Barracuda full logo

Linee guida di sicurezza OWASP sui deepfake

Argomenti:
17 dic 2024
|
Nihad Hassan

Il rilascio pubblico di ChatGPT alla fine del 2022 ha introdotto cambiamenti radicali nel modo in cui aziende e individui utilizzano le tecnologie di intelligenza artificiale (AI). I vantaggi erano evidenti per le aziende: razionalizzare numerosi processi aziendali e ridurre i costi. Gli individui hanno iniziato a utilizzarlo per accelerare la loro produttività e per svago, ad esempio, modificando le loro foto utilizzando strumenti AI per cambiare il colore dei capelli o lo stile del corpo.

Come con tutto nella vita, la tecnologia moderna comporta dei rischi. Nel dominio dell'IA, il rischio più evidente era usarla per creare immagini e contenuti video falsificati per rappresentare qualcosa che non è realmente accaduto. Questa pratica è anche conosciuta come creazione di deepfake.

Per mitigare i crescenti rischi dell'uso delle tecnologie AI in diversi settori aziendali, OWASP ha introdotto il top 10 per le applicazioni di modelli linguistici di grandi dimensioni (LLM) nel 2023. Questo elenco evidenzia e affronta i problemi di sicurezza specifici per il deployment e la gestione di LLM e applicazioni AI generative. Tuttavia, dopo l'ampia adozione delle tecnologie AI e l'aumento dell'uso di questa tecnologia da parte degli attori di minacce per creare contenuti fabbricati, OWASP ha emesso una nuova guida specificamente per affrontare e mitigare i rischi di sicurezza dei deepfake applicando principi di sicurezza fondamentali. In questo articolo, discuteremo i principali elementi di questa guida e come le aziende possono utilizzarla per rafforzare le loro difese contro diversi attacchi deepfake. Tuttavia, prima di iniziare, definiamo cosa significa deepfake.

Deepfake e media sintetici

I deepfake sono un tipo di media sintetico creato utilizzando l'IA. Questa tecnologia impiega algoritmi di apprendimento automatico (ML) per generare contenuti realistici e simili a quelli umani, come immagini, video, audio e testo.

Esistono diversi tipi di media sintetici:

  • Video deepfake: Si tratta di video manipolati che alterano le riprese video, ad esempio sostituendo un volto umano con il volto di un'altra persona, per creare un video falso convincente.
  • Immagini generate utilizzando l'IA: Gli strumenti IA possono generare immagini dai prompt di testo degli utenti o modificare quelle esistenti.
  • Testo sintetico: Questi sistemi generano contenuti testuali, come articoli, post di blog, poesie, e-book, guide per l'utente o qualsiasi contenuto testuale, basandosi su ampi dataset su cui sono stati addestrati. ChatGPT e Claude sono esempi di AI generativa di testo.
  • Voce sintetica: Questo tipo di media utilizza l'IA e il deep learning per generare suoni che somigliano al linguaggio umano.
  • Assistenti virtuali: Questi programmi comprendono e rispondono al linguaggio umano. Sfruttano algoritmi di NLP e ML per comprendere e rispondere in modo naturale ai comandi vocali o testuali umani.  

Ora che abbiamo una buona comprensione dei media sintetici e dei loro tipi, parliamo della recente guida OWASP sulla mitigazione degli attacchi basati su deepfake.

Gestione degli incidenti Deepfake

La guida OWASP presenta un framework completo per affrontare e rispondere alle sfide di sicurezza legate ai deepfake in vari contesti organizzativi. Sebbene la fase preparatoria rimanga costante, le fasi successive di rilevamento, contenimento e risposta sono adattate a specifici tipi di incidenti deepfake.

Preparazione

Le organizzazioni devono valutare la loro vulnerabilità alle minacce di deepfake attraverso vari vettori di attacco, come:

  1. Manipolazione dell'identità digitale: Sfruttamento delle tecnologie di voce, video o immagine generate dall'IA per aggirare i protocolli di sicurezza. Ad esempio, gli intrusi possono utilizzare deepfake per impersonare un utente specifico e ottenere accesso illegale a risorse sensibili.
  2. Impersonazione di dirigenti: Esecuzione di schemi fraudolenti imitando dirigenti di alto livello, come il CFO, per autorizzare transazioni finanziarie non autorizzate. I deepfake possono essere utilizzati per imitare il discorso del bersaglio o persino fabbricare una videochiamata.
  3. Compromissione della reputazione del marchio: Creare media sintetici che mostrano un dipendente di alto livello, come il CEO, fare dichiarazioni controverse che potrebbero danneggiare la reputazione dell'azienda.
  4. Infiltrazione nel reclutamento: Gli attori delle minacce utilizzano tecnologie deepfake avanzate e informazioni personali rubate per manipolare i processi di assunzione online, come imitare altre persone durante un colloquio di lavoro online. L'obiettivo è convincere il rappresentante delle risorse umane ad assumerli in modo che possano infine ottenere l'accesso autorizzato alle risorse protette dell'azienda.
  5. Disinformazione strategica: Generare e diffondere contenuti multimediali falsificati (video, articoli di notizie e immagini) progettati per influenzare la dinamica del mercato riguardante una particolare azienda. Questa tattica normalmente prende di mira gli stakeholder chiave, come investitori, partner o clienti, per minare la fiducia e interrompere le relazioni commerciali chiave. L'obiettivo finale è danneggiare la reputazione e la posizione di mercato dell'azienda bersaglio.

Valutazione delle difese

La guida suggerisce che le organizzazioni dovrebbero eseguire una valutazione della sicurezza che esamini le loro politiche di sicurezza, procedure e metodi di auditing per le seguenti quattro aree:

  1. Divulgazione di dati sensibili
  2. Help desk
  3. Transazioni finanziarie
  4. Risposta all'evento

Best practice di autenticazione basata su umani

Quando un'organizzazione implementa l'autenticazione basata su persone, almeno due delle seguenti migliori pratiche dovrebbero essere applicate:

  • Conserva una directory di metodi di comunicazione approvati, come un indirizzo email alternativo o un numero di telefono, per autenticare ulteriormente una persona specifica.
  • Richiedere la verifica della comunicazione alternativa, come richiamare la persona o inviare un'email separata per verificare la richiesta.
  • Utilizzare il metodo "codice del giorno". Le istituzioni finanziarie spesso utilizzano questa pratica per generare un codice unico giornaliero che può essere usato insieme ad altri metodi di identificazione verbale per eseguire compiti importanti.
  • Utilizzare domande di sicurezza per verificare l'identità oltre ai fattori di autenticazione esistenti. Evitare domande facili da ricercare, come il secondo nome della madre.
  • Chiedi al manager o al supervisore del richiedente di verificare la richiesta.

Transazioni finanziarie

Quando si trattano transazioni finanziarie, la guida OWASP suggerisce le seguenti migliori pratiche:

  • Stabilire politiche chiare su come eseguire le transazioni finanziarie all'interno della tua organizzazione.
  • Implementare il concetto di separazione dei doveri. Questo significa che nessun individuo può avere il controllo totale sull'esecuzione di una transazione.
  • Richiedi l'autorizzazione a due dipendenti per eseguire ogni transazione. Per le transazioni con un importo elevato, richiedi l'approvazione da più di due dipendenti.
  • Utilizzare il metodo "codice del giorno" per verificare le persone che effettuano transazioni finanziarie.
  • Sfrutta l'autenticazione multifattoriale (MFA) per proteggere le transazioni finanziarie.
  • Utilizzare due metodi di comunicazione per approvare una transazione finanziaria, ad esempio, tramite email e telefono.
  • Verificare regolarmente le procedure delle transazioni finanziarie e garantire la conformità con le procedure applicate.

Help desk

La guida OWASP suggerisce le seguenti best practice per mitigare gli attacchi deepfake per i dipendenti che lavorano nel reparto help desk:

  • Rivedi le procedure di reimpostazione della password e assicurati che MFA sia attivo per gli account di tutti i dipendenti.
  • Verificare tutti i processi di lavoro relativi al servizio di assistenza e identificare le lacune che potrebbero essere vulnerabili agli attacchi deepfake.
  • Documentare tutti i processi che non richiedono MFA e garantire che l'autenticazione basata su umani segua le migliori pratiche di sicurezza.

Assunzione

Nell'area di reclutamento, OWASP suggerisce le seguenti best practice:

  • Stabilire un processo per segnalare i candidati sospetti (che si sospetta stiano utilizzando identità generate tramite tecnologia AI) al dipartimento interessato.
  • Utilizzare soluzioni automatizzate per rilevare documenti falsificati, come passaporti e documenti di identità falsi, e informare i candidati che verificherete i loro documenti di identità per vedere se sono stati generati utilizzando la tecnologia deepfake.
  • Includere una nota in tutti gli annunci di lavoro che dichiari che non saranno consentiti metodi di manipolazione audio o video durante il processo di colloquio.
  • Verificare tutte le pratiche di assunzione e garantire che tutti i dipendenti del dipartimento HR seguano le migliori pratiche per il controllo dei precedenti, le referenze, le revisioni dei curriculum e i colloqui con i candidati.

Divulgazione di dati sensibili

Quando si trattano dati sensibili, come i dati personali dei clienti, la guida OWASP suggerisce le seguenti best practice:

  • Rivedere le politiche e le procedure attuali per la divulgazione di dati sensibili in tutti i reparti e intervistare i dipendenti di questi reparti per riconoscere i flussi di lavoro attualmente implementati, che potrebbero differire da quelli documentati.
  • Identificare le lacune nelle procedure attuali.
  • Identificare quali processi possono essere eseguiti senza MFA.
  • Assicurati che i metodi di autenticazione basati su persone seguano le migliori pratiche di sicurezza.

Monitoraggio del marchio

Per il monitoraggio del marchio, si raccomandano le seguenti best practice:

  • Esaminare gli strumenti e i servizi di monitoraggio del marchio attuali e assicurarsi che siano in grado di riconoscere i contenuti deepfake.
  • Assicurarsi che tutti i dipendenti dei diversi dipartimenti conoscano i tipi di contenuti deepfake e come segnalare tali contenuti al dipartimento appropriato.

Risposta all'evento

Nell'area di risposta dell'evento, assicurati quanto segue:

  • Hai un processo consolidato per segnalare contenuti deepfake.
  • Il tuo attuale accordo sul livello di servizio (SLA) con le aziende di informatica forense include una sezione per affrontare gli incidenti di deepfake.
  • Hai un processo consolidato per rimuovere contenuti deepfake, come violazioni del copyright, domini simili e altri contenuti fabbricati.

Piano di risposta agli incidenti di deepfake

La guida OWASP suggerisce un piano generale di risposta agli incidenti per identificare e rispondere ai contenuti deepfake. Propone i seguenti passaggi generali:

  • Creare una struttura di governance per rispondere agli incidenti di deepfake.
  • Identificare le procedure di escalation quando si identificano i deepfake.
  • Identificare come rimuovere i contenuti deepfake e stabilire le azioni legali per perseguire ufficialmente tali casi.
  • Per ciascun tipo di incidente deepfake, identificare il piano di comunicazione di crisi pertinente in tutti gli scenari deepfake, che sono:
    1. Guadagno finanziario tramite frode per impersonazione
    2. Impersonazione per attacchi informatici
    3. Frode colloquio di lavoro
    4. Mis/Dis/Mal informazione
  • Categoria l'incidente deepfake, se appartiene a una grande campagna o solo a un incidente isolato. La guida OWASP suggerisce che i piani di risposta agli incidenti dovrebbero tenere conto delle seguenti implicazioni:
    1. Danno reputazionale
    2. Pressione di estorsione a seguito di un evento di ransomware o esfiltrazione di dati
    3. Hacktivismo / attivismo aziendale
    4. Frode finanziaria
    5. Divulgazione di informazioni sensibili
    6. Spionaggio industriale
    7. Violazioni informatiche o di rete
    8. Fornire informazioni fuorvianti agli stakeholder
    9. Manipolazione del prezzo delle azioni
  • Determina se la tua organizzazione dispone della tecnologia necessaria per l'identificazione dei deepfake; in caso contrario, chiedi al tuo fornitore di analisi forense digitale di fornire questa capacità.
  • Definire quando richiedere assistenza alle forze dell'ordine.
  • Assicurati che il piano di risposta agli incidenti venga verificato regolarmente e aggiornato continuamente.

Formazione sulla consapevolezza

Assicurarsi che tutti i dipendenti abbiano una formazione adeguata su come identificare i contenuti deepfake. La guida OWASP propone che la formazione sulla consapevolezza dei dipendenti dovrebbe, almeno, coprire i seguenti punti:

  • Cosa sono i deepfake
  • Cosa fare se ritieni che un deepfake ti stia prendendo di mira
  • Cosa fare se sei soggetto a un deepfake
  • Dove segnalare i deepfake

OWASP fornisce una guida completa per mitigare i rischi dei deepfake. Le organizzazioni devono prepararsi valutando le loro attuali vulnerabilità, implementando MFA, stabilendo processi di verifica robusti e creando piani di risposta agli incidenti per gestire tali eventi. La formazione sulla consapevolezza dei dipendenti è fondamentale per riconoscere e segnalare le minacce dei media sintetici che potrebbero compromettere l'identità digitale, la sicurezza finanziaria e la reputazione del marchio.

Nihad Hassan

Nihad Hassan è un autore tecnico esperto che ha pubblicato sei libri nel campo della cybersecurity. Le sue aree di competenza includono una vasta gamma di argomenti relativi alla cybersecurity, tra cui OSINT, threat intelligence, digital forensics, data hiding, digital privacy, network security, social engineering, ransomware, penetration testing, information security, compliance e data security.

Post correlati:
First signs of AI-enabled ransomware attacks emerge
First signs of AI-enabled ransomware attacks emerge
 Esplorare l'adozione dell'IA: dalla curiosità alla chiarezza
Esplorare l'adozione dell'IA: dalla curiosità alla chiarezza
 PoisonGPT: Armi IA per la disinformazione
PoisonGPT: Armi IA per la disinformazione
 DarkBard: Il "gemello malvagio" di Google Bard
DarkBard: Il "gemello malvagio" di Google Bard
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.