorni necessari a identificare un furto di dati e ulteriori 69 giorni per "tappare il buco". Questa è la fotografia del Ponemon Institute nel Cost of Data Breach Report del 2018. In altri termini, sono necessari più di sei mesi per individuare una falla. Sei mesi in cui può succedere qualunque cosa. Perché?

Perché gli attacchi sono giunti a un livello di sofisticazione tale per cui vengono disattivate le misure di sicurezza, il traffico malevolo viene "travestito" da traffico lecito e il software aziendale viene compromesso. Per quanto siano presenti log e informazioni di vario tipo, sempre più spesso individuare una minaccia significa leggere tra le righe e collegare piccole informazioni provenienti da fonti diverse. Una persona può facilmente non cogliere queste informazioni e non individuare pertanto un attacco in corso o una falla aperta.

La protezione passa per la condivisione delle informazioni

Come proteggersi dunque? La risposta non è univoca. Da un lato c'è un problema di approccio, dall'altro un problema tecnico. L'approccio deve cambiare più in generale nel mondo della sicurezza perché vengano condivise le informazioni in maniera più tempestiva, puntuale e diffusa: le informazioni che non vengono condivise non hanno utilità, anche perché i ricercatori di sicurezza devono avere accesso a tutte le informazioni possibili per poter sviluppare soluzioni efficaci. Affidarsi a più fonti di threat intelligence è fondamentale perché in questo modo si ottengono le ultime informazioni a disposizione sugli attacchi ed è possibile correlarle e ottenere una maggiore accuratezza.

Non è solo questione di approccio a livello globale: che senso ha raccogliere dati sui vari dispositivi di sicurezza (fisici e virtuali) se poi questi stessi dispositivi non condividono tra loro le informazioni? Perché gli esperti di sicurezza nelle aziende devono correlare a mano i dati quando è possibile utilizzare le macchine, più efficienti e rapide?

Il problema tecnico è collegato al precedente: come correlare le informazioni? La risposta è che l'intelligenza artificiale è l'unico strumento che può garantire il rilevamento dei segnali che rivelano che è presente una falla o è in corso un attacco. Ma non solo: utilizzando l'intelligenza artificiale è possibile agire proattivamente, anticipando gli attaccanti e precludendo loro possibili vie d'attacco. Per rispondere agli attacchi alla stessa velocità con cui avvengono è necessario non solo raccogliere e analizzare i dati localmente, ma prendere anche decisioni basandosi su tali dati e condividerli con un sistema centralizzato che possa fare ulteriori elaborazioni.

La sicurezza come tema centrale e parte della rete stessa

Fortinet ha fondato la Cyber Threat Alliance proprio per far sì che sia possibile condividere informazioni tra le varie realtà e agire tempestivamente. E l'uso di informazioni condivise fa sì che le scoperte di un'azienda possano proteggere le altre, in un circolo virtuoso che permette di ridurre l'efficacia degli attacchi e rendere più difficile la vita degli agenti malevoli - siano essi cybercriminali od organizzazioni collegate agli Stati.

Queste considerazioni non valgono soltanto per il mondo delle grandi aziende, dove è possibile mantenere squadre di esperti che si occupano specificamente di queste tematiche, ma anche per le aziende medie e piccole che devono fare affidamento su prodotti e servizi di terzi. Quanto afferma Fortinet è un invito generale a tutto il mondo della sicurezza, sia esso composto da personale di grosse aziende, da ricercatori di sicurezza o da produttori di software e dispositivi di sicurezza.

Fortinet afferma che le reti dovranno necessariamente assorbire l'aspetto della sicurezza al loro interno per diventare un tutt'uno. Un approccio orientato alla sicurezza diventerà essenziale e parte della rete stessa. Si comincia già ora a costruire questa nuova generazione di reti con un apparato di sicurezza interconnesso e progettato per funzionare come un unica entità, al posto che come tante singole parti. Tanto le aziende quanto i produttori di dispositivi di sicurezza devono, però, rendersi conto che è il momento di accettare questo cambiamento e farlo proprio per poter continuare a operare nel mondo odierno.

Il comunicato completo è disponibile sul sito di Fortinet.