L'uso di tecnologie e algoritmi di AI da parte degli specialisti di cybersecurity assicura benefici evidenti, legati la possibilità di trattare in modo più rapido ed efficace volumi di dati elevati alla ricerca di correlazioni non individuabili anche a un occhio espero. Esistono alcune attività che beneficiano in particolar modo della velocità e della profondità di analisi dati che le tecnologie di Machine Learning e AI sono in grado di garantire. Attività che potremmo ricomprendere nel novero della Smart Security e della Security Intelligence. Ecco le principali:

  • Identificare le vulnerabilità e risolverle attraverso l'analisi dei Big Data: è possibile memorizzare e sottoporre ad analisi i dati di log sulle attività d'attacco, cosa impensabile per qualsiasi analista "umano".
  • Adeguare i sistemi di rilevazione a modelli d'attacco e minacce in continua evoluzione: le tecnologie di AI permettono una rilevazione più efficace delle minacce, poiché sono in grado di integrare in tempo reale nelle analisi i dati più "freschi" e attuali.
  • Limitare l'impatto di violazioni e attacchi cyber: la possibilità di reagire rapidamente a un data breach permette di circoscriverne i danni. L'AI mette il team Sicurezza nella condizione di adottare le contromisure adatte a bloccare un attacco sulla base dell'analisi dell'efficacia delle azioni passate, combinata con la competenza e l'esperienza dei professionisti del team.
  • Ridurre il "rumore di fondo": scandagliando il web e processando in tempo reale le informazioni provenienti dai bollettini, i blog, le notizie di cronaca, i documenti di ricerca, l'AI fornisce insight e indicazioni ai tecnici. Si riduce, così, il "rumore di fondo" costituito dalle migliaia di segnalazioni di sicurezza raccolte quotidianamente dall'organizzazione e si abbattono drasticamente i tempi di risposta.

 

Artificial Intelligence e cybersecurity: le tecnologie

Nel suo report "Why AI is the future of cybersecurity", Forrester Research individua le principali tecnologie di Artificial Intelligence impiegate per migliorare la protezione contro gli attacchi informatici.

  • Biometria: queste soluzioni comparano le caratteristiche fisiche di una persona – impronte digitali e palmari, timbro della voce, retina – con quelle memorizzate centralmente, per identificarne in maniera univoca le identità. L'utilizzo della biometria permette di circoscrivere la portata degli attacchi che si fondano sul furto di credenziali.
  • NLP (Natural Language Processing): le tecnologie di elaborazione del linguaggio naturale sono in grado di comprendere il significato di testi scritti e parole pronunciate dall'uomo. Le persone possono lasciar trapelare nei loro discorsi minacce, attività o condotte inappropriate che gli algoritmi NLP sono in grado di intercettare e segnalare prontamente. La tecnologia in questione permette di individuare schemi ricorrenti di sospette attività di phishing attraverso l'analisi del testo, ma è anche impiegata nei filtri anti-spam.
  • Apprendimento automatico/Machine Learning: le soluzioni di ML utilizzano algoritmi matematici per identificare correlazioni significative tra i dati e creare modelli predittivi. In ambito cybersecurity, sono impiegate per individuare attività sospette o comportamenti insoliti di utenti, macchine e reti. Queste tecnologie migliorano la loro efficacia con il tempo.
  • Deep Learning: si tratta di una branca dell'autoapprendimento che sfrutta le reti neurali per anticipare i comportamenti, organizzare e correlare le informazioni. In ambito sicurezza, il Deep Learning viene utilizzato per massimizzare l'efficacia delle soluzioni di protezione basate sull'AI che sfruttano, per esempio, l'analisi delle immagini. La stessa tecnologia permette di automatizzare l'estrazione dei dataset relativi alle minacce.
  • Security Orchestration and Automation Response (SOAR): queste soluzioni agevolano il rilevamento delle minacce e accelerano i tempi di risposta attraverso l'uso di modelli matematici avanzati. Le principali funzionalità di un SOAR sono l'analisi automatizzata delle minacce, delle vulnerabilità, dell'integrità delle reti e l'automazione di buona parte delle attività connesse alla risposta agli incidenti.

 

Nel campo dell'apprendimento automatico e dell'AI per la cybersecurity, tre sono i modelli più utilizzati:

  • Reti neurali: nella cybersecurity, la mole di dati che si genera dall'analisi del traffico sulle reti aziendali è davvero enorme. Indirizzi IP, informazioni su chi collega ai sistemi IT aziendali, accesso ai dati, connessioni ai siti esterni e tutti i cambiamenti intervenuti... Tutti i dati mappati dai sistemi di sicurezza generano un flusso colossale di record eterogenei. Dati che devono essere correlati e interpretati, per riuscire a identificare immediatamente le anomalie sintomatiche di un attacco in corso. Ed è proprio per questo tipo di attività che i sistemi di autoapprendimento e Deep Learning, le reti neurali e l'Artificial Intelligence si rivelano un aiuto prezioso. Algoritmi matematici allenati a dovere sono in grado di identificare in tempo reale gli eventi o i comportamenti che si discostano da quelli normalmente osservati all'interno dell'ambiente IT che si vuole proteggere. La capacità di apprendere con l'esperienza tipica dei sistemi AI e delle reti neurali permette di migliorare l'efficacia delle azioni di prevenzione e contrasto. L'AI potenzia e "aumenta" l'esperienza, la capacità e le competenze degli operatori esperti di cybersecurity assistendoli nel loro lavoro e permette di monitorare un numero decisamente più alto di sistemi IT contemporaneamente.
  • Sistemi esperti: i sistemi esperti, che simulano tramite algoritmi matematici il comportamento di persone competenti in una determinata materia, si rivelano alleati preziosi per i responsabili della sicurezza. Sulla base delle informazioni acquisite, un motore inferenziale elabora soluzioni e risposte adatte alle necessità, come avviene per gli help desk automatizzati che aiutano gli operatori del call center. Gli stessi sistemi automatizzano e velocizzano l'analisi degli eventi informatici, per stabilire se debbano o meno essere considerati incidenti di sicurezza e attivare, di conseguenza, le necessarie contromisure. Il tempo di rilevazione degli incidenti (Incident Response Time) e quello di risposta (Incident Resolution Time) si accorciano. La maggior parte di questi sistemi potenziati dall'AI impiega tecnologie di Supervised Learning (apprendimento supervisionato), in cui gli algoritmi vengono istruiti a distinguere le situazioni anomale rispetto a quelle normali.
  • Agenti intelligenti: gli agenti intelligenti sono software, stand alone o integrati all'interno di piattaforme di sicurezza di tipo tradizionale (come i sistemi di prevenzione delle intrusioni o i firewall), che monitorano le attività dei sistemi informatici in modo capillare. Sono in grado di correlare facilmente informazioni raccolte in modo frammentato per mettere in atto una strategia di difesa, e in alcuni casi di contrattacco, efficace senza che si renda necessaria la supervisione di un esperto.

 

6 novembre 2019