giovedì 03 Feb, 2022

Smart Cybersecurity

3/02/2022

Quando la sicurezza informatica incontra l’intelligenza artificiale

Negli ultimi anni Internet è diventato il terreno ideale per fornire servizi sensibili a un numero sempre crescente di utenti finali, la maggior parte dei quali è solo parzialmente consapevole dei rischi derivanti dalla condivisione delle informazioni in rete. Il risultato di questo processo è una società in cui anche i rapporti interpersonali, professionali e non, sono spesso mediati da piattaforme social e i processi decisionali dai computer più che dai dirigenti.

Purtroppo, l’utente finale non sempre è realmente consapevole che foto, video, chat sono tutti elementi che lasciano dati sensibili ovunque, per cui solitamente non presta sufficiente (o nessuna) attenzione agli aspetti di sicurezza e privacy. D’altra parte, nonostante l’applicazione di tecniche di crittografa tradizionali risulta non sempre sufficiente a contrastare attacchi informatici che diventano ogni giorno più complessi ed evoluti.

Questa necessità di strumenti di sicurezza più avanzati, che possano contrastare anche gli hacker più sofisticati, sembra trovare una risposta nelle recenti tecniche di cybersecurity basate su meccanismi di intelligenza artificiale.

In che modo l’intelligenza artificiale può migliorare la cybersecurity

Per Intelligenza Artificiale (IA) s’intende quell’insieme di sistemi hardware e software che simulano le capacità tipiche dell’essere umano. Si tratta di una disciplina complessa, che include al suo interno molte altre discipline, tra cui Machine Learning e Deep Learning.

Il Machine learning (ML) è un insieme di tecniche e algoritmi che si basano sulla capacità delle macchine di ricevere una serie di dati e di apprendere come si esegue un certo compito in autonomia, modificando gli algoritmi man mano che ricevono più informazioni su quello che stanno elaborando.

Il Deep learning (DL), o apprendimento profondo, è invece una branca del ML che prende spunto dallamstruttura del cervello. Si basa sull’utilizzo di specifici modelli, chiamati reti neurali profonde.

Sono ormai diversi anni che l’Artifcial Intelligence (AI) e in particolare il Deep Learning (DL) vengono applicati in svariati contesti, con risultati eccellenti. Uno di questi contesti è proprio quello della cybersecurity che interessa un numero sempre maggiore di imprese, specialmente quelle in cui i dati sensibili costituiscono il core business, e che hanno quindi compreso che affidarsi solo ai software di sicurezza informatica “classici” e agli analisti della sicurezza non basta. Hanno capito, in altre parole, che per contrastare i moderni attacchi informatici, sempre più complessi, i soli antivirus non sono più sufficienti, ma occorre sfruttare tecnologie di cyber defense all’avanguardia come quelle basate sull’intelligenza artificiale.

Ma perché l’intelligenza artificiale può effettivamente migliorare le prestazioni dei sistemi di cybersecurity? Per rispondere a questa domanda, dobbiamo considerare prima i limiti degli analisti di sicurezza.

In primis, le loro capacità sui grandi numeri vengono messe a dura prova dal fatto che restano comunque esseri umani. Può capitare infatti che una distrazione minima consenta ad un hacker di accedere abusivamente in un sistema informatico. L’errore umano, più in generale, è un aspetto particolarmente significativo nella cybersecurity. Per fare un ulteriore esempio, la corretta configurazione del sistema può essere incredibilmente difficile da gestire, anche coinvolgendo team IT di grandi dimensioni a questo scopo.

Inoltre, l’efcienza umana tende a diminuire notevolmente nel caso di azioni ripetitive, come ad esempio la confgurazione di un gran numero di dispositivi tutti uguali tra loro, o nella gestione di grandi quantità di allarmi. L’aspetto più importante di tutti è però l’incapacità dell’essere umano di processare in modo efficiente, veloce ed efficace enormi moli di
dati, spesso eterogenee, e di reagire quindi in tempo reale ad eventuali minacce.

La capacità dell’AI di analizzare enormi quantità di dati rappresenta quindi il principale punto di forza di tale disciplina. Le tecnologie relative all’intelligenza artificiale, come il ML e l’elaborazione del linguaggio naturale, consentono agli analisti di rispondere alle minacce con maggiore fiducia e rapidità.

Questo significa che basare la cybersecurity anche su sistemi di IA/DL permette di rilevare le minacce alla sicurezza in tempo reale o addirittura di prevederle grazie alla modellazione del rischio.

Volendo immaginare uno scenario futuribile, ma non troppo, pensiamo che non siano lontani i tempi in cui i Security Operations Center potranno avere a disposizione sistemi integrati per la raccolta, l’interpretazione e l’analisi di grandi moli dati, coadiuvati da soluzioni di AI in grado di identificare sempre più autonomamente le minacce e capire come affrontarle, riducendo al minimo gli eventuali falsi positivi e permettendo una difesa sempre più efficace, proattiva e tempestiva delle risorse aziendali.

Un caso d’uso specifico

Un esempio specifico di applicazione dell’AI alla cybersecurity è realizzata dalle piattaforme di anomaly-detection, che analizzando il traffico di una rete sono in grado di rilevare, e in alcuni casi anche di prevedere, attacchi informatici anche molto sofisticati.

Dopo aver ottenuto una visione completa della rete, una piattaforma di questo tipo utilizza strumenti di IA per rilevare automaticamente comportamenti anomali e mostrare agli analisti della sicurezza l’imminenza di eventuali minacce, senza generare grandi quantità di falsi allarmi.

Grazie al DL e a tecniche di data science, tali piattaforme sono capaci di determinare automaticamente una serie di modelli che
rappresentano il “normale” comportamento della rete grazie ai quali si possono rilevare schemi irregolari e comportamenti anomali. Tale approccio permette di identificare anche minacce emergenti o del tutto nuove, non rilevabili da dispositivi e metodi di sicurezza tradizionali, i prodotti Intrusion detection system rule-based o signature-based, ad esempio, basando il loro funzionamento su una base di dati di signature di attacchi noti, risultano del tutto inefficaci in presenza di attacchi mai osservati in precedenza.

Le piattaforme che si servono di tecniche di AI risultano quindi estremamente efficaci anche nel caso di attacchi informatici che non si “palesano” all’utente e che risultano quindi difcilmente rilevabili dai meccanismi classici di cybersecurity. Si tratta ad esempio di casi di data leakage, casi molto comuni, in cui la finalità dell’attacco non è quella di distruggere il sistema, ma piuttosto di accedervi in maniera silente, copiare i dati, e chiedere il riscatto per non diffonderli pubblicamente.

Scopri subito la nuova edizione di

Tecnologia & Innovazione