“Grazie all’AI siamo in grado di dare maggiore profondità agli emulatori – sottolinea Raponi – e fare in modo di ‘ingaggiare’ i criminali informatici. In pratica, l’emulatore risponde esattamente come farebbe un reale servizio e chi sta portando l’attacco non si rende conto di avere preso di mira un falso bersaglio. Gli hacker pensano di aver violato il perimetro del sistema, ma in realtà sono in una sorta di acquario”.
La tecnologia messa a punto da Tropico, nell’ottica del contrasto ai cyber attacchi, offre due vantaggi distinti. Il primo è quello di impegnare i cyber criminali in un’attività perfettamente inutile, dando così il tempo agli addetti alla security di prendere le contromisure necessarie per bloccare eventuali azioni realmente dannose. Il secondo è che consente di studiare le tecniche e le strategie dei cyber criminali stessi, offrendo così un vantaggio strategico nel contrastarne l’azione.
Una community di hacker per dare la caccia alle vulnerabilità
Penetration test e assessment di sicurezza sono strumenti fondamentali per poter comprendere il livello della cybersecurity in un’organizzazione. Sono però attività piuttosto costose, soprattutto a causa della scarsità di talenti a livello globale e (ancora di più) italiano.
Unguess, azienda nata nel 2015, cinque anni fa ha avviato un progetto dedicato alla security che punta a cambiare le regole del gioco nel settore. Al posto di reclutare esperti di sicurezza per fornire tradizionali servizi di consulenza, ha creato AppQuality, poi evoluta in Unguess Security: una piattaforma di crowdsourcing, che coinvolge hacker etici e ricercatori indipendenti.
“La formula prevede che ogni partecipante alla community guadagni ogni volta che individua una vulnerabilità nei sistemi o nei software dei nostri clienti” spiega Luca Manara, amministratore delegato di Unguess. “A differenza di quanto accade con i classici penetration test, che vengono solitamente effettuati una o due volte all’anno, questo sistema permette di avere una forma di assessment continuo, con un costo ragionevole”.
La logica ricalca i tradizionali programmi di bug bounty utilizzati dalle aziende che sviluppano software, come Microsoft, Apple o Google, che prevedono delle ricompense in denaro per i ricercatori indipendenti che segnalano loro falle di sicurezza nei software.
Da parte loro, i ricercatori si impegnano a fare una “responsible disclosure”, cioè a garantire di non rendere pubblica la falla prima che siano disponibili gli update del software che la corregge. Per evitare che questo consenta alle aziende di tirarla troppo per le lunghe, è previsto di solito un termine (60 o 90 giorni) entro il quale devono essere rilasciati gli aggiornamenti. Trascorso il termine, il ricercatore è libero di rendere pubblici i dettagli.
