Proteggere le distribuzioni di intelligenza artificiale Cloud : Approfondimenti da MITRE ATLAS e la necessità di un CDR guidato dall'AI

16 maggio 2025

Proteggere le distribuzioni di intelligenza artificiale Cloud : Approfondimenti da MITRE ATLAS e la necessità di un CDR guidato dall'AI

Man mano che le organizzazioni integrano l'intelligenza artificiale nei sistemi mission-critical, la superficie di attacco cresce oltre gli ambienti IT e cloud tradizionali. ATLAS colma questa lacuna documentando gli scenari di attacco specifici per l'IA, i comportamenti reali degli avversari in natura e le strategie di mitigazione adattate agli ambienti abilitati all'IA.

Che cos'è il framework MITRE ATLAS?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) è una base di conoscenza vivente e pubblicamente accessibile che cataloga le tattiche e le tecniche avversarie rivolte ai sistemi abilitati all'intelligenza artificiale. Modellato sul modello del framework ATT&CK® ampiamente adottato da MITRE, ATLAS è adattato alle minacce, alle vulnerabilità e ai rischi unici posti dalle tecnologie di intelligenza artificiale.

ATLAS è una risorsa curata costruita su:

Osservazioni sugli attacchi del mondo reale
Dimostrazioni di AI red team
Ricerca sulla sicurezza da parte del governo, dell'industria e del mondo accademico

Il sistema rileva il modo in cui gli avversari prendono di mira l'IA e i sistemi di apprendimento automatico, compresi i comportamenti, le tecniche e gli strumenti che sono specifici o adattati ai contesti dell'IA.

Dalla weaponization all'abuso dell'infrastruttura: uno spostamento dell'attenzione degli aggressori

La stragrande maggioranza delle attività coinvolge gli attori delle minacce che utilizzano l'IA generativa per accelerare le loro campagne attraverso attività quali:

Scrivere email phishing o script di social engineering
Ricerca di vulnerabilità o tecniche
Risoluzione di problemi malware o sviluppo di strumenti
Generazione di contenuti per truffe o identità false Ma un modello più preoccupante sta guadagnando attenzione: gli aggressori stanno utilizzando tattiche in evoluzione in cui lo sfruttamento delle risorse LLM cloud, come AWS Bedrock e Azure AI Foundry, èdiventato un vettore crescente di profitto e abuso.

AWS Bedrock — Figura: Amazon Bedrock è un servizio che aiuta gli utenti a costruire e scalare applicazioni di intelligenza artificiale generativa. È un servizio completamente gestito che supporta la distribuzione di modelli fondamentali di Anthropic, Meta e altri.

I LLM pubblici possono generare testo o assistere con lo scripting, ma i modelli cloud sono profondamente integrati nei flussi di lavoro aziendali ad alto valore. Questi sistemi offrono agli avversari l'accesso all'elaborazione, ai dati sensibili e agli ambienti di esecuzione affidabili.

Meme che illustra il fatto che gli aggressori preferiscono abusare della GenAI cloud piuttosto che utilizzare la GenAI per uso generico

Perché attaccare l'IA cloud invece dei modelli gratuiti e open-source?

Piattaforme Cloud come AWS Bedrock e Azure AI Foundry sono obiettivi interessanti perché:

Esporre l'infrastruttura multi-tenant: Una vulnerabilità nei componenti condivisi può avere un impatto su più clienti.
Fornire accesso a dati aziendali riservati: Soprattutto se legati ai flussi di lavoro RAG (retrieval-augmented generation), che migliorano le risposte LLM recuperando e inserendo dati aziendali da fonti di conoscenza collegate.
Abuso di fiducia e integrazioni di identità: Le identità Cloud e i ruoli IAM possono essere sfruttati per l'escalation dei privilegi o il movimento laterale.
Il costo di gestione è elevato: Gli attaccanti possono sfruttare questo aspetto dirottando le risorse di calcolo (LLMjacking).

L'abuso di queste piattaforme consente agli avversari di operare con maggiore furtività e ritorno sull'investimento rispetto all'utilizzo di API open-source o pubbliche.

Perché gli avversari prendono di mira le infrastrutture di IA generativa

Gli aggressori che prendono di mira i servizi GenAI cloud sono motivati da tre obiettivi primari: guadagno finanziario, esfiltrazione dei dati e intento distruttivo. Il loro successo dipende in larga misura dal modo in cui ottengono l'accesso iniziale all'infrastruttura aziendale.

1. Guadagno finanziario

Gli aggressori possono cercare di dirottare gli account aziendali o sfruttare un'infrastruttura mal configurata per eseguire lavori di inferenza non autorizzati, una tattica nota come LLMjacking. Possono anche abusare dei servizi di intelligenza artificiale cloud per ottenere calcoli gratuiti o accesso monetizzato ai modelli.

2. Esfiltrazione

Gli avversari più sofisticati mirano a estrarre modelli proprietari, dati di addestramento o documenti aziendali sensibili a cui si accede tramite sistemi RAG (retrieval-augmented generation). Anche le API di inferenza possono essere abusate per far trapelare i dati nel tempo.

3. Distruzione

Alcuni attori cercano di degradare le prestazioni o la disponibilità del sistema lanciando attacchi denial-of-service, avvelenando le pipeline di formazione o corrompendo i risultati dei modelli.

Sebbene l'uso improprio di LLM pubblici consenta alcune attività di attacco, i vantaggi strategici di colpire l'infrastruttura GenAI aziendale - accesso ai dati, scalabilità e sfruttamento della fiducia - lo rendono un vettore più attraente e d'impatto.

Come MITRE ATLAS vi aiuta a comprendere e mappare queste minacce

MITRE ATLAS fornisce una visione strutturata delle tattiche e delle tecniche utilizzate nel mondo reale contro i sistemi di intelligenza artificiale, che corrisponde direttamente ai rischi riscontrati in piattaforme come AWS Bedrock, Azure AI e altri servizi GenAI gestiti.

ATLAS copre un'ampia gamma di tecniche oltre a quelle relative all'infrastruttura di IA cloud, tra cui la ricognizione dei modelli di IA, l'avvelenamento di modelli o set di dati open-source, la compromissione dei plugin LLM e molte altre.

Ecco alcuni esempi di tecniche specifiche che un attore potrebbe sfruttare nel processo di attacco all'infrastruttura di intelligenza artificiale cloud:

Accesso iniziale

Conti validi (AML.T0012): Gli avversari spesso acquisiscono credenziali legittime tramite campagne phishing , credential stuffing o violazioni della catena di fornitura.
Sfruttare le applicazioni rivolte al pubblico (AML.T0049): Endpoint scarsamente protetti o esposti (ad esempio, assistenti RAG o API) possono essere utilizzati per ottenere punti di appoggio iniziali nei sistemi GenAI.

Ecosistema Dark Web per il LLMjacking - Gli account compromessi e le chiavi IAM di AWS vengono venduti attraverso servizi clandestini, consentendo ai consumatori di eseguire carichi di lavoro di inferenza non remunerati su LLM cloud. — Figura: Ecosistema del Dark Web per l'LLMjacking - Gli account compromessi e le chiavi IAM di AWS vengono venduti attraverso servizi clandestini, consentendo ai consumatori di eseguire carichi di lavoro di inferenza non remunerati su LLM cloud.

Accesso al modello AI

Accesso all'API per l'inferenza dei modelli di intelligenza artificiale (AML.T0040): Accesso diretto alle API di inferenza per eseguire query o carichi di lavoro non autorizzati.
Prodotto o servizio abilitato all'intelligenza artificiale (AML.T0047): Software aziendale integrato con GenAI per manipolare l'output o estrarre dati interni.

Esecuzione

Iniezione di prompt LLM (AML.T0051): Iniezione di input dannosi che sovvertono i guardrail o la logica, in particolare nei sistemi RAG o integrati nel flusso di lavoro.

Escalation dei privilegi/Evasione delle difese

LLM Jailbreak (AML.T0054): Bypassare i controlli del modello per sbloccare funzioni riservate o generare contenuti dannosi.

Dopo che la ricognizione conferma i modelli LLM abilitati, disabilitano la registrazione dei prompt per nascondere le loro tracce. Disattivando la registrazione, impediscono al sistema di registrare le loro richieste illecite, rendendo difficile individuare ciò che stanno facendo con i modelli dirottati. — Figura: Dopo aver confermato l'abilitazione dei modelli LLM, i recon disabilitano la registrazione dei prompt per nascondere le loro tracce. Disattivando la registrazione, impediscono al sistema di registrare le loro richieste illecite, rendendo difficile individuare ciò che stanno facendo con i modelli dirottati.

Scoperta

Scoprire la famiglia di modelli AI (AML.T0014): Identificare l'architettura del modello o le caratteristiche del fornitore per personalizzare gli attacchi.
Scoprire gli artefatti dell'intelligenza artificiale (AML.T0007): Individuazione di registri, cronologie di richieste o insiemi di dati che rivelano gli interni del sistema.

Figura: Flusso di attacco per l'attivazione non autorizzata del modello - Una volta entrati in un ambiente cloud utilizzando chiavi IAM compromesse, gli avversari eseguono una ricognizione per scoprire i modelli fondamentali, abilitarli e avviare l'inferenza, comportando costi e rischi per la vittima.

Raccolta ed esfiltrazione

Dati provenienti da archivi di informazioni (AML.T0036): Raccogliere i dati strutturati e non strutturati recuperati tramite RAG o incorporati nei servizi di IA.
Infiltrazione tramite API di inferenza AI (AML.T0024): Estrazione lenta di dati abusando del livello di inferenza.
Perdita di dati LLM (AML.T0057): Innescare una fuga di dati non intenzionale attraverso query accuratamente elaborate.

Impatto

Negazione del servizio AI (AML.T0029): Sovraccarico o interruzione degli endpoint dell'IA per ridurre la disponibilità.
Danni esterni (AML.T0048): Causare danni finanziari, reputazionali, legali o fisici abusando dei sistemi di IA o manipolando i risultati dell'IA in applicazioni critiche.

attaccante che sfrutta le credenziali IAM rubate — Figura: Anche in questo caso un attaccante inizia sfruttando il furto di credenziali IAM, seguito da una ricognizione. Successivamente, l'attaccante può verificare se i guardrail sono attivi per i modelli abilitati. Se l'attaccante dispone di permessi sufficienti, può anche manomettere i guardrail e rendere il modello più sfruttabile, soprattutto quelli personalizzati.

Queste tecniche illustrano come gli aggressori sfruttano ogni livello dell'infrastruttura AI: accesso, esecuzione, dati e impatto. MITRE ATLAS fornisce la mappatura necessaria ai team SOC per definire le priorità dei rilevamenti, convalidare le difese e fare red team in modo efficace negli ambienti AI aziendali.

Come l'Vectra AI si integra con MITRE ATLAS

Vectra AI mappa la sua logica di rilevamento in MITRE ATLAS per aiutare i team SOC a identificare:

Identità che accedono in modo sospetto a piattaforme GenAI come AWS Bedrock e Azure AI Foundry.
Tentativi di eludere le difese e di ostacolare le indagini sull'abuso di GenAI
L'uso anomalo dei modelli GenAI è coerente con la compromissione dell'account cloud

Oltre a far emergere questi comportamenti, l'agente di prioritizzazione AI di Vectra amplifica l'attenzione degli analisti aumentando i profili di rischio delle identità associate ad accessi sospetti e abilitando i modelli GenAI. Poiché Vectra AI offre un rilevamento agentless e identity-driven in ambienti cloud ibridi e SaaS, è in una posizione unica per rilevare le minacce che gli strumenti tradizionali potrebbero sbagliare, soprattutto nei flussi di lavoro integrati con l'AI.

Mappatura di Vectra AI sul framework MITRE ATLAS — *Panoramica della nostra attuale visibilità sulle tecniche e sottotecniche definite nel quadro ATLAS del MITRE (pubblicato il 17 marzo 2025).*

La narrazione sta cambiando. L'intelligenza artificiale generativa non è più solo uno strumento nelle mani degli aggressori, ma è diventata un obiettivo. E con l'aumento dell'adozione da parte delle aziende, aumenterà anche la sofisticazione di questi attacchi. Utilizzando framework come MITRE ATLAS e implementando soluzioni come Vectra AI Platform, i team di sicurezza possono stare al passo con l'evoluzione delle minacce e garantire che l'IA fornisca valore senza compromettere l'integrità.

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci