Come cambia lo studio delle minacce cyber ai tempi dell’AI

La minaccia cyber ha accresciuto la sua efficacia con la complicità degli algoritmi e delle risorse di AI che trasformano gli attaccanti locali in attaccanti globali e che aggravano il lavoro degli esperti di cyber intelligence chiamati ad una sfida di maggiore complessità, relativamente allo studio, alla scoperta e all’analisi di una nuova generazione di template di phishing, di codici malevoli e delle tecniche tattiche e procedure (TTp) di attacco (cosiddette kill chain di attacco n.d.r.).

Tuttavia, anche chi studia la minaccia può contare su strumenti di AI che operano a supporto di una maggiore automazione e capacità di filtraggio, con il risultato di ottimizzare la qualità dell’analisi e dei risultati nella “caccia” nelle attività di: profilazione e mappatura dei gruppi criminali e del loro modus-operandi tecnico.

Tali peculiarità sono costituite da strumenti di attacco preferiti, risorse on line solitamente usate, potenziale collocazione geografica o tracciamento delle rotte di indirizzamento in favore dell’offuscamento, abitudini di scrittura del codice, stilometria (studio dello stile solitamente riferito alla lingua scritta n.d.r.) e ogni altro dato che possa permettere di riconoscerne in anticipo il tipo di minaccia, il vettore di attacco, le vulnerabilità sfruttate o sfruttabili, e se possibile le motivazioni alla base delle azioni criminali.

Tutto ciò per anticipare gli avversari e bloccarne le minacce, prima che possano fare danni. Durante l’ultima conferenza Check Point 2025 (CPX2025) ne abbiamo parlato con Lotem Finkelsteen Head della Threat Intelligence in Check Point Research (CPR) e con Eli Smadja, Group Manager di CPR.

Efficacia della minaccia aumentata dagli LLM

Osservando le minacce emergenti, Lotem e il suo team hanno constatato come alcuni gruppi di attaccanti abbiamo aumentato le loro capacità e skill utilizzando i Large Language Models (LLM).

Oltre a riunirsi in community e garantirsi un aiuto reciproco, oggigiorno anche attaccanti da paesi nuovi e da cui in precedenza si osservavano minacce localizzate, si riscontrano campagne di livello globalizzato.

L’esperto descrive come “attaccanti dall’Algeria o da paesi come Brasile e Portogallo, prima scrivevano mail di phishing imprecise e con errori, che ne permettevano il riconoscimento immediato da parte dei professionisti ma anche dagli utenti. Oggi invece grazie ai modelli di LLM i testi sono meglio contestualizzati nelle diverse lingue e questo trasformano gli attori locali in attori della minaccia di livello globale.

“Inoltre, l’estensione della qualità del phishing è data dalla maggiore capacità di personalizzazione e dalla maggiore credibilità dei testi ottenuta grazie ad LLM”, continua l’analista di Check Point. Che aggiunge: “le e-mail possono diventare lo strumento principale delle campagne di disinformazione. Il risultato finale è che se prima questi attaccanti locali potevano puntare a un milione di utenti target, oggigiorno possono garantirsi un target di miliardo di persone perché la lingua non è più una barriera”.

Tutto ciò contribuisce a rendere più complessa l’attività dell’analista di threat intelligence che deve a sua volta dotarsi di strumenti più intelligenti a suo supporto. Dunque, come cambia la caccia alle minacce?

Attività di threat hunting con la “strumentazione aumentata”

Il punto di partenza di qualsiasi attività di threat intelligence non necessariamente inizia a valle di una compromissione di cui analizzare i sample per risalire al “chi”, “come”, “dove”, “quando” “perché” per fornire le azioni di mitigazione e recupero.

Nella grande maggioranza dei casi lo studio parte dai dati di telemetria che debitamente sviscerati possono rivelare informazioni preziose, anche in anticipo rispetto all’attacco vero e proprio.

È così che Lotem Finkelsteen spiega il processo tipico del threat hunting che si persegue abitualmente nel suo team: “tramite i copiosi dati di telemetria che provengono dai sensori e da centinaia di migliaia di endpoint (device e apparati mobili) che costituiscono la base installata, abbiamo molto materiale da “digerire”.

“Per noi l’hunting è lo studio di qualcosa per cui abbiamo interesse e normalmente non si va a caccia alla cieca. In qualche modo si deve sapere cosa cercare. Per questo obiettivo sui dati di telemetria costituiti da contenuti dati dei log, si effettua una dall’analisi approfondita inserendo diverse regole di ricerca, che traducono la massa di informazioni dei log, in sequenze di azioni considerate non legittime, che a loro volta rappresentano le tattiche degli avversari. Si osservano insiemi di azioni considerate sospette e si definisce un comportamento anomalo su cui operare un pivoting, che rappresenta il momento in cui si comprende come trasformare i dati di comportamento anomalo in una contestualizzazione di attacco (rappresentata da intenti o danni)”.

L’esperto aggiunge, poi, che “è a questo punto che dobbiamo passare alla fase di arricchimento delle informazioni ottenute, allargando la ricerca mediante un confronto con un incidente precedente o un’occasione precedente, per capire se è qualcosa di già visto ma non individuato come incidente o se invece è conosciuto e quindi può essere emessa una regola comportamentale (behavioural) che lo descrive. Il fine è potenziare le informazioni e completare il profilo della minaccia per descriverla come un comportamento noto, che in futuro può essere individuato in anticipo e bloccato sul nascere”.

Gran parte delle deduzioni dell’analista derivano dalla sua esperienza di analisi dei dati, ma il supporto che possono fornire gli agent di intelligenza artificiale (IA), consentono di aumentare l’automazione dell’analisi e del filtraggio dei dati, la deduzione delle tecniche di attacco e la traduzione in un set strutturato che contestualizza l’azione di attacco.

Il linguaggio che traduci i dati grezzi in dati strutturati è un linguaggio proprietario di Check Point chiamato ‘behavioural guard’ (simile a Sigma, un formato standard per gli eventi di log e per gli Indici di Compromissione IOC che rappresenta un linguaggio comune per i ricercatori di malware e i SIEM n.d.r.).

È a questo punto che lo studio del ricercatore si estende per mappare l’attività del gruppo al di fuori della rete, per una completa profilazione (molto più simile all’intelligence che all’analisi tecnica delle evidenze digitali n.d.r.).

Al termine di tale profilazione le informazioni sono condivise con la cyber threat alliance formata da vendor di security che, pur essendo competitor, collaborano alla costruzione di un ecosistema sicuro”.

È proprio grazie a questo processo che un esperto di cyber intelligence riversa nuova conoscenza nella base di conoscenza in cloud di Check Point da cui ogni strumento di network eredita e beneficia le regole per mitigare e reagire ad una situazione anomala.

Addestramento degli agent di AI a supporto dell’analista

Per ottimizzare e accrescere le analisi del professionista di intelligence, l’agent AI deve essere addestrato appropriatamente affinché, possa fornire l’insieme migliore di azioni di mitigazione, a fronte dei comportamenti della minaccia.

“La fase di addestramento”, precisa Lotem, “parte dai log che rappresentano un linguaggio con cui un sistema digitale, traccia quello che accade; tutti i log disponibili da diverse fonti e nella loro formato pure e grezzo (senza filtraggio) e generale, sono dati in pasto al modello di AI, affinché in corrispondenza a quello che osserva dai log, possa associare azioni di mitigazione, o possa suggerire playbooks già esistenti (ovvero flussi di azioni da seguire n.d.r.) o suggerire azioni mirate al contesto di rete ed ambiente digitale in cui lavora.

“Se ci si accontentasse della prima risposta, quella più sicura”, continua ancora l’analista di Check Point, “il modello suggerirebbe di staccare i sistemi dalla rete, ma ovviamente, non è una soluzione perseguibile. Per questo motivo il modello di AI è raffinato progressivamente per portarlo alla migliore qualità di risposta che sia plausibili, affidabili e soprattutto specifica al tipo di ambiente digitale in cui opera (rete segmentata o no, centralizzata, mesh, in cloud ecc.)”.

Il matching fra il linguaggio dei log e le regole dei playbook avviene tramite un metalinguaggio che mette in corrispondenza gli oggetti, Jason (implementa la semantica operativa di quel linguaggio e fornisce una piattaforma per lo sviluppo di sistemi multi-agente, con molte funzionalità personalizzabili dall’utente n.d.r.).

Profilo di un analista ricercatore di sicurezza

Per effettuare una attività da ricercatore di minacce si distinguono due tipi di profili: i threat hunter che sono coloro che profilano i gruppi criminali, e i tecnici delle minacce software che effettuano reverse engineering e analisi forensi sui sample di codice per capire cosa faccia effettivamente il codice malevolo.

Per questa seconda attività di ricerca abbiamo chiesto a Eli Smadja di descriverci il tipo di mindset ma anche le caratteristiche più adeguate: “la nostra attività richiede di pensare sempre a nuovi modi con cui l’attaccante può generare nuove minacce. Devo sempre chiedermi se fossi un attaccante a cosa sarei interessato, come potrei agire, quali vulnerabilità sfrutterei, che mezzi di pressione userei nel cybercrime e via dicendo”.

Eli Smadja ha quindi aggiunto che, “quando ci vengono inviati sample di codice che sono sconosciuti, dobbiamo avviare una analisi approfondita di reverse engineering per ricostruire il comportamento della minaccia e renderci conto di tutti gli aspetti sfruttati dall’avversario: il malware esso stesso e come infetta le risorse, come si riproduce e diffonde, cosa fa materialmente. In questo periodo il nostro lavoro è anche legato alla prevenzione della prossima fase di sfruttamento della AI (next level) da parte dei criminali per anticiparli e prevenirne i danni”.

“Per fare questo”, continua Eli Smadja, “non è solo necessario essere coscienti del rischio di questo lavoro, ma anche conoscere molte tecniche operative di analisi dei malware, disassemblaggio di codice esecutivo, offensive security, test di penetrazione, tecniche di evasione, di offuscamento, crittografia, ma anche avere una mentalità aperta, saper lavorare in team ed essere sempre ‘etici’ e affidabili perché sappiamo bene che gli avversari possono provare a compromettere personalmente uno di noi. Anche nella disclosure di vulnerabilità e nell’infosharing sono necessarie alcune precauzioni che garantiscano corretta distribuzione delle informazioni, ma che impediscano anche a ciascuno di noi di essere oggetto di attacco o ritorsioni o anche minacce verbali fisiche senza dimenticare che potremmo essere noi stessi soggetto/oggetto di attacchi di social engineering”.