Data: 22/04/2023 11:00:00 - Autore: Marco R. Marzaduri

L'AI può fare un rilevamento precoce del Ransomware

[Torna su]
L'intelligenza artificiale (AI) sta emergendo come strumento efficace per combattere le minacce informatiche come il ransomware. Con la crescente dipendenza delle aziende dalla tecnologia digitale, la minaccia di attacchi informatici e malware è cresciuta in modo esponenziale. Sebbene le misure di sicurezza tradizionali, come i firewall e il software antivirus, possano aiutare a proteggere dal codice maligno, questi metodi non sono sempre sufficienti a mantenere un'azienda al sicuro dagli attacchi

Le aziende non dovrebbero più rimandare l'integrazione dell'intelligenza artificiale nelle loro strategie di sicurezza. L'AI può utilizzare strumenti di analisi e di rilevamento per contribuire all'eliminazione delle minacce informatiche. Mentre l'occhio umano non può vedere tutto contemporaneamente, il Machine Learning, che è una componente dell'AI, può rilevare attività sospette e rispondere in tempo reale. È buona strategia Impostare le difese di intelligenza artificiale prima che gli attacchi distruttivi diventino più comuni

A differenza delle soluzioni di sicurezza tradizionali, che si basano esclusivamente su algoritmi di rilevamento basati su regole per identificare i comportamenti sospetti, l'AI utilizza tecniche di apprendimento automatico (Machine Learning) per modellare modelli di comportamento sia buoni che cattivi, al fine di rilevare le potenziali minacce in modo più accurato che mai. Sfruttando la sua capacità di riconoscere le sottili differenze tra le attività normali e quelle associate a codice maligno o ad aggressori che cercano di ottenere un accesso non autorizzato ai sistemi, l'AI può essere utilizzata da aziende di tutte le dimensioni, dalle piccole startup fino alle grandi imprese, per aumentare le difese contro gli attacchi sofisticati senza sacrificare le prestazioni o l'usabilità.

Microsoft ha rivelato come le tecnologie di intelligenza artificiale vengono utilizzate per combattere il ransomware.

I miglioramenti dell'intelligenza artificiale di Microsoft per Microsoft Defender for Endpoint mirano a interrompere le prime fasi di un attacco ransomware. Gli algoritmi di apprendimento automatico (ML) vengono sviluppati in quella che l'azienda chiama "incriminazione precoce" per determinare "l'intento malevolo" in file, processi, account utente e dispositivi.

A tal fine, le difese ML devono analizzare i modelli e i comportamenti nei contesti degli aggressori, nonché gli eventi correlati sui dispositivi di destinazione o sulle reti aziendali.

"Grazie alle sue capacità di rilevamento potenziate basate sull'intelligenza artificiale, Defender for Endpoint è riuscito a rilevare e incriminare un attacco ransomware già nella fase di crittografia, quando gli aggressori avevano crittografato i file su meno del quattro per cento (4%) dei dispositivi dell'organizzazione, dimostrando una migliore capacità di interrompere un attacco e di proteggere i restanti dispositivi dell'organizzazione", ha dichiarato Microsoft.

Secondo Microsoft, le protezioni AI sono destinate ad attivarsi nelle prime fasi di un'epidemia di ransomware, quando il malware inizia a criptare i dispositivi. Queste protezioni saranno rafforzate ed estese nel tempo per "incriminare e isolare gli account utente e i dispositivi compromessi al fine di limitare ulteriormente i danni degli attacchi".

L'AI può rispondere rapidamente ad un attacco

[Torna su]

Molti pensano che per bloccare il ransomware sia necessario bloccare il processo di crittografia, ma la maggior parte delle persone dimentica che un attacco ransomware è innanzitutto un'intrusione nella rete. Prima del processo di crittografia, avvengono molte cose: Ci deve essere una intrusione nella rete. L' "intruso" deve riuscire ad accedere al controller di dominio per distribuire il ransomware e deve raggiungere il segmento di rete appropriato. Se l'attacco è a più fasi, ci sono altri passaggi, come l'esfiltrazione dei dati su server esterni degli attaccanti.

Molti di questi attacchi si svolgono nell'arco di alcuni giorni, come i fine settimana, i giorni festivi o dopo l'orario di lavoro, per ridurre i tempi di risposta dei team umani. Secondo gli esperti, l'attacco può iniziare il venerdì sera e i dati vengono crittografati entro la domenica.

L'intelligenza artificiale dispone ora di un contesto più ampio per riconoscere quando la crittografia non è un processo normale. Anche se l'intelligenza artificiale non ha rilevato l'attacco in precedenza, può interrompere la crittografia terminando il processo di sistema e bloccando le connessioni di rete. I file locali possono essere crittografati, ma poiché le connessioni di rete sono bloccate, le condivisioni di rete non lo sono.

L'intelligenza artificiale rileva gli attacchi in aree che l'uomo potrebbe non cogliere a causa della mole di informazioni da tenere sotto controllo, e può rispondere più rapidamente dell'uomo. La difesa da un attacco ransomware non è solo un problema di tecnologia. È un problema di scala. E non è un problema a misura d'uomo, la massa di dati da tenere sotto controllo è enorme e quasi impossibile per qualsiasi team di sicurezza. La risposta è rimanere aggiornati ed implementare le misure di sicurezza di tecnologia avanzata.

La precauzione di fare regolari backup

Sebbene un buon backup non sia più sufficiente come strategia difensiva contro un attacco ransomware, è ancora fondamentale per il processo di recupero del ransomware.

Una strategia di backup del ransomware è importante perché garantisce alle organizzazioni un modo affidabile per ripristinare i dati in caso di attacco ransomware. Gli attacchi ransomware possono essere estremamente costosi e non c'è alcuna garanzia che gli aggressori forniscano effettivamente la chiave di decrittazione anche se viene pagato il riscatto.

Una buona strategia di backup garantisce alle aziende un ripristino rapido ed efficiente dei dati senza dover pagare un riscatto o affrontare le conseguenze della perdita dei dati. Inoltre, una solida strategia di backup può aiutare a proteggersi da altre minacce informatiche, come le violazioni dei dati e gli attori malintenzionati.


Tutte le notizie