0:00:01.4 Max Havey: Ciao e benvenuti a un'altra edizione di Security Visionaries, un podcast dedicato al mondo del cyber, dei dati e delle infrastrutture tecnologiche, che riunisce esperti da tutto il mondo e da diversi ambiti. Sono il vostro conduttore, Max Havey, e oggi diamo uno sguardo indietro ad alcune delle grandi tendenze delle minacce del 2024, guardando avanti a ciò che potrebbe esserci all'orizzonte nel 2025 con il nostro ospite, Ray Canzanese, direttore di Netskope Threat Labs. Ray, grazie per essere con noi.
0:00:25.1 Ray Canzanese: Oh, grazie per avermi invitato, Max.
0:00:26.8 Max Havey: Va bene. Quindi Ray, ti farò alcune domande su ciò che hai visto negli ultimi 12 mesi, e spero che tu possa usare una combinazione di intuizioni dirette dalla tua ricerca su Netskope, e anche condividere alcune conoscenze dal tuo più ampio coinvolgimento e collaborazione con la comunità delle minacce più ampia. Per cominciare, si è parlato molto di come l'IA stia cambiando la sicurezza. Quindi iniziamo chiedendo: avete visto la metodologia delle minacce che è stata modificata dall'IA quest'anno?
0:00:54.2 Ray Canzanese: Immagino che l'IA abbia cambiato la cybersecurity fin dalla sua nascita. La cybersecurity è New dell'IA. Lo vediamo fin dall'inizio. Tutto è iniziato con euristiche, poi il machine learning, che è diventato sempre più avanzato. Ora GenAI. Quindi, naturalmente, sta cambiando il settore come ha sempre fatto. Nell'ultimo anno abbiamo visto gli strumenti GenAI essere usati molto di più dagli attaccanti. Sono diventati strumenti davvero utili per l'ingegneria sociale e le truffe. Abbiamo visto molti endorsement di celebrità divertenti e deepfake. Hai qualche celebrità che vende qualcosa. Tutto quello che devi fare è fornirgli il tuo numero di previdenza sociale, tutte le informazioni dei conti bancari, tutte le tue carte di credito e quelle di tutti i tuoi amici. E poi riceverai, non so, qualunque strana New invenzione che vendono. Abbiamo visto falsi CEO che chiedevano aiuto ai dipendenti. Per compromessa di email aziendali e altri tipi di attacchi. Abbiamo anche scoperto che alcuni attaccanti intraprendenti hanno deciso di vendere i propri LLM. E quindi vendiamo LLM che vengono usati specificamente per cose come la compromissione delle email aziendali e per cose intrinsecamente nefaste.
0:02:09.7 Ray Canzanese: All'estremo opposto, vediamo tutta la tecnologia New utilizzata anche dai difensori, specialmente con gli LLM, che sono davvero bravi a raccogliere enormi quantità di dati e renderli più comprensivi. È lo strumento perfetto per la cybersecurity. Tutti noi professionisti della cybersecurity siamo sommersi dai dati, più dati di quanti potremo mai esaminare. Quindi avere strumenti che possano esaminare quei dati, riassumerli e darci qualcosa che possiamo comprendere rapidamente, è uno strumento fantastico per un professionista della sicurezza. E quindi, un'altra cosa, immagino, che l'IA sia cambiata, è che ora esiste una New classe di strumenti di cui tutti noi dobbiamo preoccuparci come professionisti della cybersecurity. Quindi non solo preoccupato per tutti i vantaggi e i cattivi che gli strumenti GenAI comportano, ma anche per quanto riguarda gli strumenti stessi? Vengono usati in modo sicuro e protetto? Che tipo di dati vengono inviati loro? I dati con cui erano stati addestrati erano avvelenati? È accurato? Come stanno usando le persone le uscite? Tutte queste sfide divertenti New arrivano anche con GenAI.
0:03:17.1 Max Havey: Assolutamente. E ci sono state minacce o campagne specifiche che ti hanno colpito nel rivedere le ricerche di quest'anno, in particolare su persone che abusano degli strumenti di IA generativa o che hanno individuato alcuni di quei punti deboli negli strumenti?
0:03:30.0 Ray Canzanese: Beh, per quanto riguarda l'uso degli strumenti, penso che tutto il social engineering si trattasse di un po' di deep fake. O la voce di qualcuno, un video di loro, qualcuno che partecipa a una chiamata Zoom, tutto questo per me è davvero legato come l'uso più convincente dell'IA per costruire un'esca di ingegneria sociale con cui la gente non era davvero attrezzata. Sei addestrato a passare il mouse sopra un link e vedere dove porta davvero. Cosa fai quando ricevi una telefonata da Sanjay Barry, il mio CEO, e ti dice: "Ray, presto, dammi i numeri dei conti bancari, dobbiamo trasferire dei soldi." Non c'è stato alcun addestramento che mi abbia preparato a questo. E quindi tutti questi tipi di attacchi di ingegneria sociale sono davvero, davvero nuovi e ci fanno ripensare a cosa dobbiamo fare in risposta.
0:04:23.0 Max Havey: Quindi è una frontiera New in tutto questo, e serve imparare a identificare quelle cose che sembrano sospette in senso generale, non solo il pH, ma a cosa dovrebbero prestare attenzione quando si tratta di identificare questi tipi di strategie di ingegneria sociale generate da deep fake abilitate da IA?
0:04:41.1 Ray Canzanese: Sì, è una buona domanda, e penso che non sia nemmeno una domanda semplice. Perché se vent'anni fa mi avessi chiesto cosa dovrebbero fare attenzione nelle email di phishing, posso dirti cosa dovrebbero tenere d'occhio nelle email di phishing. Poi facciamo un salto avanti di 20 anni e quello che succede, la gente continua a cliccare sui link e a cadere nelle email di phishing. C'è già un enorme peso sull'essere umano per prendere queste decisioni. Quindi dici loro tipo: "Beh, dovresti pensare in modo più critico quando ricevi una chiamata da Sanjay Berry. Sanjay ti chiama di solito? Di solito ti chiede i numeri del conto bancario?" E tu dici: "No, di solito non fa queste cose, non dovrei cascarci." Oppure, "È davvero Elon Musk su YouTube che mi sta chiedendo di dargli 10.000 dollari?" No, Elon Musk non ha bisogno di 10.000 dollari da te. Quindi si chiede alle persone di riflettere in modo più critico su queste cose, ma il peso ricade anche su chi lavora nell'industria della cybersecurity. Come possiamo ridurre questo peso sull'individuo? Fino a che punto possiamo aiutarli a non vedere mai queste truffe, questi link di phishing, e fino a che punto possiamo aiutarli a prendere decisioni più informate.
0:06:00.2 Ray Canzanese: Non saprò mai del tutto cosa succede nella tua vita quando navighi sul web e stai per rispondere a una telefonata o cliccare su un link. Ma so qualcosa sulla provenienza di quel legame, sulla probabilità che sia reale. E nella misura in cui posso aiutarti, che posso darti informazioni che dicono: fai attenzione quando sei in questa telefonata, anche se non sono davvero sicuro che sia chi dice che sia, questo rende le cose un po' più facili per l'essere umano e, si spera, ci rende tutti un po' più sicuri.
0:06:36.0 Max Havey: Sicuramente è avere quegli strumenti nel posto giusto e sapere come usarli e come applicarli in situazioni in cui non hai un professionista della cybersecurity che ti sorveglia sempre alle spalle.
0:06:46.3 Ray Canzanese: A destra. E in un certo senso mi stavo antropomorfizzando come strumento di cybersecurity, ma il concetto è valido. È che quando usi questi strumenti, è come se qualcuno stesse lì seduto, osservando quello che fai e cercando di aiutarti, ma non sa tutto. Non conoscono tutto il contesto di quello che stai facendo, con chi interagisci di solito. E quindi c'è sempre una zona grigia. E aiutare l'essere umano a gestire questa zona grigia è qualcosa su cui noi, professionisti della cybersecurity, possiamo fare meglio. Quando è tutto bianco o nero, è facile. Quando possiamo dire, "Sì, questo è sicuramente buono, e sì, questo è sicuramente cattivo." Possiamo darci una pacca sulle spalle per la vittoria, ma c'è sempre quella zona grigia, ed è quella la più difficile.
0:07:29.6 Max Havey: Certamente. Hai visto queste tendenze di minaccia in evoluzione riguardo all'IA riflesse nei cambiamenti organizzativi nel modo in cui proteggono l'IA o nell'uso dell'IA per la sicurezza? Come hai visto evolversi quest'anno?
0:07:41.3 Ray Canzanese: Sì. Penso che il 2024 sia stato interessante, rispetto al 2023, penso che il 2023 sia stato l'anno dell'IA in tutto. Immaginate quanto sarebbe meglio il mio water se avesse l'IA? E nel 2024, sembrava che ci fossimo resi conto che non serve l'IA in tutto. E che se mi dici di no, quando ti chiedo se devo usare 90 diverse app di IA per completare il mio lavoro, è una risposta accettabile. Perché a quanto pare non ho bisogno di 90 app di IA diverse per essere efficace nel mio lavoro. E così il 2024 sembrava essere l'anno del serramento delle viti. Abbiamo visto più organizzazioni esercitare un controllo maggiore su ciò che accadeva. Abbiamo visto il numero di blocchi aumentare il "Abbiamo deciso che puoi usare solo queste tre app e bloccheremo tutte le altre." Quella è diventata una strategia più comune.
0:08:33.9 Ray Canzanese: Un'altra cosa che abbiamo visto aumentare è che le organizzazioni che hanno detto sì all'IA, che rappresentano la stragrande maggioranza di esse, superano il 94%. Ora penso, "Sì, ma. " e hanno inserito molti controlli DLP intorno alle app di IA. In particolare, guardano a ciò che le persone pubblicano e si chiedono: "Beh, sono dati regolamentati? Sono segreti? È codice sorgente? C'è qualcosa che non voglio lasciare i miei confini protetti?" E se non è così, o ti fermo dal farlo e dici di no, oppure fai un po' di coaching sul mio punto precedente, un po' di coaching e dici: "Ehi, sembra che tu stia per pubblicare qualcosa che sembra dati regolamentati su ChatGPT. Sei sicuro?" Perché ti consigliamo di non farlo. Quindi, in un certo senso, si dà potere all'utente, quando c'è un'area grigia, di fare la scelta giusta.
0:09:34.2 Max Havey: Assolutamente. Avere queste soluzioni di riserva e catturare le persone all'ultimo momento prima che facciano qualcosa come caricare segreti aziendali su ChatGPT o qualcosa del genere.
0:09:43.4 Ray Canzanese: Giusto, giusto. Perché la risposta potrebbe essere che, anche se questo può sembrarti un segreto aziendale, in realtà non è un segreto. E lo so, quindi sono felice di continuare, ma troviamo che questa strategia di coaching in tempo sia molto efficace. Il numero di volte in cui qualcuno decide di continuare dopo che gli è stato chiesto un messaggio tipo "Sei sicuro?" è meno della metà. È un controllo piuttosto efficace per dare a qualcuno un esame di istinto e chiedere: "Sei davvero sicuro di questo?" Basta non farlo ogni volta che clicca su qualcosa. Assicurati di porre quella domanda con parsimonia così che possa mantenere la sua efficacia.
0:10:26.4 Max Havey: Assolutamente. Quindi non per sommersi, ma solo nelle circostanze più importanti.
0:10:30.2 Ray Canzanese: Giusto, giusto. Tipo, "Sei sicuro di voler visitare questo sito? Sei sicuro di voler cliccare su quel link?" Si capisce come questo possa diventare subito fastidioso. E la tua risposta è sempre automaticamente: "Sì." Perché la risposta è davvero lasciatemi in pace, sto cercando di lavorare qui.
0:10:46.3 Max Havey: Beh, Ray, cambiando un po' di tema, quest'anno ho visto molti più articoli sui media sulle minacce informatiche e di solito parlano delle azioni degli attori degli stati nazionali. Volevo capire se il vostro team di ricerca ha rilevato qualche tendenza notevole di attacchi informatici tra stati nazione quest'anno? E se sì, quali erano?
0:11:04.6 Ray Canzanese: In generale, negli stati nazionali abbiamo visto dove avevamo la maggiore attività APT contro i nostri clienti. E ancora una volta, la nostra base clienti è globale. Abbiamo clienti in tutti i continenti, erano le solite feste. Russia, Corea del Nord, Iran, Cina, erano tra i primi quattro con un ampio margine. Non è davvero sorprendente, perché l'attività di cybersecurity geopolitica è generalmente solo un riflesso di tendenze geopolitiche più ampie. E quindi, dove si vedono conflitti, è lì che si vedrà anche attività di cybersecurity. E gruppi APT attivi. La seconda tendenza che abbiamo visto lì è che molti broker di accesso iniziale erano molto attivi. Sono organizzazioni la cui specialità è semplicemente l'infiltrazione, trovare un modo per entrare e poi vendere quel modo a qualcun altro che vuole fare qualcosa con quell'ingresso. Quindi questo fa parte di questo, come la specializzazione all'interno della comunità degli avversari. Abbiamo visto molti strumenti comuni ogni volta che c'è uno strumento come Cobalt Strike, un framework di comando ed controllo molto potente ed efficace che è stato hackerato e modificato così tante volte che sembra che tutti lo usino. Quindi vediamo questi strumenti comuni in termini di tendenze comuni, piuttosto in termini di quali strumenti vengono utilizzati.
0:12:30.0 Ray Canzanese: E poi credo che la tendenza finale che abbiamo visto sia stata che, oltre a questa attività tradizionale, chiamiamolo cybersecurity, phishing, tentativi di infiltrazione, hacking, ransomware e tutto il resto, abbiamo visto molta disinformazione, molto spionaggio, molti tentativi di destabilizzazione, molti tentativi di divisione. Molto di questo succede sui social media. E quindi non solo c'è questa attività tradizionale di cybersecurity, ma anche molte altre cose che sono più esposte e che colpiscono tutti. E quindi è solo... Arrivando al punto iniziale: cosa ci aspettiamo dall'individuo? E l'individuo è così sopraffatto. C'è così tanto rumore. Non so se in passato ho dovuto riflettere così tanto sul fatto che qualcosa che leggevo nelle notizie fosse vero o meno. E quindi abbiamo aggiunto molto più carico cognitivo a tutti, e questo rende il panorama della cybersecurity ancora più impegnativo.
0:13:33.1 Max Havey: Assolutamente. E guardando al futuro, come pensi che si evolveranno queste tendenze degli stati nazionali nel prossimo anno? Saranno le stesse nazioni? Ti aspetti che queste metodologie si evolvano in qualche modo? Qual è il tuo punto di vista su questo?
0:13:45.7 Ray Canzanese: Certo. Per quanto riguarda le nazioni che sarà, dipende molto dal panorama geopolitico. E non sono un esperto di geopolitica, ma sono vivo da un po' di tempo e alcune cose sembrano non essere cambiate nella mia vita. Quindi non mi aspetto che il panorama geopolitico cambi drasticamente in termini di dove si svolgono i conflitti nel mondo nel prossimo anno. Quindi mi aspetto che molte delle stesse regioni siano attive in termini di APT. Mi aspetto che tutta questa disinformazione, destabilizzazione e divisione continuino. Sembra efficace. È davvero una buona... Per buono intendo efficace. Uso efficace dei social media.
0:14:27.9 Max Havey: Sì.
0:14:28.2 Ray Canzanese: Sicuramente non è un buon uso dei social media. Un'altra cosa che mi aspetto vedremo sono attacchi continui contro industrie che storicamente non hanno investito nella cybersecurity. Non possiamo parlare dei gruppi APT senza parlare di Salt Typhoon. Quindi, cosa abbiamo avuto nell'ultimo anno o due? Abbiamo avuto Salt Typhoon che attaccava davvero l'infrastruttura delle telecomunicazioni in tutto il mondo. E uno dei temi comuni nella risposta delle compagnie telefoniche quando viene chiesto cosa stia succedendo? Ed è: "Beh, abbiamo costruito questi sistemi per l'efficienza, per la disponibilità. Non li abbiamo costruiti pensando alle moderne preoccupazioni di cybersecurity." E quindi mi aspetto di vedere ancora di più di questo. Ci si aspetta di vedere più di queste infiltrazioni di successo che passano inosservate a lungo perché l'infrastruttura di cybersecurity non era integrata in quel prodotto o in quell'industria fin dall'inizio.
0:15:28.7 Max Havey: Assolutamente. Nel nostro episodio precedente abbiamo visto Kiersten Todt parlare delle sue previsioni per il 2025 e di Salt Typhoon e di aspettarsi, credo che altre cose di questo tipo guardando avanti sembrino essere molto in alto nella sua mente.
0:15:42.0 Ray Canzanese: Sì, assolutamente. Siamo molti di noi che dedicano molto tempo a cercare di imparare ogni lezione possibile da quello che è successo con l'industria delle telecomunicazioni e Salt Typhoon.
0:15:52.3 Max Havey: Quasi sicuramente. E cambiando ancora un po' di marcia, ci sono state tendenze specifiche di minaccia quest'anno che hai visto più che ti hanno sorpreso?
0:16:01.1 Ray Canzanese: Sì, è davvero difficile sorprendersi quando si fa così a lungo, ma c'è stata una cosa che mi ha un po' sorpreso: quest'anno abbiamo visto più persone cliccare sui link di phishing rispetto all'anno scorso. E il motivo per cui, ancora una volta, ne abbiamo parlato un po', il motivo per cui trovo così sorprendente è che dedichiamo così tanto tempo, e il phishing sembra essere un messaggio centrale quando facciamo formazione sulla consapevolezza della cybersecurity, come riconoscere un phishing, come evitare di cliccare su un link di phishing. E quindi vederla davvero più o meno doppia anno dopo anno era un po' come, "Oh no, cosa stiamo sbagliando?" E d'altra parte, il motivo per cui non è affatto sorprendente è che ora è ovunque. La formazione dice che ricevi un'email. Assicurati di esaminare attentamente la tua email. Ma se guardi dove le persone cliccano su questi link per truffe e phishing, non è email. Cliccano su link sui social media, annunci, risultati dei motori di ricerca, messaggi diretti che ricevono tramite app di messaggistica. È ovunque. E quando qualcosa è ovunque, diventa molto più difficile evitarlo. E penso che quello che stiamo vedendo sia un'ondata di phishing da ogni angolazione. Alla fine coglierai qualcuno di sorpresa, e alla fine cliccherà su uno di quei link. E purtroppo avevamo più persone del solito a farlo.
0:17:32.1 Max Havey: Sì. È quello che succede quando si trasforma in un gioco di numeri, è tutta una questione di quantità. E quando lo ricevi da messaggi privati, messaggi di testo, telefonate e altrove, è difficile evitarlo.
0:17:42.2 Ray Canzanese: È difficile evitarlo senza dissociarsi completamente. Come se non potessi mai cliccare su un link di phishing se non avessi mai cliccato su un link in qualcosa che qualcuno mi ha mai inviato da qualche parte. Ed è questo il problema. E quindi sei di nuovo in quella zona grigia dove io... "Sembra legittimo. Clicco io. Vedrò cosa succede qui." Ed è così che finiremo sempre in questo scenario.
0:18:06.3 Max Havey: Certamente. E penso che tornando al tuo punto parlando dell'individuo, si arriva a un punto in cui non è più una cosa su cui puoi contare sull'individuo per stare sempre al passo, specialmente quando è a un volume così grande che senza sparire completamente dalla rete.
0:18:20.2 Ray Canzanese: A destra. Sì. E non è che le truffe siano una cosa New . Non è che questo sia un problema New . Il problema è la quantità di altre persone che incontri su internet. E che non sai mai chi è una persona reale quando hai a che fare con chiunque su internet.
0:18:39.1 Max Havey: Certamente. Beh, Ray, abbiamo già coperto molti argomenti, ma ci sono altre tendenze specifiche di minaccia che ti hanno colpito e che non abbiamo ancora affrontato?
0:18:47.7 Ray Canzanese: Credo che la cosa che mi ha colpito un po' e di cui abbiamo parlato un po' sia stata l'IA. E così abbiamo parlato della strategia per il controllo. Dove vediamo sempre più persone bloccare le app che usano DLP per controllare il flusso dei dati lì. La cosa che mi ha colpito un po' è che la tendenza crescente all'uso non si è ancora davvero rallentata. Durante tutto il 2024, abbiamo visto un triplo approssimativo del numero di persone in azienda che utilizzano regolarmente app di IA. Mi ha colpito che questo fenomeno stia continuando a salire, che non abbiamo ancora davvero raggiunto un plateau lì, il che significa aspettarci ancora più cambiamenti nel prossimo anno.
0:19:32.2 Max Havey: Certamente. E questo mi porta alla mia ultima vera domanda per te, guardando al 2025: vedi qualche grande tendenza all'orizzonte derivante dalla ricerca e dalle conversazioni che hai avuto con altre persone nella comunità delle minacce?
0:19:44.5 Ray Canzanese: Sì, davvero per me è questo elemento umano. Se l'essere umano è al centro del rischio di cybersecurity e il luogo di lavoro moderno, oltre a tutti gli altri strumenti e forze che ci tiravano contro, c'è GenAI e tutti questi deep fake, link di phishing ben costruiti e pagine di login false. È diventato molto più difficile per le persone prendere decisioni informate su come gestire i dati sensibili e i protocolli di sicurezza. E ancora, come se il volume fosse semplicemente troppo alto. Stiamo chiedendo troppo a troppe persone. E quindi per me, penso che la tendenza sia che continueremo a vedere disinformazione, destabilizzazione, divisione. Continueremo a vedere l'IA usata per phishing, deep fake e truffe, e sarà un problema sociale davvero impegnativo. Non è solo un problema che le organizzazioni stanno affrontando. Ovviamente sono preoccupato per i miei dipendenti, ovviamente per i miei dati, ma tutti affrontano queste sfide in tutto il mondo. Quindi penso che ripensare l'uso di queste piattaforme e come controllarle per ridurre gli abusi sarà un tema centrale nel prossimo anno. Penso che, tra noi nel settore della cybersecurity che vogliamo proteggere le organizzazioni, il nostro obiettivo debba essere e sarà quello di ridurre il carico cognitivo degli utenti. Come possiamo guidare le persone a prendere la decisione giusta con meno carico cognitivo?
0:21:22.4 Max Havey: Assolutamente. E mi piace questo, nonostante il fatto che, penso che tu abbia ragione, continueremo a vedere molte di queste tendenze più oscure prosperare. La chiave qui è trovare un modo per ridurre quel carico cognitivo sulle persone, sugli utenti che affrontano questo ogni giorno. E questo è anche io e te, perché siamo anche persone. E penso che trovare modi migliori per affrontare questa situazione sia una previsione davvero bella e un ottimo modo per entrare nell'anno New . È una buona risoluzione di qualche tipo.
0:21:50.1 Ray Canzanese: Sì. Non è facile, ma è un buon ambito su cui tutti noi possiamo concentrarci.
0:21:54.9 Max Havey: Certamente. Beh, Ray, penso che sia finita per le domande che ho da parte mia. C'è qualcos'altro che vorresti aggiungere?
0:22:02.1 Ray Canzanese: Sì, certo. Solo un piccolo tappo.
0:22:04.0 Max Havey: Oh sì, vai pure.
0:22:04.4 Ray Canzanese: Potete scoprire di più su ciò su cui stiamo lavorando
al netskope.com/threatlabs. Ho una newsletter mensile a cui puoi iscriverti. Sono su LinkedIn e anch'io mi sono appena unito a Bluesky. Quindi puoi trovarmi in tutti quei posti.
0:22:21.4 Max Havey: Eccellente. Bene, Ray, grazie mille per essere qui con noi oggi. È sempre una chiacchierata piacevole quando posso parlare con te delle tendenze delle minacce, e soprattutto quando riusciamo a trovare un po' di speranza anche in quella conversazione. Quindi, grazie mille per essere qui con noi oggi.
0:22:32.1 Ray Canzanese: Assolutamente. Grazie Max. Stammi bene.
[musica]
0:22:34.0 Max Havey: Va bene. Hai ascoltato il podcast Security Visionaries e io sono stato il tuo conduttore, Max Havey. Se ti è piaciuto questo episodio, condividilo con un amico e iscriviti a Security Visionaries sulla tua piattaforma di podcast preferita. Lì puoi ascoltare il nostro catalogo di episodi e tenere d'occhio New episodi, che escono ogni mese, condotti da me o dalla mia co-conduttrice, la meravigliosa Emily Wearmouth. E con questo, ci vediamo al prossimo.
){kind=icon}
