Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.
Casa/
Il blog
/
Adversarial AI: come l'MFT orientato alla sicurezza difende...
Adversarial AI: come MFT orientato alla sicurezza difende i sistemi governativi dagli attacchi basati su file AI
da
OPSWAT
Condividi questo post
Minacce alimentate dall'intelligenza artificiale contro i sistemi governativi
L'intelligenza artificiale (AI) è entrata nel dominio della cybersecurity non come strumento secondario ma come attore centrale, ridefinendo il modo in cui gli aggressori operano e come i difensori devono rispondere. Dalle truffe di phishing clonate a voce alle frodi alimentate da deepfake, l'IA ha fornito agli avversari i mezzi per impersonare, infiltrarsi e distruggere con un realismo e una portata senza precedenti.
La posta in gioco è più alta nel settore governativo e delle infrastrutture critiche. Come menzionato nell'IBM X-Force Threat Intelligence Index, Salt Typhoon, un attore di minacce allineato a uno Stato nazionale, ha violato i sistemi di telecomunicazione in diversi Paesi, utilizzando credenziali rubate e tattiche furtive per colpire l'energia, la sanità e le operazioni governative sensibili nel 2024.
Più di recente, l'incidente del software CrowdStrike ha mandato in tilt importanti sistemi informatici in diversi settori, tra cui agenzie governative e aeroporti, quando un aggiornamento difettoso ha colpito un'infrastruttura di sicurezza endpoint ampiamente diffusa. Pur non essendo un attacco deliberato, ha messo in luce la fragilità degli ambienti digitali del settore pubblico e il potenziale di guasti a cascata sulle reti interconnesse.
Le amministrazioni pubbliche si trovano ad affrontare una miscela unica di vulnerabilità: catene di fornitura interconnesse, sistemi legacy e punti di pressione geopolitici rendono il settore pubblico un bersaglio ideale per attaccanti sia sofisticati che opportunisti. Nel frattempo, gli oneri di conformità e la carenza di talenti aumentano il divario di rischio tra le agenzie dotate di buone risorse e quelle con risorse insufficienti.
L'intelligenza artificiale non si limita ad amplificare il phishing e l'impersonificazione. Automatizza e personalizza anche gli attacchi basati su file su scala. Le tattiche più comuni ora includono:
Generazione di payload sintetici che si adattano a eludere gli strumenti antivirus
Utilizzo di GenAI per offuscare il codice dannoso all'interno di tipi di file altrimenti legittimi.
Poiché gli avversari passano dalla violazione dei sistemi allo sfruttamento degli scambi di file tra di essi, non è più sufficiente controllare l'accesso. A differenza delle intrusioni di rete, gli scambi di file spesso eludono gli strumenti di ispezione e sono considerati benigni, il che li rende meccanismi di consegna ideali per i payload generati dall'intelligenza artificiale. I governi devono verificare, sanificare e tracciare i file tra le agenzie, i fornitori e le reti critiche, soprattutto quando la visibilità è scarsa a causa di audit e tracciamento limitati.
La complessità informatica che i governi devono affrontare
L'intelligenza artificiale ha accelerato la portata e la sofisticazione degli attacchi informatici, travolgendo le difese frammentate e tradizionali su cui si basano ancora molti sistemi governativi. A differenza delle minacce precedenti, che richiedevano una precisione tecnica per sfruttare una vulnerabilità, gli attacchi odierni sono sempre più automatizzati, consapevoli del contesto e distribuiti a livello globale. L'intelligenza artificiale agisce ora come un moltiplicatore di forze, comprimendo le tempistiche di attacco e accelerando il processo decisionale su entrambi i lati del campo di battaglia informatico.
Secondo il World Economic Forum, il 66% dei leader della cybersecurity ritiene che l'IA avrà l'impatto più significativo sulle operazioni di sicurezza nel prossimo anno. Tuttavia, solo il 37% delle organizzazioni ha adottato misure per valutare la sicurezza degli strumenti di IA prima di implementarli. Il risultato è un panorama di rischi in rapida evoluzione, in cui molti governi sono impreparati ad affrontare avversari che possono agire quasi alla velocità della luce.
Nel corso del tempo, la trasformazione digitale ha portato a reti complesse composte da sistemi legacy, piattaforme di terze parti, portali pubblici e scambi di file tra agenzie governative. Molti di questi sistemi non hanno visibilità in tempo reale sul flusso dei dati o sul loro utilizzo. Gli aggressori sfruttano questa situazione prendendo di mira i flussi di lavoro, le credenziali e i trasferimenti di file che collegano i sistemi "air-gapped" e i vari dipartimenti.
La GenAI viene ora utilizzata per:
Scrivere e mutare il malware
Generare codice di exploit zero-day
Rubare le credenziali attraverso il phishing e l'impersonificazione adattivi
Creazione di contenuti di phishing e social engineering su scala.
Questi rischi sono amplificati dalle pressioni geopolitiche e dalle dipendenze transnazionali. La preparazione del settore pubblico è bassa: secondo il WEF, solo il 14% delle organizzazioni governative si sente sicuro della propria resilienza informatica. Questa cifra è molto lontana dai benchmark del settore privato.
4 Fattori di rischio chiave
1. Adozione dell'IA: supera le pratiche di implementazione sicura
2. Infrastruttura obsoleta: non è in grado di supportare meccanismi moderni di rilevamento o controllo.
3. Maggiore esposizione: attraverso i flussi di dati transfrontalieri e le catene di fornitura globali.
4. Mandati di conformità frammentati: risorse già limitate.
Furto di credenziali e rischio insider
Il furto di credenziali è diventato un metodo di accesso primario, superando le tattiche di forza bruta, in quanto gli aggressori utilizzano phishing e infostealer potenziati dall'intelligenza artificiale per compromettere gli account nelle reti del settore pubblico.
Secondo IBM, gli attacchi basati sull'identità costituiscono il 30% degli incidenti. Spesso iniziano con e-mail generate dall'intelligenza artificiale o con deepfakes progettati per ingannare il personale e indurlo a consegnare le credenziali. Una volta entrati, gli aggressori utilizzano account validi per accedere ai dati senza essere scoperti, soprattutto in sistemi con una segmentazione limitata o audit trail deboli.
Le difese proattive del livello e-mail sono fondamentali per bloccare questi attacchi prima che raggiungano le caselle di posta, soprattutto quando i vincoli di produttività limitano la sanitizzazione dei file. MetaDefender Email Security™ supporta questo aspetto analizzando gli allegati attraverso il Multiscanning ripetitivo e proteggendo i file che contengono componenti attivi, anche quando Deep CDR™ è disabilitato. Ciò garantisce che le macro o il codice incorporato negli allegati possano essere utilizzati in modo sicuro senza esporre l'organizzazione a rischi.
Le agenzie pubbliche sono esposte alle minacce informatiche a causa di sistemi di identità obsoleti, forza lavoro ibrida e frequenti scambi di file esterni. Anche le minacce interne si stanno evolvendo. Il rapporto 2025 Cost of Insider Risks del Ponemon Institute mostra che gli insider "smascherati" - quelli compromessi dall'ingegneria sociale - rappresentano oggi il 20% di tutti gli incidenti insider, con i costi più elevati per incidente, pari a 779.797 dollari. I ruoli amministrativi, HR e di supporto sono particolarmente presi di mira a causa del loro accesso abituale a contenuti sensibili.
I principali modelli di rischio generati dall'IA includono:
Deepfake: impersonificazione di funzionari per autorizzare azioni fraudolente.
Dispositivi personali compromessi che espongono le credenziali governative
Esfiltrazione di dati non rilevata tramite spostamento di file non gestito
Strumenti basati sull'intelligenza artificiale
Cosa fa
DeepfaceLab e FaceSwap
Crea video realistici per aggirare le procedure di verifica o impersonare i dirigenti
FrodeGPT e WormGPT
Costruisce email di phishing, documenti legali e comunicazioni convincenti su scala.
Ricattatore V3
Scraping di dati aziendali e personali per condurre in modo credibile estorsioni e ricatti
EvilProxy e Robin Banks
Genera automaticamente siti web di phishing e portali di login per banche, servizi cloud e piattaforme aziendali.
ElevenLabs e Voicemy.ai
Clona le voci per il phishing, le chiamate truffa e l'aggiramento delle autenticazioni
Bot di ingegneria sociale
Impersona l'assistenza clienti e inganna gli utenti per far loro condividere informazioni sensibili e codici MFA.
Un punto cieco nella difesa informatica
I programmi di cybersecurity del settore pubblico spesso danno priorità all'accesso alla rete, alla gestione delle identità e alla difesa degli endpoint. Ma un livello critico rimane persistentemente sottoprotetto: il modo in cui i file si spostano tra persone, reparti, sistemi e zone.
Questo punto cieco nella difesa informatica è sempre più sfruttato dagli aggressori che utilizzano credenziali legittime o payload creati dall'intelligenza artificiale. Una volta che un avversario prende piede, raramente agisce da solo. Le loro azioni fanno spesso parte di campagne più ampie, che coinvolgono toolkit di malware, broker di accesso o partner di estorsione. Si muovono lateralmente inserendo contenuti dannosi all'interno di documenti di routine per sfruttare l'assenza di ispezione, sanificazione e controllo nei flussi di file legacy.
Molti flussi di file sono privi di convalida del formato, di rimozione delle minacce incorporate e di regole di accesso consapevoli del contesto, tutti elementi ormai fondamentali per difendersi dalle minacce di tipo AI. L'intelligenza artificiale non fa che amplificare questo rischio. Il malware polimorfico nei PDF o nei documenti Office può mutare al momento della consegna, eludendo i motori antivirus.
Gli script generativi creati dall'intelligenza artificiale e i deepfake vengono utilizzati per mascherare l'intento o impersonare funzionari fidati. I file contenenti queste minacce spesso viaggiano non verificati e non registrati tra i dipartimenti, i flussi di lavoro interdominio o le reti di partner. Nel giugno 2025, il Paraguay ha subito una violazione di 7,4 milioni di dati di cittadini, esfiltrati da diverse agenzie governative e diffusi tramite file ZIP e torrent sul dark web. Gli aggressori hanno chiesto un riscatto di 7,4 milioni di dollari, sfruttando file system non protetti in tutto il settore pubblico per estorcere l'intera nazione.
Secondo Ponemon, oltre la metà dei casi di compromissione delle credenziali coinvolge contenuti generati dall'intelligenza artificiale. Questi payload aggirano le tradizionali protezioni per gli utenti e sfruttano il fatto che molte agenzie non trattano lo scambio di file come un processo governato e rafforzato dalla sicurezza. Senza visibilità e controllo a livello di file, anche le reti segmentate e i sistemi air-gapped possono essere violati da quello che sembra essere un documento o un archivio di routine.
Gli scambi di file non verificati sono già stati collegati a incidenti importanti, tra cui la propagazione di ransomware tra le agenzie, l'esfiltrazione di dati sensibili tramite archivi di documenti e l'iniezione di malware nelle catene di fornitura del software. Non si tratta di rischi teorici. Si tratta di vettori di attacco attivi che sfruttano flussi di lavoro frammentati e l'assenza di una governance unificata dei trasferimenti.
Metodi insicuri di gestione dei file legacy
Molte agenzie governative si affidano ancora a pratiche di gestione dei file obsolete come gli allegati di posta elettronica, le unità condivise, le USB e i server FTP ad hoc. Questi metodi mancano della visibilità a livello di file, dell'ispezione delle minacce e dell'applicazione delle policy necessarie per contrastare i rischi odierni guidati dall'intelligenza artificiale.
I file instradati manualmente sono soggetti a errori umani e a un'applicazione incoerente. Senza una supervisione centralizzata, è difficile sapere cosa è stato trasferito, chi vi ha acceduto o se è stato analizzato al di là di una scansione antivirus di base. Questi punti ciechi sono facilmente sfruttabili dal malware generato dall'intelligenza artificiale, che può mutare al momento della consegna, nascondersi in formati contraffatti o aggirare gli scanner utilizzando l'offuscamento.
Le limitazioni più comuni includono:
Scansioni AV monostrato, basate su firme, che non riescono a individuare malware polimorfi o creati dall'intelligenza artificiale a causa della mancanza di analisi euristiche, di apprendimento automatico o basate su sandbox.
Zone di sicurezza segmentate senza visibilità condivisa sul comportamento o sull'origine dei file.
Tracce di controllo decentralizzate che rallentano le indagini e compromettono la conformità.
Queste vulnerabilità sono amplificate in ambienti ibridi con integrazione IT-OT, accesso di appaltatori e flussi di lavoro tra agenzie. Il movimento dei file tra i reparti o tra i domini di sicurezza spesso non viene verificato, introducendo rischi persistenti per i sistemi di alto valore.
Le interazioni della catena di fornitura aggravano ulteriormente il problema. Gli scambi di file di routine con fornitori e integratori terzi sono spesso gestiti tramite strumenti non autorizzati o semplici portali di upload, come portali SFTP pubblicamente accessibili o dropbox di documenti non protetti, con ispezioni minime.
Fatture, aggiornamenti di configurazione e documentazione possono contenere minacce incorporate senza che nessuna delle parti se ne renda conto. In molti incidenti recenti, gli aggiornamenti regolari dei file da parte di fornitori affidabili hanno introdotto backdoor, ransomware o malware per il furto di credenziali nelle reti governative.
Anche i partner più intenzionati possono non disporre dei controlli di sicurezza multilivello necessari per rilevare le minacce prima che i file raggiungano i sistemi federali. E quando la visibilità sui flussi di file esterni è scarsa, queste compromissioni possono rimanere latenti per settimane prima di essere rilevate.
Senza una prevenzione multilivello delle minacce e un controllo basato su policy dei flussi di file, i flussi di lavoro legacy fungono da punti di ingresso per gli avversari, soprattutto nei sistemi che gestiscono l'identità dei cittadini, i dati sanitari o la tecnologia operativa. Questi metodi non sono in grado di soddisfare le esigenze del modello di minaccia odierno, che comprende malware polimorfi generati dall'intelligenza artificiale e payload di ingegneria sociale progettati per eludere il rilevamento tradizionale.
MFT 'MFT Security-First riduce i rischi nei trasferimenti di file
Le amministrazioni pubbliche hanno bisogno di qualcosa di più dell'archiviazione sicura o del controllo degli accessi. Hanno bisogno di soluzioni sicure per il transito dei file. Managed File Transfer MFT) risolve questo problema applicando trasferimenti di file basati su criteri tra sistemi, utenti e domini. Inoltre, applica la sanificazione e l'ispezione proattiva dei file per bloccare le minacce prima dell'esecuzione.
Trent'anni fa, l'attenzione era rivolta semplicemente allo spostamento dei file. Con il tempo, si è evoluta l'esigenza di trasferimenti sicuri, crittografando i file in transito e a riposo. Oggi la visione è ancora più ampia e considera l'intero ciclo di vita del file e il contesto più ampio di fiducia, policy e rischio.
Jeremy Fong
Vicepresidente di MetaDefender Managed File Transfer, SANS ICS Security Summit, 2025
A differenza dei metodi tradizionali, come gli allegati di posta elettronica scansionati una sola volta o i server SFTP privi di applicazione dei criteri, MFT applica una prevenzione delle minacce multilivello che ispeziona e sanifica i contenuti prima che raggiungano la destinazione.
I motori AV multipli rilevano il malware evasivo, la tecnologia CDR (content disarm and reconstruction) elimina le minacce incorporate dai file e l'analisi sandbox basata sull'emulazione e assistita dall'intelligenza artificiale individua gli exploit zero-day. Questi livelli lavorano insieme per verificare, neutralizzare e governare ogni file prima che entri in un ambiente fidato.
La verifica del tipo di file garantisce che i file siano ciò che dichiarano di essere, riducendo il rischio di formati contraffatti o mascherati.
L'estrazione degli archivi analizza il contenuto annidato all'interno di file compressi come gli archivi ZIP o RAR, che sono comuni contenitori di malware nascosti.
Il rilevamento del paese d'origine aiuta ad applicare i controlli geopolitici o a bloccare i caricamenti ad alto rischio provenienti da regioni segnalate.
2. Salvaguardia della fiducia e dell'integrità dei file
La convalida del checksum verifica che i file non siano stati manomessi durante il transito, rilevando le modifiche non autorizzate e preservando l'integrità della catena di custodia.
3. Crittografia da un capo all'altro
La crittografia HTTPS protegge i dati in movimento durante le sessioni di trasferimento.
La crittografia AES-256 protegge i dati a riposo, compresi i file in coda o archiviati in attesa di approvazione o consegna.
L'integrità operativa è rafforzata da queste capacità MFT :
I trasferimenti basati su criteri garantiscono che i file seguano flussi di lavoro rigorosi per l'instradamento e l'approvazione.
Il controllo degli accessi basato sui ruoli impedisce l'esposizione non autorizzata di contenuti sensibili.
Registri dettagliati e audit trail supportano la conformità e le indagini.
Prevenire gli attacchi è essenziale, ma il vero valore risiede nell'avere una reportistica dettagliata, in grado di dimostrare cosa è successo a un file, quando e perché. Questo livello di visibilità è il fiore all'occhiello della movimentazione sicura dei file.
Jeremy Fong
Vicepresidente di MetaDefender Managed File Transfer, SANS ICS Security Summit, 2025
Queste funzionalità sono particolarmente preziose negli ambienti del settore pubblico, dove i file attraversano i confini tra dipartimenti, appaltatori o domini ad alta sicurezza. Con l'MFT, la sicurezza viene applicata sia al file che al processo di trasferimento, riducendo il rischio che minacce nascoste passino attraverso i canali di fiducia, sia che provengano da utenti interni che da partner esterni.
MetaDefender MFT soddisfa le esigenze di sicurezza del governo
MetaDefender Managed File Transfer™ è stato progettato per ambienti in cui la sicurezza non può essere un elemento secondario. Consente ai governi di spostare i file tra utenti, reti e sistemi in tutta sicurezza. Questo garantisce la sicurezza a livello di contenuti, processi e criteri.
A differenza dei gateway di file di base o degli strumenti di trasferimento tradizionali, MetaDefender MFT è una soluzione per il trasferimento di file con policy, prevenzione delle minacce a più livelli e audit integrati. Include l'integrazione nativa con MetaScan™ Multiscanning, Deep CDR™, Proactive DLP™ e MetaDefender Sandbox™, tutti alimentati da MetaDefender Core™.
Come ha spiegato Jeremy Fong, "la maggior parte delle soluzioni MFT non ha ancora una protezione malware integrata. La nostra include la scansione multipla con più motori AV, oltre al disarmo e alla ricostruzione dei contenuti, alla prevenzione della perdita di dati e a diversi livelli aggiuntivi per garantire che ogni file sia sicuro e conforme". Queste tecnologie lavorano insieme per neutralizzare le minacce prima della consegna, comprese quelle incorporate in documenti, archivi e contenuti eseguibili.
4 I principali vantaggi di MetaDefender MFT:
Flussi di lavoro basati su criteri che automatizzano le approvazioni, l'instradamento e l'applicazione.
Supporta sia i sistemi legacy che l'infrastruttura modernizzata con l'applicazione completa delle policy
Progettato per gli ambienti con ghiera d'aria e per i domini incrociati
Controllo degli accessi basato sui ruoli con audit trail completi per ogni evento di trasferimento
Sia che venga utilizzato per lo scambio di dati tra agenzie, per la collaborazione con i fornitori o per la sicurezza dei servizi ai cittadini, MetaDefender MFT offre visibilità a livello di file e protezione a più livelli nelle operazioni quotidiane. È stato progettato per adattarsi alla complessità dell'IT governativo, alzando al contempo il livello di sicurezza e conformità.
Movimentazione Secure dei file per la resilienza informatica
Le minacce alimentate dall'intelligenza artificiale stanno accelerando e i governi non possono più permettersi di trattare la gestione dei file come un compito amministrativo. I file non sono solo dati. Sono payload sfruttabili dall'intelligenza artificiale che attraversano i confini, impersonano la fiducia e aggirano il rilevamento quando non vengono gestiti. Senza visibilità e controllo a livello di trasferimento, anche sistemi ben difesi possono essere compromessi da quelle che sembrano attività di routine.
MetaDefender Managed File Transfer fornisce una base di sicurezza per le moderne operazioni governative. Applicando le policy, ispezionando i contenuti e controllando l'integrità del processo di trasferimento dei file, chiude un punto cieco critico nell'attuale cybersecurity del settore pubblico.
Mentre l'intelligenza artificiale continua a rimodellare il panorama delle minacce, il movimento dei file deve diventare una funzione deliberata e governata, anziché una vulnerabilità. MetaDefender MFT aiuta le agenzie governative a proteggere il movimento dei file con sicurezza e controllo. Per scoprire come MetaDefender MFT può aiutare a proteggere la vostra organizzazione, parlate con un esperto oggi stesso.
Ricevete gli ultimi aggiornamenti sull'azienda OPSWAT , le informazioni sugli eventi e le notizie che fanno progredire il settore.
le notizie che fanno progredire il settore.
