Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La Rivoluzione nella Sicurezza Informatica: Come l’Intelligenza Artificiale Sta Superando gli Umani

Ricardo Nardini : 8 Dicembre 2023 09:32

Mentre la sicurezza informatica oggi dipende in modo relativo dall’input umano, vediamo che le tecnologie d’intelligenza sintetica iniziano a superare gli umani in determinate attività. La sicurezza informatica basata sull’intelligenza artificiale, supportata dall’apprendimento automatico, è destinata a diventare uno strumento potente nel futuro prossimo. Come in tutti i settori, l’interazione umana è stata a lungo essenziale e insostituibile ma il divario inizia a prendere dimensioni notevoli.

Ogni miglioramento tecnologico ci avvicina passo a passo all’integrazione delle funzioni umane in modo più efficace. Tra questi progressi, alcuni ambiti di ricerca sono alla base di tutto. L’apprendimento automatico (machine learning) utilizza i modelli di comportamento esistenti, consentendo il processo decisionale basato su dati e approfondimenti passati ma l’intervento umano è ancora necessario per apportare alcune modifiche. L’apprendimento automatico è probabilmente la disciplina di sicurezza informatica dell’intelligenza artificiale più importante fino ad oggi.

L’intelligenza artificiale (AI) è progettata per dare ai computer la piena reattività come quella della mente umana. Questa è la disciplina olistica, che ne comprende molte altre, come l’apprendimento automatico e il “deep learning”. Ma intendiamoci, per le intelligenze artificiali sono lavorazioni sintetiche gestite per lo più da montagne d’informazioni già disponibili e di statistica pura.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il “deep learning” (DL) funziona in modo simile all’apprendimento automatico prendendo decisioni basate su modelli passati, ma si adatta da solo. Attualmente, il “deep learning” nella sicurezza informatica rientra nell’ambito dell’apprendimento automatico, quindi ci concentreremo principalmente su quest’ultimo.

Impatto delle AI e l’apprendimento automatico per la sicurezza informatica

Quando esploriamo quali conseguenze sulla sicurezza possono avere l’apprendimento automatico e l’intelligenza artificiale, è importante evidenziare gli attuali punti deboli relativi alla Cyber Security. Nonostante ciò, ci sono molti processi e aspetti che abbiamo accettato come normali per molto tempo ma che d’ora in poi le intelligenze artificiali possono aiutarci a migliorare.

L’intelligenza artificiale e la sicurezza informatica sono state proclamate rivoluzionarie e sono già tra di noi ma la realtà è che potremmo trovare miglioramenti relativamente graduali per il futuro in quanto elaborazione di comportamento in tema di mitigazione del rischio.

L’errore umano è una parte importante nelle debolezze della sicurezza informatica. Ad esempio, una corretta configurazione del sistema può essere molto difficile da gestire, anche con grandi team IT coinvolti nella configurazione. Nel corso della sua costante innovazione, la sicurezza informatica è diventata più stratificata che mai. Strumenti reattivi potrebbero aiutare i team a trovare e mitigare i problemi che si presentano quando i sistemi di rete vengono sostituiti, modificati e aggiornati.

Si pensi solo a come è possibile aggiungere un’infrastruttura Internet più recente, come il “cloud computing”, ai “framework” locali esistenti. Nei sistemi aziendali, i team IT devono garantire la compatibilità per proteggere questi sistemi. La valutazione dell’affidabilità di una configurazione manuale può essere un processo lungo, poiché il personale IT dovrà combinare questo lavoro con infiniti aggiornamenti e attività quotidiane. Grazie all’automazione intelligente e adattiva, i team potrebbero ricevere consigli tempestivi sui problemi scoperti di recente. Potrebbero anche ricevere consigli su quali opzioni adottare o addirittura disporre di sistemi per regolare automaticamente le impostazioni a seconda della necessità del momento.

L’efficienza umana è un altro aspetto problematico nel settore della sicurezza informatica. Nessun processo manuale può essere ripetuto perfettamente ogni volta, soprattutto in un ambiente frenetico come quello informatico, e questo introduce probabili errori. La configurazione individuale dei numerosi endpoint in un’organizzazione è una delle attività che richiede più tempo. Anche dopo la configurazione iniziale, i team IT visitano nuovamente gli stessi dispositivi in un secondo momento per regolare impostazioni errate o altre ritenute obsolete che non possono essere corrette dagli aggiornamenti remoti.

Inoltre, quando i dipendenti o collaboratori si assumono la responsabilità di rispondere alle minacce, la portata della minaccia può cambiare rapidamente. In situazioni in cui l’attenzione umana può essere ritardata a causa di difficoltà impreviste, un sistema basato su intelligenze artificiali e apprendimento automatico può agire con un ritardo minimo.

Lo stress dagli allarmi eccessivi per le minacce è un’altra debolezza per le organizzazioni se non gestita con estrema attenzione. Le superfici di attacco stanno aumentando man mano che i suddetti livelli di sicurezza diventano più elaborati ed estesi. Molti sistemi di sicurezza sono configurati per reagire a molti problemi noti con una raffica di avvisi che non offrono soluzioni. Di conseguenza, questi avvertimenti individuali lasciano ai team umani il compito di analizzare le possibili decisioni e prendere le misure necessarie.

Talvolta gli IT devono decidere di affrontare prima i problemi più urgenti e mettere da parte gli obiettivi secondari. L’uso dell’intelligenza artificiale nel quadro della sicurezza informatica può aiutare i team IT a gestire più di queste minacce in modo efficace e pratico. Affrontare ciascuna di queste minacce può essere molto più semplice se le si raggruppa utilizzando la codifica automatica. Inoltre, l’algoritmo di apprendimento automatico può occuparsi di risolvere alcuni dei problemi.

Un grande afflusso di avvisi rende questo livello decisionale un processo particolarmente estenuante. Infine, l’affaticamento decisionale diventa un’esperienza quotidiana per il personale addetto alla sicurezza informatica. L’azione proattiva per queste minacce e vulnerabilità identificate è l’ideale, ma molti team non hanno il tempo e il personale per coprire tutto. 

Il tempo di risposta alle minacce è una delle metriche più importanti per l’efficacia dei team di sicurezza informatica. Dallo sfruttamento alla distribuzione, è noto che gli attacchi dannosi si muovono molto rapidamente. Gli attori delle minacce in passato erano soliti infiltrarsi sfruttando le autorizzazioni di rete e disarmando lateralmente la sicurezza poche settimane prima di lanciare il loro attacco.

Sfortunatamente, gli esperti nel settore della difesa informatica non sono gli unici a trarre vantaggio dalle innovazioni tecnologiche, quindi anche l’automazione è diventata presente negli attacchi informatici. Minacce come gli attacchi ransomware hanno notevolmente accelerato i tempi di attacco e i danni per le aziende.

La risposta umana può rimanere indietro rispetto all’attacco iniziale, anche con tipi di attacco noti. Per questo motivo, molto spesso i team impiegano più tempo a reagire agli attacchi riusciti che a prevenire i tentativi di attacco. All’altro estremo dello spettro, gli attacchi sconosciuti sono di per sé un pericolo.

La sicurezza assistita dall’apprendimento automatico può estrarre i dati da un attacco, quindi aggregarli e renderli pronti per l’analisi. Si può fornire ai team di sicurezza informatica una reportistica semplificata per agevolare l’elaborazione e il processo decisionale. Oltre alla segnalazione, questo tipo di sicurezza dovrebbe anche consigliare quali misure adottare per prevenire ulteriori danni e prevenire attacchi futuri.

L’identificazione e la previsione di nuove minacce è un altro fattore che influenza i tempi di risposta agli attacchi informatici. Come notato sopra, le minacce esistenti vengono rilevate con un certo ritardo. Tipi di attacco, comportamenti e strumenti non familiari possono rendere un computer ancora più lento a reagire. Peggio ancora, minacce più silenti come il furto di dati a volte possono passare inosservate.

La costante evoluzione degli attacchi che producono exploit zero-day è sempre un problema di fondo negli sforzi di difesa della rete. Il lato positivo, tuttavia, è che gli attacchi informatici raramente vengono creati da zero, poiché spesso sono costruiti sulla base di comportamenti, framework e codice sorgente di attacchi precedenti e l’apprendimento automatico può imparare da essi. 

La programmazione basata sull’apprendimento automatico può essere utile per evidenziare i punti in comune tra le minacce nuove e quelle identificate in precedenza durante il rilevamento di un attacco. Questo è qualcosa che gli esseri umani non possono fare in modo efficace in tempi rapidi e sottolinea la necessità di modelli di sicurezza adattivi. In tal senso, l’apprendimento automatico può rendere più facile per i team, prevedere nuove minacce e ridurre i tempi di reazione grazie alla maggiore consapevolezza delle minacce.

La capacità del personale corrisponde ai problemi attuali che interessano molti gruppi IT e di sicurezza informatica in tutto il mondo. A seconda delle esigenze di un’organizzazione, il numero di professionisti qualificati può essere limitato.

Tuttavia, la situazione più comune è che l’assunzione di personale di collaborazione può anche costare alle organizzazioni una parte considerevole del loro budget. Sostenere il personale umano richiede non solo di compensare il lavoro quotidiano, ma anche di fornire assistenza nel loro continuo bisogno di formazione e certificazione. Tenersi aggiornati come professionisti della sicurezza informatica è un compito impegnativo, soprattutto quando si tratta della costante innovazione a cui abbiamo fatto riferimento finora, ma la sola certificazione non può colmare una necessità pratica che va oltre la volgare burocrazia aziendale.

La disponibilità di strumenti basati sull’intelligenza artificiale può contribuire a ridurre il numero di specialisti. Sebbene questo personale dovrà tenere il passo con le aree all’avanguardia dell’intelligenza artificiale e dell’apprendimento automatico, i risparmi in termini di costi e tempo arriveranno con una minore necessità di personale.

A differenza di altri aspetti, il problema dell’adattabilità non è così ovvio, ma può avere un impatto drastico sulle capacità del servizio di sicurezza. I vari gruppi aziendali potrebbero non avere la capacità di adattare le proprie competenze alle necessità attuali se oberati di lavoro.

D’altro canto se il personale non è adeguatamente formato su metodi, strumenti e sistemi specifici, una conseguenza diretta potrebbe essere una riduzione dell’efficacia del gruppo. Anche esigenze apparentemente semplici, come l’adozione di nuove policy di sicurezza, possono andare a rilento con i team basati sull’uomo. Questa è la natura dell’essere umano, dal momento che non possiamo imparare nuovi modi di fare le cose all’istante e ci vuole ovviamente tempo per farlo.

Il ruolo migliore per un sistema di AI in un contesto di Cyber Security

Si ritiene che l’intelligenza artificiale nella sicurezza informatica per esteso comprenda un ampio insieme di discipline come l’apprendimento automatico e il “deep learning”, ma è chiamata a svolgere il proprio ruolo già attribuito da sistemi proprietari, senza libertà di scelta da parte di chi lo inserisce in azienda. 

In sostanza, l’intelligenza artificiale si concentra sul “successo” mentre la “precisione” ha meno peso. Il suo obiettivo finale è dare una risposta naturale a compiti complessi.

Pertanto, è meglio comprendere la vera modalità di funzionamento dell’intelligenza artificiale moderna e le sue discipline sottostanti. I sistemi autonomi non sono molto diffusi, soprattutto nell’ambito della sicurezza informatica. Il loro lavoro non richiede interferenze esterne e molte persone spesso li associano all’intelligenza artificiale. 

Il ruolo ideale dell’intelligenza artificiale nella sicurezza informatica è l’interpretazione dei modelli scoperti dagli algoritmi di apprendimento automatico. Tuttavia, l’intelligenza artificiale moderna non è ancora in grado di interpretare i risultati come farebbe un essere umano. Quest’area è in una fase di sviluppo attivo, cercando di acquisire algoritmi simili al pensiero umano. Ma c’è ancora molta strada da fare prima che venga creato un vero sistema di ragionamento automatico olistico. Le macchine devono ancora imparare a riformulare le situazioni utilizzando concetti astratti. In altre parole, questo livello di creatività e pensiero critico non è così vicino come vorrebbero far credere chi oggi promoziona le attuali intelligenze artificiali.

Le soluzioni di sicurezza per l’apprendimento automatico sono diverse da ciò che le persone immaginano siano derivati dalle famiglie delle intelligenze artificiali. Detto questo, gli attuali derivati dalle intelligenze artificiali sono gli strumenti di sicurezza informatica più potenti cui attualmente possiamo contare. Nell’ambito di questa tecnologia, i modelli di dati vengono utilizzati per rivelare la probabilità che un evento si verifichi o meno.

In un certo senso, l’apprendimento automatico è l’opposto della vera intelligenza artificiale. L’apprendimento automatico è particolarmente orientato alla “precisione”, ma non è così focalizzato sul “successo”. Ciò significa che l’apprendimento automatico tenta di apprendere da un set di dati incentrato sulle attività, e trova il modo migliore per eseguire una determinata attività. Cerca l’unica soluzione possibile in base ai dati forniti, anche se non è l’ideale. Con l’apprendimento automatico, non c’è una vera interpretazione dei dati, il che significa che questa responsabilità ricade ancora sui gruppi di lavoro umani.

L’apprendimento automatico eccelle in attività noiose come l’identificazione e l’adattamento di modelli di dati. Gli esseri umani non sono la scelta migliore per questo tipo di attività, a causa della fatica che provocano e della loro scarsa tolleranza per la monotonia. Quindi, mentre l’interpretazione dell’analisi dei dati rimane nelle mani degli umani, l’apprendimento automatico può aiutare a inquadrare i dati in una presentazione leggibile pronta per l’analisi. La sicurezza informatica dell’apprendimento automatico si presenta in molte forme, ognuna con i suoi vantaggi: 

La classificazione dei dati funziona utilizzando regole predefinite per assegnare categorie ai punti di un paniere. La codifica di questi elementi è una parte importante della profilazione di attacchi, vulnerabilità e altri aspetti della sicurezza proattiva. Questo è fondamentale per l’intersezione tra apprendimento automatico e sicurezza informatica.

Nei cluster di dati, i valori selezionati durante la classificazione vengono combinati in gruppi con caratteristiche comuni o atipiche, per esempio questo metodo può essere utilizzato quando si analizzano i dati provenienti da attacchi per i quali un sistema non è ancora in grado di affrontare. Questi cluster possono aiutare a determinare come si è verificato un attacco, quali punti deboli sono stati sfruttati e quali dati sono stati esposti.

I corsi di azione consigliati migliorano l’efficacia delle misure di sicurezza che lavorano parallelamente basate sull’apprendimento automatico. Si basano su modelli di comportamento e decisioni precedenti e suggeriscono la linea di condotta più razionale. Va ribadito che questo non è un processo decisionale intelligente attraverso una vera intelligenza artificiale autonoma. È piuttosto un sistema adattivo in grado di costruire relazioni logiche basate sui punti dati disponibili. Questo tipo di strumento può essere di grande aiuto nella risposta alle minacce e nella gestione dei rischi.

La sintesi delle possibilità consente di ridurre il perimetro delle nuove possibilità da dati precedenti e nuovi set di dati sconosciuti. Questo è leggermente diverso dalle raccomandazioni, poiché si concentra maggiormente sulle possibilità che un’azione o uno stato di un sistema corrisponda a situazioni simili in passato.

La previsione predittiva è il più avanzato dei processi dei componenti dell’apprendimento automatico. Questo vantaggio si ottiene prevedendo i possibili risultati valutando i set di dati esistenti. Può essere utilizzato principalmente per creare modelli di minaccia, descrivere la prevenzione delle frodi, proteggere dall’esfiltrazione di dati ed è un punto fermo di molte soluzioni predittive per gli endpoint.

Per chiarezza, ecco alcuni esempi in un excursus che sottolineano il valore dell’apprendimento automatico quando si tratta di sicurezza informatica:

Classificazione e conformità della riservatezza dei dati

Proteggere l’organizzazione dalle violazioni delle leggi sulla privacy è probabilmente diventata una priorità assoluta negli ultimi tempi. Con l’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) sono apparse altre misure legali, come il California Consumer Protection Act (CCPA). 

L’amministrazione dei dati raccolti dai clienti e utenti deve essere effettuata in conformità con queste leggi, il che di solito significa che questi dati devono essere accessibili per la cancellazione su richiesta. Le conseguenze del mancato rispetto di queste norme comportano sanzioni elevate, oltre a danni alla reputazione della propria organizzazione.

La classificazione dei dati può aiutare a separare i dati identificabili dall’utente da dati anonimi o non identificabili, e questa classificazione consente di risparmiare il lavoro manuale di analizzare grandi raccolte di dati vecchi e nuovi, soprattutto in grandi organizzazioni.

Profili di sicurezza del comportamento degli utenti

Creando profili personalizzati di rete della forza lavoro in base ai comportamenti degli utenti, è possibile modellare la sicurezza per adattarla alla propria organizzazione. Questo sistema può rilevare un utente non autorizzato analizzando le deviazioni del suo comportamento. Tratti sottili, come i tasti premuti, possono formare un modello predittivo delle minacce. Identificando i possibili risultati di potenziali manomissioni, un sistema di sicurezza basato sull’apprendimento automatico può offrire modi per ridurre la potenziale superficie di attacco.

Profili di sicurezza delle prestazioni del sistema

Analogamente al concetto di profilo del comportamento dell’utente, è possibile compilare un profilo diagnostico personalizzato delle prestazioni dell’intero computer quando è integro. Il monitoraggio dell’utilizzo del processore e della memoria insieme a tratti come l’elevato utilizzo di dati Internet può aiutare a identificare attività dannose. Tuttavia, alcuni utenti possono fare un uso frequente di grandi volumi di dati attraverso videoconferenze o scaricando file multimediali di grandi dimensioni. Conoscendo il normale carico del sistema, l’algoritmo può determinare le deviazioni, come nel caso del comportamento dell’utente all’interno della rete.

Blocco dei bot basato sul comportamento

L’attività dei bot può esaurire la larghezza di banda in entrata dei siti web. Ciò è particolarmente vero per coloro che fanno affidamento sul traffico aziendale basato su Internet, come i proprietari di negozi di e-commerce senza negozi fisici. I visitatori abituali possono riscontrare prestazioni lente del sito Web, con conseguente perdita di traffico e potenziali abbandono dei carrelli.

Le tecnologie di apprendimento automatico possono identificare e bloccare l’attività dei bot anche quando utilizzano strumenti di anonimizzazione come le reti private virtuali. Sulla base dei dati sul comportamento dei criminali informatici, l’algoritmo genera modelli predittivi e blocca in modo proattivo nuovi indirizzi Web che mostrano la stessa attività.

L’apprendimento automatico necessita di set di dati, ma il loro utilizzo può entrare in conflitto con le leggi sulla privacy dei dati. I sistemi software che addestrano gli algoritmi richiedono molti punti dati per creare modelli accurati, il che non si adatta perfettamente al “diritto all’oblio”. Gli identificatori umani di alcuni dati possono causare violazioni, quindi sarà necessario esplorare possibili soluzioni. Le possibili soluzioni includono ottenere sistemi per rendere virtualmente impossibile l’accesso ai dati originali una volta che il software con intelligenza artificiale è stato addestrato. Viene anche presa in considerazione l’anonimizzazione dei punti dati, ma questo dovrà essere ulteriormente esaminato per evitare pregiudizi nella logica del programma.

Sulla strada per la sicurezza dell’intelligenza artificiale, ci sono alcuni passaggi che si potrebbero percorrere per avvicinarsi alle necessità attuali:

  • Investire affinché la tecnologia sia sempre orientata al futuro. I costi delle vulnerabilità sfruttate a causa di una tecnologia obsoleta o dell’uso ridondante di attività manuali saranno molto più elevati in misura che le minacce diventano più complicate. Rimanere all’avanguardia può aiutare a mitigare alcuni rischi.
  • Incorporare di intelligenze artificiali e apprendimento automatico il proprio IT piuttosto che sostituirlo. Le vulnerabilità continueranno ad esistere, poiché attualmente non esiste alcun sistema sul mercato che sia infallibile. Poiché anche questi sistemi adattivi possono essere ingannati da metodi di attacco intelligenti, assicurarsi che il proprio IT impari come lavorare e mantenere questo tipo d’infrastruttura.
  • Aggiornare periodicamente le politiche sui dati per conformarsi alle modifiche legislative. La privacy dei dati è diventata un punto focale per gli enti governativi di tutto il mondo. Pertanto, continuerà a essere una delle principali preoccupazioni per la maggior parte delle aziende e delle organizzazioni per il prossimo futuro. E’ necessario assicurarsi che vengano rispettate le attuali legislazioni in essere. 

Conclusioni

Il settore ha bisogno di più esperti in intelligenza artificiali e Cyber Security tramite apprendimento automatico che siano in grado di lavorare con la programmazione in quest’area. La sicurezza della rete di apprendimento automatico trarrebbe grande vantaggio dal personale che può mantenerla e adattarla secondo necessità. Tuttavia, il pool globale di persone qualificate e addestrate è inferiore all’immensa domanda mondiale di personale in grado di fornire queste soluzioni.

Infine, il pensiero critico e la creatività saranno essenziali per il processo decisionale. Come accennato in precedenza, l’apprendimento automatico non è ne pronto ne in grado di farlo, ne tanto meno lo è l’intelligenza artificiale. Per continuare ad avanzare in questa linea, è necessario utilizzare queste soluzioni per aumentare l’efficienza delle apparecchiature attuali assieme agli essere umani.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.