Il ransomware continua a essere un flagello per le aziende di tutto il mondo: secondo uno studio di Barracuda Networks, gli attacchi sono cresciuti del 64% nel 2021, colpendo pesantemente le amministrazioni comunali, la sanità, l’istruzione e altri settori. Questi attacchi possono paralizzare le normali attività, seminare il panico e produrre danni finanziari a causa di downtime, pagamenti dei riscatti e costi di ripristino. Tutte spese non incluse nel budget e non prevedibili, che possono mettere in ginocchio anche le grandi aziende.
Il ransomware diventa sempre più distruttivo e diffuso, ma i progressi ottenuti nel campo del machine learning (ML) e dell’intelligenza artificiale (AI) potrebbero essere la chiave per una difesa più efficace.
La protezione dal ransomware inizia dall’email
È vero che gli attacchi ransomware possono essere trasmessi con qualsiasi vettore d’attacco o quasi, tuttavia, la maggior parte di essi viene distribuita tramite email. Ed è comprensibile, perché la posta elettronica è il metodo di comunicazione più usato per connettere le aziende a entità esterne, come clienti e partner. Inoltre, gli utenti sono tipicamente l’anello più debole nella catena di sicurezza di un’azienda. Se sommiamo questi due fatti, è facile capire perché l’email rappresenti per gli autori delle minacce una backdoor allettante, con cui ottenere l’accesso iniziale e il controllo su una rete aziendale. Un solo click di un singolo utente può bastare per compromettere la rete e permettere un attacco ransomware devastante.
AI e machine learning sono una soluzione affascinante
Quando ormai il danno è fatto, esistono molti strumenti di sicurezza che possono aiutare a riportare l’ordine. Ma considerando i rischi finanziari e reputazionali causati dal ransomware, le aziende hanno bisogno di una soluzione capace di fermare gli attacchi prima che accadano. Fortunatamente, le soluzioni alimentate da AI/ML possono identificare e intercettare diverse forme di attacco prima che il ransomware raggiunga l’utente finale. Queste soluzioni identificano i messaggi di posta basati su domini fraudolenti o i tentativi di comunicazione anomali, che cercano di “imitare” un mittente legittimo (il cosiddetto spoofing). Una volta identificato, il messaggio viene spostato nella cartella di quarantena per ulteriori analisi. Le soluzioni di prevenzione del ransomware, però, non sono tutte uguali.
Tre sono gli aspetti che i team di sicurezza dovrebbero ricercare in una soluzione di protezione dell’email basata su AI/ML:
- Integrazione API nell’email provider
Comprensibilmente, gli email provider si focalizzano sulla posta elettronica, che è il loro core business, e non sulla sicurezza. Tenere il passo con le più recenti minacce cyber, con le tecniche del framework MITRE ATT@CK e con le ultime tendenze ransomware porta via tempo e denaro. Per questo è necessario poter contare su una soluzione di sicurezza email di terze parti, creata e manutenuta da sviluppatori che si dedicano totalmente alla protezione delle aziende. Una perfetta integrazione API tra l’email provider e la soluzione di sicurezza della posta elettronica garantisce visibilità sui messaggi interni, esterni e archiviati di ogni singolo utente aziendale. Si tratta di dati critici, che l’intelligenza artificiale può usare per apprendere i pattern di comunicazione tipici interni all’azienda, quelli tra i dipendenti e verso entità (conosciute o sconosciute) esterne all’organizzazione.
- Identificazione “intelligente” dei tentativi di impersonificazione
Per garantire una protezione completa, la soluzione deve saper identificare le persone che non sono chi dicono di essere. Una soluzione basata su AI/ML deve poter usare i metadati di messaggi email interni, esterni e storici per creare un grafico di identità per ciascun utilizzo. Questi pattern sono composti da tutti gli indirizzi email, i tipi di documento, i nomi usati, le analisi sul linguaggio naturale (Natural Language Processing, NLP) e altre caratteristiche che definiscono le modalità di comunicazione di un individuo. Una volta appresi, i pattern consentono alle soluzioni di identificare anomalie relative al comportamento, ai contenuti e ai link-forwarding.
- Remediation in tempo reale prima che l’utente interagisca
Con i ransomware, la rapidità è cruciale. Una soluzione di email security deve identificare e mettere in quarantena le minacce prima che sia troppo tardi. Le tecnologie di AI/ML permettono di agire più velocemente degli esseri umani, rimuovendo le minacce dalla posta in arrivo prima che l’utente possa interagire con il messaggio. La remediation dovrebbe essere applicata in tempo reale inviando alert di notifica sia agli utenti sia agli amministratori IT.
Il ransomware sta diventando sempre più sofisticato, più diffuso e meno costoso per chi attacca, mentre i pagamenti richiesti continuano a lievitare. Per fermare queste minacce serve una sicurezza email proattiva, preventiva e alimentata da AI/ML. Perfettamente integrate con il fornitore di posta elettronica, queste soluzioni identificano in automatico i tentativi di impersonificazione tramite analytics comportamentali in tempo reale e rimuovono anche i tentativi di attacco ransomware più sofisticati e sfuggenti prima che utenti ignari possano interagire con i messaggi email. L’automazione alimentata da AI/ML può prevenire questi attacchi su vasta scala, prima che ottengano l’accesso iniziale e il controllo sui sistemi aziendali più critici.