Mastodon

Sicurezza Email: superare l’approccio classico

da | Mag 31, 2025 | Cybersecurity, Informatica | 0 commenti

Negli ultimi anni, l’email si è confermata come uno dei principali vettori di attacco nel panorama della cybersecurity. Nonostante i progressi nella protezione perimetrale e nei sistemi anti-spam, gli attacchi via email continuano ad avere successo, evolvendosi ben oltre i classici tentativi di phishing con link o allegati sospetti.

Con l’ascesa dell’intelligenza artificiale generativa, delle tecniche di ingegneria sociale avanzata e di campagne sempre più sofisticate, diventa evidente che i tradizionali approcci centrati sull’attacco (attack-centric) non sono più sufficienti. Questo post analizza in dettaglio le limitazioni di questi metodi e propone una nuova visione della sicurezza email basata sul comportamento, il contesto e l’intelligenza artificiale auto-apprendente.

La Debolezza intrinseca degli approcci Attack-Centric

Gli approcci tradizionali alla sicurezza email si basano tipicamente su tre pilastri:

  1. Individuazione basata su firme (signature-based): rilevamento di minacce note tramite impronte digitali specifiche.
  2. Reputazione degli URL e dei domini: blocco di link o indirizzi IP conosciuti per essere malevoli.
  3. Sandboxing e scansione degli allegati: apertura controllata degli allegati per rilevare comportamenti sospetti.

Tuttavia, questi approcci mostrano gravi limiti strutturali nel contesto attuale:

Dipendenza da dati storici

Gli attacchi vengono rilevati solo dopo che sono stati già osservati, analizzati e catalogati. In pratica, ciò significa che una nuova minaccia — anche se simile alle precedenti — ha buone probabilità di passare inosservata fino alla sua prima identificazione.

🔎 Statistiche recenti mostrano che le soluzioni statiche AI impiegano in media 13 giorni per riconoscere un attacco mai visto prima. In quell’intervallo di tempo, il danno può già essere fatto.

Mancanza di visione contestuale

La maggior parte dei sistemi SEG (Secure Email Gateways) e di filtro email opera su base statica e contestualmente isolata. Ad esempio, un’email viene analizzata come entità indipendente, senza riferimento al comportamento dell’utente che la riceve, allo storico delle sue comunicazioni o all’ambiente in cui opera.

Incapacità di rilevare attacchi senza payload

I moderni attacchi di Business Email Compromise (BEC), ad esempio, non contengono link o allegati. Si basano esclusivamente sull’ingegneria sociale, sfruttando la fiducia tra colleghi o la falsa identità di un dirigente.

La nuova generazione di minacce: più sottili, più umane

Con l’avvento dell’intelligenza artificiale generativa (GenAI), gli attacchi stanno diventando indistinguibili da normali comunicazioni umane. Le email fraudolente non contengono più errori grammaticali o richieste sospette immediate; sono persuasive, contestuali e spesso ben integrate nei flussi aziendali.

Caratteristiche emergenti delle minacce moderne:

  • Testo generato da LLM (Large Language Models): messaggi ben strutturati, grammaticalmente corretti e con toni professionali.
  • Domini legittimi compromessi: secondo Darktrace, il 96% delle email di phishing recenti proviene da domini legittimi, il che rende inefficace la logica di blocco basata sulla reputazione.
  • Assenza di URL e allegati sospetti: si cerca di indurre l’utente a rispondere o a intraprendere azioni dirette, piuttosto che cliccare su link.
  • Impersonificazione di team IT o HR: più difficili da rilevare rispetto ai classici spoofing del CEO, soprattutto se imitano linguaggio e stile aziendali.

Perché l’approccio comportamentale è cruciale

L’alternativa proposta è un approccio comportamentale e contestuale, che si basa sulla comprensione delle normali dinamiche comunicative all’interno dell’organizzazione. Invece di cercare “minacce note”, si cerca l’anormalità: deviazioni significative da ciò che è abituale per ogni utente.

I principi dell’approccio behavior-centric:

  • Modelli di base individuali: ogni utente ha un proprio modello linguistico, contatti frequenti, orari abituali e stili comunicativi. Un’anomalia in uno di questi aspetti può indicare un attacco.
  • Correlazione multidominio: collegare segnali provenienti da email, endpoint, attività in cloud e rete consente di avere una visione olistica dell’attacco.
  • Rilevamento in tempo reale: a differenza dei sistemi basati su firme, le IA comportamentali rilevano minacce al primo invio, senza dover aspettare aggiornamenti.
  • Interventi automatici personalizzati: ad esempio, l’isolamento dell’email sospetta, la modifica automatica dell’oggetto (“[Possibile phishing]”) o la quarantena basata sulla probabilità di compromissione.

Applicazione pratica: Email IT falsa, nessun link, nessun allegato

Darktrace riporta un attacco reale nel quale un attaccante si è finto il team IT interno. L’email non conteneva alcun URL o allegato, ma chiedeva all’utente di “confermare la ricezione di una nuova policy”. Il contenuto era generato con IA e scritto in un tono perfettamente coerente con le precedenti comunicazioni interne.

Un sistema tradizionale non avrebbe rilevato nulla di anomalo. Tuttavia, l’IA comportamentale di Darktrace/Email ha notato che:

  • Il mittente non aveva mai scritto a quell’utente prima.
  • Il messaggio arrivava a un orario inconsueto per il team IT.
  • Il linguaggio, seppur corretto, differiva leggermente dallo stile del vero team.

Risultato: l’email è stata automaticamente spostata in quarantena.

Vantaggi dell’IA Auto-apprendente

A differenza dei modelli preaddestrati, le soluzioni di IA auto-apprendente come quelle adottate da Darktrace costruiscono in tempo reale un modello dinamico del comportamento digitale aziendale. Questo consente:

  • Adattamento continuo alle nuove minacce senza necessità di aggiornamenti manuali.
  • Riduzione dei falsi positivi, poiché l’analisi è specifica per ciascun ambiente.
  • Integrazione con SOC e SIEM, facilitando le indagini e la risposta coordinata agli incidenti.

Conclusione

Il mondo delle minacce informatiche sta cambiando, e con esso devono evolversi anche gli strumenti di difesa. Gli approcci centrati sull’attacco non sono più in grado di tenere il passo con minacce sofisticate, dinamiche e spesso invisibili agli occhi dei sistemi tradizionali.

La sicurezza email moderna richiede una comprensione profonda del contesto, del comportamento e della relazione tra gli attori digitali. In questo scenario, le tecnologie basate su intelligenza artificiale comportamentale e auto-apprendente rappresentano non solo un’evoluzione, ma una necessità.

Phishing: quando Dropbox diventa arma degli hacker

Articoli simili:

  1. Darktrace 6.3: una nuova era per la sicurezza delle infrastrutture critiche Nel panorama odierno, dove le minacce informatiche sono sempre più sofisticate e pervasive, la sicurezza delle reti OT (Operational Technology) è diventata una priorità assoluta per le aziende che gestiscono infrastrutture critiche. Darktrace, pioniera nell’utilizzo dell’intelligenza artificiale per la cybersecurity, ha recentemente rilasciato Darktrace 6.3, una versione avanzata della sua piattaforma che introduce funzionalità rivoluzionarie […]...
  2. Darktrace PREVENT – La gestione dell’Attack Surface Con l’uscita della release 6, Darktrace ha rilasciato il suo nuovo prodotto Darktrace PREVENT, dedicato alla gestione dell’Attack Surface, ovvero un monitoraggio continuo della superficie di attacco per individuare rischi, vulnerabilità ad alto impatto e minacce esterne. Gli aggressori oggi utilizzano più automazione, prendono di mira le supply chains e lo shadow IT e sfruttano […]...
  3. Phishing: quando Dropbox diventa arma degli hacker Nel panorama delle minacce informatiche, i criminali informatici stanno sempre più sfruttando servizi legittimi come Dropbox per condurre attacchi di phishing mirati. Questa tendenza è emersa chiaramente in un caso osservato da Darktrace nel gennaio 2024, in cui un attacco ha coinvolto un cliente nel settore manifatturiero. L’attacco ha evidenziato come gli aggressori possano abusare […]...
  4. Darktrace lancia la versione 5 dell’Immune System Darktrace, la principale azienda di cyber AI al mondo, é passata alla versione 5 del suo Darktrace Immune System, basato sulle tecnologie di auto-apprendimento e auto-difesa. La versione 5 dell’Immune System di Darktrace comprende numerose innovazioni: Visibilità estesa: i nuovi “sensori client” estendono la visibilità dell’Enterprise Immune System ai lavoratori remoti e decentralizzati, su client all’interno […]...
  5. Supply chain attacks e cybersecurity nel 2022 In un recente articolo Justin Fier, Direttore di Cyber ​​Intelligence & Analytics di Darktrace, pone alcune considerazioni su ciò che potrà essere il trend degli attacchi e della sicurezza informatica nell’arco del 2022. Proviamo ad analizzare i punti principali. Supply Chain Tutti gli analisti del settore sono concordi nell’affermare che gli attacchi diretti alla Supply […]...
  6. Cosa ci insegna il caso Augias e l’email di phishing di Enel Ieri, 30 gennaio 2021, nella sezione Commenti di Repubblica, Corrado Augias risponde ad una lettera di una lettrice citando la sua disavventura con Enel; in pratica la compagnia elettrica Italiana avrebbe inviato ad Augias una email per ottenere un rimborso di ca. 90 euro, email però piena di errori grammaticali e con una difficile procedura […]...

Commenta

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

Translate »