I team di cybersecurity delle telco non sono pronti a reagire agli attacchi zero-day sulle reti: è quanto emerge dal recente rapporto Threat Intelligence di Nokia su un campione di professionisti della cybersicurezza delle telecomunicazioni nordamericani.
Solo il 13% degli intervistati, infatti, afferma di essere pienamente preparato a rispondere agli attacchi zero-day, in cui le vulnerabilità vengono sfruttate senza preavviso. Questi attacchi sono sempre più mirati in modo da colpire protocolli, piattaforme e sistemi di gestione specifici delle Tlc, spesso fungendo da punto d’appoggio iniziale in campagne più ampie e a più fasi. Gruppi come Salt Typhoon utilizzano tattiche zero-day per ottenere l’accesso, quindi si muovono lateralmente all’interno delle reti ed esfiltrano dati utilizzando tecniche avanzate di post-compromissione, riferisce Nokia. Una risposta efficace è integrare l’Ai nelle soluzioni di cybersicurezza per adottare una postura predittiva e proattiva.
Indice degli argomenti
Cybersicurezza OT, la difesa parte dall’AI proattiva
Il 60% dei team di sicurezza delle telecomunicazioni nordamericani ha subito almeno un attacco LOTL lo scorso anno e oltre il 25% ne ha subiti quattro o più, riferisce Nokia. Gli attacchi LOTL, ovvero Living off the Land, sono strategie in cui gli aggressori sfruttano strumenti e canali legittimi già presenti nel sistema operativo per compiere attività malevole, eludendo così gli antivirus tradizionali. Queste infiltrazioni silenziose sfruttano strumenti legittimi e processi affidabili, integrandosi perfettamente nella normale attività di rete e rendendo il rilevamento estremamente difficile.
“Come ho approfondito nei miei precedenti articoli su Colmare il divario di sicurezza nelle telecomunicazioni: l’Ai proattiva è il futuro e Perché le telecomunicazioni hanno bisogno di una difesa proattiva basata sull’Ai, la necessità di soluzioni di sicurezza più intelligenti, veloci e predittive non è mai stata così evidente“, scrive Gerald Reddig, capo delle attività di marketing del portfolio globale per le soluzioni di sicurezza di Nokia.
Rilevamento delle minacce in tempo reale sulla rete
“Negli ambienti di telecomunicazione, il rilevamento deve avvenire velocemente, senza introdurre latenza o interruzioni operative”, prosegue Reddig. “Piattaforme avanzate come NetGuard EDR di Nokia offrono il rilevamento delle minacce OT in tempo reale tramite l’ispezione ad alta velocità dei pacchetti, sia sui sensori di rete che su quelli degli endpoint. Combinando analisi supervisionate e non supervisionate con tecniche di reinforcement learning, il sistema identifica gli exploit delle minacce emergenti, nella loro fase più precoce e osservabile”.
Un elemento chiave di questo sistema è la combinazione di un multiclassificatore supervisionato basato sul machine learning e di un motore di clustering non supervisionato, che scopre autonomamente pattern di attacco inediti attraverso l’ispezione dei pacchetti in tempo reale. Anziché basarsi esclusivamente su firme o indicatori etichettati precedentemente noti, il motore di clustering analizza continuamente le deviazioni comportamentali nei protocolli di telecomunicazione e industriali. Ciò consente il rilevamento proattivo delle minacce e la generazione dinamica di intelligence, anche in presenza di tecniche di attacco altamente personalizzate o innovative.
Il risultato è una visibilità deterministica su ambienti OT complessi e multi-vendor, che offre:un’accuratezza del 98% nel rilevamento delle minacce, una riduzione dei falsi positivi allo 0,1% e 3 livelli di difesa basati sull’intelligenza artificiale.
Semplificazione per la threat detection delle telco
Inoltre, framework XDR unificati come NetGuard Cybersecurity Dome correlano i dati di telemetria provenienti da sensori e piattaforme eterogenei per creare una visione unica e contestualizzata degli incidenti. Eliminando duplicazioni e rumore, i team di cybersicurezza delle telco ottengono avvisi più affidabili e un flusso di lavoro semplificato.
Questa visibilità consolidata è particolarmente importante per rilevare comportamenti LOTL, in cui l’attività dannosa si nasconde all’interno di processi operativi legittimi.
La frontiera dell’Ai agentica: ricerca autonoma delle minacce
La prossima evoluzione nella sicurezza OT è l’integrazione dell’Ai agentica: agenti autonomi in grado di effettuare una ricerca continua delle minacce.
A differenza dell’automazione statica, questi agenti apprendono dalle interazioni, si adattano ai modelli di attacco in continua evoluzione ed eseguono flussi di lavoro completi, dal rilevamento e dall’indagine al contenimento. Operano in modo persistente nell’infrastruttura, identificando segnali deboli che gli analisti umani potrebbero non notare in ambienti ad alto volume.
Questo sposta le operazioni di sicurezza dal triage tattico alla gestione strategica del rischio, consentendo ai team di concentrarsi sulla resilienza mentre gli agenti basati sull’Ai gestiscono la soppressione delle minacce operative in tempo reale.
Dalla difesa reattiva alla resilienza informatica predittiva
Integrando il rilevamento in tempo reale, la correlazione intelligente, l’Ai agentica e l’intelligence consolidata sulle minacce, gli operatori di telecomunicazioni possono passare dalla difesa reattiva alla resilienza informatica predittiva, conclude il post di Reddig di Nokia.
“Il futuro della sicurezza informatica OT risiede in ecosistemi collaborativi basati sull’Ai che anticipano il comportamento degli avversari anziché limitarsi a reagire agli incidenti”, afferma il manager. “Per le aziende di telecomunicazioni e le imprese OT mission-critical, la sicurezza predittiva supportata dall’Ai non è più un obiettivo, ma un requisito operativo essenziale”.
