Cyber-psicologia per contrastare gli attacchi informatici malevoli

Per contrastare gli attacchi informatici, l’Intelligence Advanced Research Projects Activity (IARPA) è alla ricerca di metodi innovativi “out of the box”, tra cui l’utilizzo della cyber-psicologia, che studia la relazione uomo-computer, tramite il programma Reimagining Security with Cyberpsychology-Informed Defenses (ReSCIND).

IARPA è un’entità statuale statunitense facente parte dell’Office of the Director of National Intelligence (ODNI) la cui missione istituzionale è quella di progettare e condurre ricerche ad alto potenziale al fine di mettere a punto delle tecnologie innovative per un futuro vantaggio nel campo dell’intelligence. Vale a dire, “to envision and lead high-risk, high-payoff research that delivers innovative technology for future overwhelming intelligence advantage”.

In un secondo momento, IARPA trasferisce i risultati della ricerca e le tecnologie di successo (calcolo quantistico, superconduttori, intelligenza artificiale, crittografia, ecc.) ad altre agenzie governative. Finanzia, infatti, la ricerca accademica e industriale alla frontiera tecnologica in molte aree disciplinari, tra cui matematica, informatica, fisica, chimica, biologia, neuroscienze, linguistica, scienze politiche e psicologia cognitiva. 

Il programma ReSCIND: Reimagining Security with Cyberpsychology-Informed Defenses 

L’obiettivo del programma Reimagining Security with Cyberpsychology-Informed Defenses (ReSCIND) è quello di migliorare la sicurezza informatica sviluppando una nuova serie di difese basate sulla psicologia informatica che cercano di sfruttare i limiti umani dell’attaccante, come pregiudizi decisionali innati e vulnerabilità cognitive. Dal sito dello IARPA si può desumere che il programma ReSCIND cerca di sviluppare nuovi metodi per: 

• identificare e modellare i limiti umani o i bias cognitivi rilevanti per il comportamento degli attacchi informatici; 
• comprendere, misurare e indurre cambiamenti nel comportamento e nel successo degli attacchi informatici; 
• fornire algoritmi per l’adattamento automatizzato di queste soluzioni basate sul comportamento osservato di un attaccante malevolo. 

ReSCIND mira ad aumentare le difese informatiche tradizionali per aiutare a riequilibrare l’asimmetria della difesa informatica imponendo una sorta di sanzione informatica agli attaccanti malevoli, causando spreco di tempo e fatica, ritardando e contrastando gli attacchi.

In buona sostanza, lo IARPA cerca di sviluppare una postura cibernetica basata sul concetto di inganno difensivo (defensive deception) il quale promette di riequilibrare l’attuale asimmetria della sicurezza informatica. Essa rende più difficile il lavoro di un attaccante malevolo, poiché non si limita a bloccare l’accesso ai sistemi e alle reti, quanto piuttosto di avere un impatto significativo sul processo decisionale dell’attaccante facendogli perdere tempo e fatica, oltre a esporre la sua presenza in rete.

Essa mira a comprendere come si comportano gli attaccanti malevoli, come prendono decisioni, selezionano strategie, attaccano i sistemi, modificano i loro comportamenti e strategie, quali sono le loro reazioni emotive, i loro processi cognitivi, ecc. 

L’obiettivo è progettare, dunque, sistemi che incorporino i limiti umani, come i pregiudizi per prevenire i movimenti degli aggressori o ritardare gli attacchi informatici. In questo senso, gli algoritmi incorporati negli strumenti dovrebbero adattarsi al comportamento osservato degli attaccanti.

Tale situazione di ricerca rende esplicito un crescente nesso tra scienze umane quali sociologia e psicologia sociale e cybersecurity. Del resto, i sociologi e gli psicologi sociali hanno finora utilizzato le teorie psicologiche per cercare di capire come si sono modificate attività come il bullismo, gli appuntamenti di coppia e il gioco d’azzardo quando esse vengono condotte online. 

Tali principi non sono stati finora applicati, invece, in modo esaustivo, per quel che riguarda la sicurezza informatica. Nei casi d’uso attuali, gli psicologi si sono interessati soprattutto ad altre aree di ricerca operativa quali, ad esempio, attacchi di ingegneria sociale, campagne di disinformazione e altre tattiche. Quella che alcuni studiosi chiamano cybersecurity sociale e altri cyber-psicologia sta per diventare, dunque, un campo disciplinare in via di sviluppo basata sulle interazioni umane con i dispositivi connessi a Internet, spesso concentrandosi su aree in cui gli strumenti basati sul web hanno il potenziale per avere un impatto sulla salute mentale, come i social media, o anche influenzare il processo decisionale, come l’e-commerce. Oppure, come in questo caso, anche nel campo della cybersecurity.

Ad esempio, sono stati effettuati esperimenti recenti i quali hanno mostrato il potere degli effetti di framing, indicando che gli attaccanti malevoli, a cui venivano fornite esplicite informazioni sulla presenza di una tecnologia difensiva ingannevole, in una rete, avevano fatto registrare meno progressi rispetto a un gruppo di controllo in cui non erano state fornite tali informazioni iniziali. Altre ricerche hanno avuto l’obiettivo di cercare di misurare gli effetti che fattori come l’incertezza hanno quando interagiscono con altri bias cognitivi.

Gli Honey Pots secondo la Cyber-Psicologia 

Gli studi di cyber-psicologia indicano, infine, che gli strumenti di inganno come gli honey pots, ovvero server falsi progettati per attirare gli attaccanti in una determinata parte di una rete, cambiano il modo in cui gli aggressori si comportano nelle loro attività di attacco. Naturalmente, gli strumenti di inganno sono una piccola parte di ciò su cui la ricerca della cyber-psicologia può concentrarsi.

I ricercatori, possono sempre più utilizzare le teorie psicologiche per applicarle alla sicurezza informatica, promuovendo delle sperimentazioni ad hoc, mediante la partecipazione di gruppi di red team. Ad esempio, gli studi sperimentali potrebbero verificare se i componenti di un red team hanno maggiori probabilità di correre dei rischi se percepiscono o meno di trovarsi in un ambiente in cui non verranno rilevati.

In conclusione, il programma di ricerca che si propone lo IARPA è quello di prendere a riferimento le teorie sui bias cognitivi, divulgate anche presso il grande pubblico da Kahneman e Tversky, e di implementarle nel campo della cybersecurity. Per adesso, si tratta solo dei primi passi in questo inedito campo disciplinare e solo gli esiti prossimi venturi potranno permetterne di verificarne tutta la reale portata innovativa, anche se gli inizi sembrano essere piuttosto promettenti. O almeno così sembra credere lo IARPA.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Achille Pierre Paliotta

Ricercatore senior dell'INAPP (ex ISFOL). Laurea in Sociologia all’Università di Roma “La Sapienza”, Master in Data Science (DS) all’Università di Roma “Tor Vergata” nel 2015 e Master in Cybersecurity (SIIS) all'Università di Roma "La Sapienza" nel 2021. Svolge studi e ricerche sull’innovazione tecnologica, sulla cyber intelligence, sulla cybersicurezza e, in generale, su tematiche di sociologia.