La sicurezza del 2024 dovrà contare su un’azione collaborativa fortemente basata sull’IA. Lo dimostra anche il Google Cloud Cybersecurity Forecast 2024, un report frutto di una stretta collaborazione tra numerosi team di sicurezza di Google Cloud, che in passato hanno fornito analisi indipendenti ed oggi presentano un contributo sinergico ed organico. I gruppi di lavoro che hanno collaborato sono tra cui Mandiant Intelligence, Mandiant Consulting, Chronicle Security Operations, Google Cloud’s Office dei Ciso e VirusTotal.
Il report complessivo presenta un’ampia gamma di approfondimenti sul settore della sicurezza informatica, classificabili in aspetti nevralgici. Lì abbiamo raccolti in tre contenitori: aspetti geopolitici, allargamento del perimetro e centri del sistema.
Aspetti geopolitici
Gli esperti Google di intelligence si aspettano che Cina, Russia, Corea del Nord e Iran continuino le loro operazioni di spionaggio e criminalità informatica per raggiungere i propri obiettivi. Tra le occasioni principali troviamo le elezioni del Parlamento europeo, un probabile obiettivo per gli attori delle minacce sia in Russia, sia altrove. Va ricordato che nel 2024 ci saranno molte elezioni, tra le quali le presidenziali Usa, quelle di Taiwan e molte altre, nelle quali disinformazione e manomissioni saranno ampiamente usate sia nella cyberwar tra Stati, sia dalla criminalità più o meno organizzata.
Anche eventi ad ampia presenza di pubblico, come le Olimpiadi estive di Parigi, richiameranno l’attenzione di criminali standard per campagne di phishing legate alla vendita dei biglietti e al merchandising o ad operazioni di disinformazione legate all'evento. D’altro canto l’hacktivismo, il phishing, le attività di manipolazione delle news e la criminalità informatica continueranno a influenzare e a essere influenzati dai conflitti globali in corso e da eventi importanti.
Allargamento del perimetro esterno ed interno
I cyberattacker faranno maggiormente affidamento sulle vulnerabilità zero-day e prenderanno di mira i dispositivi edge e i software di virtualizzazione come modo per eludere il rilevamento. Tra gli attacchi da analizzare, il report non cita esplicitamente il ransomware, che sta comunque avanzando e che vedrà un 2024 molto intenso, nel quale ci attendiamo una nuova ondata di attacchi ibridi di più difficile individuazione.
Si prevede anche un maggiore impiego di tecniche datate in quanto non più seguite con attenzione, né contabilizzate dai moderni sistemi di rilevamento. Grazie a riscritture del codice, queste minacce possono diventare significative. Inoltre gli esperti si aspettano che gli autori di malware sviluppino più software in linguaggi di programmazione di ultima generazione come Go/Golang, Rust e Swift. I nuovi linguaggi sono importanti in quanto permettono tattiche nuove, ancora non metabolizzate dai defender, ancora incapaci di comprendere la minaccia tramite il reverse engineering per poi neutralizzarla.
Cloud e AI al centro dell’attacco
Sempre di più, gli aggressori dipenderanno maggiormente dai servizi cloud per ampliare le proprie operazioni e tenteranno di sfruttare configurazioni errate e vulnerabilità delle identità per spostarsi lateralmente negli ambienti cloud. Vedremo, aggiungiamo noi, se e come verranno attaccati i nuovi servizi Cloud specifici per l’lA in quanto affidati a GPU.
Certamente l’intelligenza artificiale aumenterà la sua presenza per scalare le operazioni sia degli attaccanti, sia dei difensori. Secondo Google, anche le operazioni di phishing e furto di informazioni saranno più convincenti grazie agli strumenti di intelligenza artificiale. Al contempo anche analisi e risposta saranno più rapide, grazie -aggiungiamo noi- all'interazione con i sistemi informativi tramite chatbot che permettano di sfruttare su qualsiasi mix di piattaforme le competenze degli esperti nate su un numero ridotto di software di difesa.
