WithSecure, costola staccatasi dalla storica F-Secure per offrire soluzioni di cybersecurity di classe enterprise, ha chiamato a raccolta clienti, partner e la community della sicurezza per la terza edizione di Sphere, la co-security unconference che si tiene a Helsinki, quartier generale dell’azienda a due passi da uno dei confini più caldi degli ultimi anni, quello con la Russia.

Da quelle parti, parlare di rischi e minacce assume un peso specifico differente che in altri paesi, e non ci si fa remore nel parlare in modo schietto. Così Mikko Hyppönen, il carismatico Capo della ricerca di WithSecure e volto pubblico più noto dell’azienda, in un incontro con la stampa cita direttamente Putin e la sua affermazione sul fatto che “la IA è il futuro e chi la controlla, controlla il mondo” , aggiungendo – a proposito delle restrizioni che l’amministrazione USA sta imponendo alle esportazioni di tecnologia utile per la IA – di desiderare che i prossimi breaktrhough nella IA arrivino in paesi democratici.

Nonostante l’aumento del numero della gravità degli attacchi ci sono però secondo Hyppönen aspetti positivi, o meno preoccupanti del previsto. Innanzi tutto, i sistemi client – PC e soprattutto gli smartphone che con gli store impediscono l’esecuzione di codice arbitrario caricato dall’utente – sono oggi molto meno protetti di una decina di anni fa, e non sono più soggetti agli exploit di Adobe Flash che permettevano a qualsiasi attaccante di violare un dispositivo semplicemente facendogli visitare un sito web (ora lo fanno solo le agenzie governative con strumenti più o meno riservati, Ndr).

Potrebbe andare peggio anche dal punto di vista delle truffe e phishing alimentati dalla IA generativa, uno dei più grossi timori nell’ultimo anno. Al momento, non sembra che i criminali stiano ancora eseguendo attacchi di massa con contenuti personalizzati, una delle possibilità più temute.

Mikko Hypponen, Chief Research Officer di WithSecure sul palco dell'evento Sphere 24

Mikko Hypponen, Chief Research Officer di WithSecure

Il vettore di attacco più sfruttato nel 2024, secondo Stephen Robinson, Senior Threat Intelligence Analyst di WithSecure, non sono più gli allegati email, ma lo sfruttamento massivo di vulnerabilità individuate in servizi esposti su internet, in particolare per quanto riguarda i dispositivi networking e quelli IoT installati nella periferia, che non possono avere un agente di rilevamento a bordo ma sono comunque collegati ai sistemi core.

Lo scontro tra intelligenze artificiali e la soluzione Luminen

La IA generativa è in ogni caso entrata a far parte della cassetta degli attrezzi dei criminali, che possono contare su modelli non censurati e ottimizzati per ricercare vulnerabilità 0day all’interno del codice sorgente dei programmi, per poi scrivere degli script che le sfruttino.

“Il genio è uscito dalla lampada, e gli attaccanti che usano la IA non devono preoccuparsi più di tanto della qualità del risultato. Se l’attacco non funziona, pazienza: si punta il mirino su una nuova vittima”, afferma Paolo Palumbo VP & Head of WithSecure Intelligence. “Chi si difende non ha scelta: è necessario integrare l’intelligenza artificiale in workflow e strumenti di sicurezza per renderli più efficaci in questa nuova era. Se non lo facciamo, le aziende perderanno la loro fiducia nella tecnologia”.

La risposta di WithSecure in questo campo si chiama Luminem, ed è un modello di IA generativa integrato nelle soluzioni della casa e che analizza i segnali provenienti dai sistemi di detection and response per fornire all’operatore informazioni su eventuali attacchi in corso e le possibili contromisure, il tutto in linguaggio naturale, potendo contare sulle informazioni tratte dalle librerie di informazioni, dai report di threat intelligence e dai dati storici dell’azienda.

Luminem potrà fornire supporto nelle investigazioni e produrre un report settimanale con i principali eventi di security, fornendo raccomandazioni per rafforzare le difese.

Luminem è al momento offerto gratuitamente alle aziende che adottano i moduli interessati di WithSecure Elements Cloud e l’azienda dichiara che anche quando sarà ufficializzato un listino prezzi, cercherà di mantenere gratuite le funzionalità principali, compatibilmente con i costi computazionali degli LLM.

La strategia per le aziende mid-market

In quest’ottica di democratizzazione della sicurezza, WithSecure intende concentrarsi soprattutto sul servire le aziende medie,  una definizione che globalmente include aziende anche con 2.000 dipendenti e un miliardo di fatturato, che sarebbero classificate come grandi aziende in Italia.

Sono le aziende del mid-market che, secondo il CEO a interim Antti Koskela, stanno soffrendo di più: “Il 60 percento delle aziende mid-market ha subìto un incidente cyber nell’ultimo anno, ma non hanno le risorse umane ed economiche per accedere alle soluzioni impiegate dalle grandi enterprise, si sentono sopraffatte e stanno quindi perdendo fiducia nel digitale”, commenta.

Antti Koskela, Interim CEO di WithSecure sul palco dell'evento Sphere 24

Antti Koskela, Interim CEO di WithSecure

Chiamando a raccolta i partner, Antti intende focalizzare le energie dell’azienda su questo segmento di mercato, in una missione per la democratizzazione della cybersecurity incentrata su tre pilastri strutturati per soddisfare altrettanti risultati di business:

1. Resilienza

Due nuovi moduli si aggiungono alla soluzione XDR WithSecure Elements: Identity Security ed Exposure Management.

Identity Security identifica le minacce basate sull’identità e la compromissione di account utente in Microsoft Entra ID (ex Active Directory) e quindi in Microsoft 365 e altri servizi.

Exposure Management fa una ricognizione proattiva della superficie d’attacco che l’azienda espone, mappando le vulnerabilità rilevate alle tecniche, strumenti usati dai cybercriminali e alle informazioni di threat intelligence raccolte dai laboratori WithSecure. Incrociando le due fonti, un modello IA aiuta a evidenziare le falle su cui è più urgente intervenire.

2. Compliance e “digital trust”

La proposta di WithSecure per aiutare le aziende a garantire un livello di sicurezza che le faccia sentire sicure e conformi ai requisiti di settore passa attraverso il concetto di co-security, che era al centro dell’edizione di Sphere dello scorso anno.

Un approccio consulenziale, in cui le soluzioni vengono adattate e sviluppate insieme al cliente, e offerte poi sotto forma di servizi di sicurezza gestiti con attraverso la piattaforma di Managed Detection&Response in cloud.

3. Efficienza operativa

Per sopperire alle carenze di competenze e personale, vero dramma nelle organizzazioni di taglia media, la soluzione proposta è il già citato Luminem, che – secondo le aspettative di WithSecure – consentirà anche a staff ridotti e non specializzati di monitorare tutti gli eventi cyber rilevanti, avere una spiegazione del loro significato nel contesto operativo e ottenere proposte per rimediare in tempo rapido.

Nello sviluppare Luminem, WithSecure si è molto preoccupata che fosse esso stesso sicuro. Vista la natura probabilistica dei modelli linguistici, è possibile che siano manipolabili o che finiscano con il raccogliere informazioni riservate o non corrette. “Il nostro non è un ulteriore copilot per la security, non vogliamo partecipare a questa gara con il rischio di esporre i clienti a nuove minacce”, afferma Leszek Tasiemski, VP Product Management for Foundation. “Riteniamo che sia pericoloso collegare un chatbot a soluzioni di cybersecurity, per questo motivo con Luminem abbiamo il pieno controllo del prompt e dei dati”. In pratica, questo significa che la conversazione andrà in una sola direzione: dal sistema all’operatore.