Intelligenza artificiale e algoritmi di machine learning sono due aspetti sui quali puntare per rafforzare l’ambito della cybersecurity e permettere una maggior protezione delle infrastrutture informatiche. Il supporto umano, però, non potrà essere sostituito da questi strumenti in quanto l’interazione che apporta è ancora oggi essenziale per il contrasto alla criminalità informatica.
Vi sono però ambiti all’interno della famiglia della sicurezza informatica in cui la tecnologia riesce ad offrire un aiuto decisivo nel prevedere e riconoscere l’azione degli attaccanti.
Ogni possibile miglioramento tecnologico viene studiato per potersi integrare con i team di esperti di cybersecurity, creando così un connubio concreto ed efficace.
In questo contesto che tipo di rapporto esiste tra intelligenza artificiale e machine learning?
In che modo vengono utilizzati gli algoritmi di machine learning e quali sono gli esempi più diffusi? In questo articolo ci occuperemo di analizzare il tema degli algoritmi di machine learning applicati alla sicurezza informatica e capire come possono essere utili per contrastare la cyber criminalità.
Sommario degli argomenti
Nell’ambito della cybersecurity, l’intelligenza artificiale è costituita da un mix di discipline tra le quali
- il machine learning
e
- il deep learning
strumenti che le conferiscono un ruolo ben preciso.
L’intelligenza artificiale, in generale, lavora per risolvere problemi e per poter fare ciò assume decisioni indipendenti. In concreto, viene programmata per trovare la risposta ideale in una data situazione anche se a volte la risposta identificata come corretta non è detto che corrisponda alla soluzione più logica maturata studiando i dati specifici.
Il ruolo ideale dell’intelligenza artificiale nella cybersecurity consiste quindi nell’interpretare i modelli stabiliti dagli algoritmi di machine learning.
Se si dovesse proporre una definizione rispettivamente per l’intelligenza artificiale e per gli algoritmi di machine learning si potrebbero considerarli in questi termini:
- L’intelligenza artificiale viene progettata per fornire una capacità di risposta completa.
Si tratta di disciplina che ne include molte altre tra le quali il machine learning e il deep learning. - Gli algoritmi di machine learning utilizzano modelli comportamentali esistenti per generare processi decisionali in base a dati e conclusioni temporalmente testati.
Va ribadito che ad oggi l’intelligenza artificiale non è ancora in grado di interpretare i risultati con le stesse capacità di un essere umano nonostante la continua ricerca di framework simili alle capacità umane.
Le soluzioni di sicurezza basate sul machine learning risultano essere oggi gli strumenti di intelligenza artificiale più affidabili nel settore cybersecurity.
Gli algoritmi di machine learning sono particolarmente precisi e apprendono dati necessari per perseguire il raggiungimento di prestazioni ottimali per l’attività specifica da svolgere.
Con il machine learning vengono svolte attività quali l’identificazione e l’adattamento dei modelli di dati. Compito, invece, del team di sicurezza informatica è l’interpretazione dei dati e, grazie all’algoritmo di machine learning, vengono supportati nell’inquadramento dei dati stessi.
Vi sono diverse forme in cui si manifesta la cybersecurity tramite machine learning quali ad esempio:
Classificazione di dati tramite regole preimpostate per assegnare categorie in base a punti specifici.
Questo metodo è importante per la creazione di profili su attacchi e vulnerabilità dei sistemi informatici in esame;
Clustering dei dati per acquisire anomalie nella classificazione di regole predefinite.
I cluster, ad esempio, sono molto utili per capire come è avvenuto un attacco, quali sono stati gli elementi sfruttati e quelli maggiormente esposti;
Linee di azione consigliate che migliorano le misure proattive di un sistema di sicurezza basato su machine learning.
Si tratta di avvisi basati su modelli comportamentali e decisioni precedentemente testati che indicano gli interventi consigliati. In questa specifica ipotesi abbiamo un framework che, attraverso punti preesistenti, può raggiungere conclusioni sulle relazioni logiche. Questo approccio è utile in quanto le risposte a minacce e la mitigazione dei rischi possono essere supportate proprio da questa tipologia di impostazione;
- Elaborando una sintesi delle possibili minacce informatiche sulla base dell’esperienza maturata grazie all’analisi di dati precedenti e da nuovi set di dati sconosciuti. In questo caso ci si concentra di più sulle probabilità che si verifichi un’azione criminosa, facendo un’indagine sui punti deboli nei sistemi informatici sotto esame;
Attraverso un’analisi predittiva che si ottiene prevedendo potenziali risultati con una valutazione di set di dati esistenti.
Questo processo può essere usato principalmente per la creazione di modelli di minacce per definire una linea di prevenzione protezione dei dati.
Il machine learning vanta, quindi, un proprio ruolo definito ovvero semplifica i processi e velocizza le procedure, automatizzando le attività del reparto IT. Interviene ad esempio nel rilevamento di malware, nell’analisi dei registri di rete e delle vulnerabilità.
Inoltre, andando a velocizzare le procedure, tra cui l’assegnazione delle priorità e analizzando precedenti attacchi informatici, è in grado di mettere a punto misure di difesa appropriate.
Per poter lavorare secondo questo schema è necessario addestrare l’algoritmo di machine learning con un set di dati ricco e completo. Il team di analisti cybersecurity sarà così agevolato nel completare il proprio lavoro rispondendo in modo puntuale ad eventuali minacce informatiche.
Quali sono le applicazioni pratiche in cui si può vedere all’opera il sistema di intelligenza artificiale nel momento in cui riconosce eventi comparabili ai dati che gli sono stati somministrati?
Ad esempio nel caso di phishing, pratica mediante la quale un hacker tenta di truffare la vittima cercando di estorcerle dati sensibili tramite email, i metodi di categorizzazione degli URL sono in grado di rilevare le tendenze che segnalano e-mail fraudolente. Per fare ciò gli algoritmi di machine learning vengono addestrati sulla base di dati quali intestazioni delle email, caratteri e corpo delle lettere, modelli di punteggiatura e altri elementi per distinguere e classificare così i messaggi di posta malevoli e distinguerli da quelli innocui.
Oltre all’utilizzo in caso di phishing, l’algoritmo di machine learning entra in gioco in caso di Web Shell.
In questa situazione si verifica un blocco dannoso del software che consente agli aggressori di modificare i dati presenti sul server e di accedere illecitamente al database. Se l’azienda attaccata è titolare di un sito e-commerce sarà possibile distinguere se si è in presenza di un comportamento di acquisto innocuo oppure dannoso.
È possibile altresì creare profili personalizzati sulla base del personale responsabili della rete informatica di una data azienda così da adattare la sicurezza informatica in base alle proprie esigenze.
In questo modo è possibile definire i probabili utenti non autorizzati sulla base di azioni anomale non in linea con le azioni ripetute e consentite.
Infine, nell’ambito della classificazione e gestione dei dati di utenti o clienti atterrati sul sito web aziendale, è importante rispettare le norme in materia di privacy così come previsto dal Regolamento generale per la protezione dei dati personali. La classificazione dei dati attraverso l’utilizzo dell’algoritmo di machine learning consente di separare i dati che identificano personalmente gli utenti da quelli anonimi o non identificabili.
Questa attività riduce, fino ad eliminare, il lavoro del personale dipendente di un’azienda reso necessario per l’analisi delle raccolte di dati nuovi e meno recenti.
Il settore informatico ha bisogno sempre di più di esperti in cybersecurity che siano in grado di interagire con l’algoritmo di machine learning e con l’intelligenza artificiale.
Nel percorso verso la sicurezza basata sull’intelligenza artificiale è necessario adottare sin da subito alcuni comportamenti per migliorare le proprie difese e prevenire gli attacchi informatici.
Purtroppo però lo scenario che si prospetta nel prossimo futuro non è dei migliori visto la costante crescita di attacchi informatici messi in atto dai black hat hacker;
in questo contesto, quindi, il contributo dell’intelligenza artificiale avrà un ruolo determinante per difendere le infrastrutture informatiche delle realtà nelle quali viene applicata.
Un’azienda, però, cosa potrebbe fare in concreto nel breve periodo?
Investire, ad esempio, nella tecnologia per evitare di non essere in grado di rispondere a minacce sempre più elaborate.
Inoltre, è importante iniziare ad integrare i team “umani” con l’intelligenza artificiale e il machine learning.
Resta quindi fondamentale la capacità di interazione uomo-tecnologia perché quest’ultima potrebbe incappare in inganni messi a punto dalla criminalità informatica. Grazie al supporto del team cybersecurity, invece, il livello di protezione delle proprie infrastrutture informatiche sarebbe più massiccio con una riduzione di possibilità di essere messo in crisi.
Infine, ma non per importanza, è opportuno aggiornare regolarmente i criteri di gestione dei dati per soddisfare la conformità alle normative. La protezione dei dati è diventata un aspetto fondamentale e va curata nei minimi dettagli per non incappare in sanzioni più o meno penalizzanti.
È quindi fondamentale aggiornarsi costantemente ed applicare i criteri più recenti.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.