Il ruolo dell’intelligenza artificiale nella cybersecurity

Gli attacchi informatici stanno diventando sempre più complessi.

Tuttavia, per far fronte al problema del crimine informatico, le soluzioni di sicurezza informatica basate esclusivamente sull’uso tecnologia non sono più sufficienti o almeno, sono parzialmente efficaci.
Inoltre, le aziende hanno quotidianamente a che fare con enormi quantità di dati di incidenti, record errati o duplicati e una moltitudine di modelli di malware in migliaia di registri.

Il risultato di questo complesso ciclo è che il lavoro degli analisti della sicurezza è sempre più complesso e richiede competenze sempre più specifiche.

In che modo questa condizione si riflette sull’operatività delle aziende?

Le aziende oggi segnalano un numero significativamente alto di vulnerabilità di sicurezza informatica rispetto al passato.
A sostegno di questa tesi portiamo l’esempio del produttore norvegese di alluminio Norsk Hydro. Il colosso è stato colpito dal ransomware LockerGoga a marzo 2019. Il malware in questione ha impedito ai dipendenti di accedere ai sistemi di produzione dell’azienda per un arco di tempo considerevole. Per riuscire a congelare i sistemi, il ransomware pare sia riuscito ad entrare tramite la presenza di una vulnerabilità di rete.

Oggigiorno, i termini machine learning e intelligenza artificiale sono molto frequenti ma non sempre vengono utilizzate per quello che è il loro vero significato. In modo particolare, negli ambienti di sicurezza informatica, il concetto e l’utilizzo dell’intelligenza artificiale viene utilizzata un po’ come il prezzemolo in cucina:

se non abbondi con il dosaggio, ci sta un po’ dappertutto.

L’intelligenza artificiale – o AI in breve – ha lo scopo di replicare il pensiero umano in modo automatizzato o meccanizzato. Nel settore della cybersecurity, l’intelligenza artificiale sta giocando un ruolo sempre più importante: viene usata sia come arma di attacco che per difendersi dai cyberattacchi.

L’uso dell’intelligenza artificiale nella cybersecurity aiuta a combattere efficacemente gli attacchi del cybercrime se sostenuta da una accurata e minuziosa gestione umana.
Inoltre, nei Security Operations Centre (SOC), l’AI è utilizzata nei processi di monitoraggio e nelle procedure di analisi dettagliate.

In questo articolo proveremo pertanto a definire cosa sia e che ruolo giochi l’intelligenza artificiale in ambiti di sicurezza informatica:

1. L’intelligenza artificiale e la cybersecurity

2. Intelligenza artificiale come algoritmo

3. L’intelligenza artificiale nei SOC

4. Intelligenza artificiale come arma di attacco

5. L’intelligenza artificiale come scudo

6. Intelligenza artificiale e la decisione umana

Dal reparto IT dell’azienda fino agli ambienti di tecnologia operativa degli impianti industriali (OT), ai dispositivi Internet-of-Things (IoT) – ogni volta vengono scambiati grandi quantità di dati complessi. Ciò che ci si aspetta dal reparto IT dell’impresa è che quest’ultimo verifichi la sicurezza e l’integrità di questo processo di scambio dati.

Per qualsiasi essere umano, analizzare e valutare tali situazioni è una sfida impossibile. A onor del vero, non sorprende se nel canone delle misure di sicurezza informatica intorno al rilevamento delle minacce, un’altra tecnologia stia guadagnando importanza: l’intelligenza artificiale.

I sistemi di sicurezza informatica che tengono conto dell’intelligenza artificiale aiutano a rilevare molto meglio la presenza di hacker o dei loro attacchi. Con l’aiuto dell’AI, il tasso di rilevamento degli attacchi nella rete e nei dispositivi finali IT come smartphone, notebook, server o l’Internet delle cose può essere notevolmente aumentato.

Dall’inizio degli anni 2000, la forma più elementare di apprendimento automatico è stata utilizzata per distinguere le e-mail spam dalle e-mail desiderate. In questo processo, gli algoritmi apprendono informazioni attraverso modelli, strutture e caratteristiche, che possono poi essere applicate a situazioni similari.

A tal proposito, si è giunti sino alla creazione di modelli di apprendimento automatico più potenti come l’apprendimento supervisionato e l’apprendimento non supervisionato. Questi processi sono capaci di distinguere file dannosi e non dannosi e addirittura, identificano anche i dati cospicui e li esaminano.

In breve, gli algoritmi imparano dagli esempi e sono in grado di generalizzarli dopo la fase di apprendimento.
A questo scopo, viene creato un modello statistico basato su dati di allenamento. In altre parole:

l’AI permette il rilevamento preventivo di potenziali attacchi informatici.

Per esempio, una nuova botnet può essere identificata sul nascere e combattuta prima che possa causare danni e coinvolgere altri dispositivi. Nell’apprendimento supervisionato, gli esseri umani insegnano all’algoritmo quali conclusioni trarre; mentre nell’apprendimento non supervisionato, il processo di apprendimento lavora interamente senza la guida umana.

In aggiunta, l’apprendimento profondo è una specializzazione dell’apprendimento automatico che utilizza prevalentemente reti neurali più complesse.
In questo processo, strati interconnessi di neuroni artificiali sono utilizzati per l’elaborazione dei dati. Una tecnologia potentissima.

Il potenziale del deep learning è che un’analisi può essere implementata con successo anche con dati incompleti. Così facendo, attraverso il processo di apprendimento continuo del deep learning, l’AI può addentrarsi in situazioni precedentemente sconosciute. Uno svantaggio del deep learning, tuttavia, è la mancanza di trasparenza del processo di apprendimento.

Spesso, i cosiddetti modelli black-box sono utilizzati per l’input dei dati, il che rende alla fine le decisioni e le classificazioni incomprensibili.

A differenza del team di sicurezza composto da persone, l’AI può concentrarsi esclusivamente sul tracciamento delle minacce alla sicurezza.
Un algoritmo di AI può tracciare e registrare anche le più piccole anomalie presenti. Inoltre, l’AI rileva gli incidenti prima che accadano, così facendo, i danni possono essere contenuti con successo innescando “processi di autoguarigione”.

Gli avvisi, le correzioni rapide e la quarantena dei sistemi violati vengono così automatizzati.

L’AI porta grande supporto anche ai reparti che si occupano di sicurezza informatica nelle aziende.

Il loro lavoro mira ad ottenere una riduzione del carico di lavoro dei team, che possono quindi concentrarsi su altri compiti nel Security Operations Centre (SOC).

Ma con quale scopo viene impiegata l’intelligenza artificiale nella cybersecurity?

Viene utilizzata per rilevare anomalie nel flusso di dati e per avvisare rapidamente le aziende dei problemi di sicurezza e di integrità dei processi.
Tuttavia, un prerequisito per il lavoro di successo dell’AI è che i messaggi e i guasti convergano nel SOC: in conseguenza, possono poi essere monitorati e analizzati.

In altre parole, più fonti sono disponibili, meglio l’IA può rilevare e monitorare una situazione di potenziale minaccia in tempo reale.

Anche se l’IA e le decisioni delle macchine avranno un impatto duraturo sul futuro della sicurezza informatica, l’uso dell’AI non è affatto il Santo Graal della cybersecurity. Per it-daily.net, la fiducia incondizionata nei sistemi non è la strada giusta da percorrere:

“Ci deve essere sempre la possibilità di annullare la macchina. Rileva i pericoli e automatizza le procedure e i processi di sicurezza, ma in definitiva fornisce solo la base per il processo decisionale umano. La valutazione delle conseguenze – per esempio, lo spegnimento automatico di una centrale nucleare o di una rete elettrica in caso di un imminente attacco informatico – non è l’obiettivo. A questo punto deve entrare in gioco l’intelligenza umana, che può anche considerare l’impatto sociale ed economico”.

In altre parole, l’IA contribuisce alla conoscenza basata su regole e al rigore analitico, ma non copre gli aspetti altrettanto importanti dell’intuizione, della creatività, dell’empatia o dell’intelligenza umana.

I criminali informatici stanno usando sempre più l’intelligenza artificiale come metodo di attacco. Con l’aiuto di tecniche di penetrazione, analisi comportamentale e mimetismo comportamentale, l’IA può aiutare i pirati informatici a condurre attacchi molto più veloci, coordinati ed efficienti – e su migliaia di obiettivi contemporaneamente.

Vediamo insieme come l’intelligenza artificiale può essere utilizzata dagli attaccanti:

Gli aggressori informatici usano le potenzialità dell’intelligenza artificiale, che scansiona automaticamente e contemporaneamente più interfacce all’interno del sistema IT della vittima, per la ricerca di vulnerabilità. Quando si verifica un “hit”, l’IA può distinguere se un attacco alla vulnerabilità è in grado di paralizzare integralmente il sistema o se può semplicemente fungere da tramite per innestare un malware o del codice dannoso in rete.

Noleggio delle soluzioni di intelligenza artificiale per attaccare le aziende?
Parliamo di IA-as-a-Service.

Gli hacker stanno già offrendo sistemi basati sull’IA sul dark web come IA-as-a-Service.

Si tratta di soluzioni informatiche “pronte per l’uso” fornite da hacker criminali a disposizione di qualunque utente sia disposto a comprarli. Il servizio as-a-service è a disposizione di coloro che vogliono utilizzare la tecnologia ma non possiedono nel loro background un’approfondita conoscenza dell’intelligenza artificiale.

Ecco che questa condizione abbassa la barriera d’ingresso anche per molte piccole bande di hacker non sempre strutturate o addirittura, ampliano il raggio d’azione di altre.

Esistono già molti sistemi basati sull’IA che possono indovinare automaticamente le password attraverso l’apprendimento automatico. Inoltre, stanno emergendo nuove minacce alle reti informatiche protette dall’IA:

Malware guidato dall’intelligenza artificiale

Il più delle volte, i criminali informatici usano l’IA in relazione al malware inviato via e-mail. Il malware può usare l’IA per imitare ancora meglio il comportamento dell’utente. Assistenti intelligenti virtuali possono creare testi di una qualità semantica così alta che i destinatari trovano molto difficile distinguerli dalle vere e-mail.

Attacchi phishing ad autoapprendimento

Fino ad ora, adattare un’e-mail di phishing allo stile di scrittura del mittente richiedeva l’intervento dell’intuizione umana.
Grazie all’aiuto dei sistemi di IA, le informazioni disponibili online possono essere estratte in modo più specifico per adattare siti web, link o e-mail all’obiettivo di un attacco.

I sistemi di IA imparano dagli errori e dai successi passati e migliorano le loro tattiche ad ogni attacco.

L’IA giocherà un ruolo importante nella sicurezza informatica per il rilevamento delle minacce e la difesa dagli attacchi informatici.

Gli algoritmi di apprendimento dovrebbero riconoscere i modelli comportamentali degli aggressori e dei loro programmi così da intraprendere azioni mirate contro di loro.

Riconoscimento del modello che fa risparmiare tempo

Le applicazioni IA sono particolarmente affidabili nel riconoscere e confrontare i modelli filtrando ed elaborando grandi quantità di dati. Questo riconoscimento dei modelli rende facile individuare i canali nascosti attraverso i quali i dati vengono dirottati – e più velocemente di quanto potrebbero fare gli analisti umani.

Identificare le e-mail di spam

I metodi tradizionali di filtraggio per identificare e classificare le e-mail di spam utilizzando modelli statistici, black-list o soluzioni di database hanno raggiunto i loro limiti. Le soluzioni offerte da programmi di IA possono aiutare a identificare e imparare modelli e strutture complesse delle e-mail di spam (su questo punto torneremo).

Autenticare gli utenti autorizzati

L’autenticazione passiva e continua è un campo futuro per gli algoritmi di IA. I dati dei sensori da accelerometri o giroscopi sono raccolti e valutati mentre il dispositivo è in uso. In questo modo, l’IA impedisce l’uso non autorizzato del dispositivo stesso.

Rilevamento del malware

Il rilevamento convenzionale del malware si basa principalmente sul controllo delle firme di file e programmi. Se appare una nuova generazione di malware, l’IA la confronta con le forme precedenti nel suo database e decide se il malware deve essere automaticamente evitato. In un futuro (non troppo lontano), auspichiamo che l’IA si svilupperà al punto di riconoscere i ransomware, per esempio, prima che codifichino i dati.

Spiare gli aggressori tramite algoritmi

L’intelligenza artificiale potrebbe imparare quali programmi aprono un codice maligno, quali file ispezionare o cancellare, quali file caricare o scaricare. L’algoritmo di IA addestrato può quindi tenere d’occhio tutte le attività sospette sui computer degli utenti.

Decifrare l’identità degli aggressori

Gli algoritmi dell’IA potrebbero presto scoprire anche l’identità dei pirati informatici.

Questo perché i programmatori lasciano tracce nel loro codice di programma: ebbene grazie all’intelligenza artificiale sarà possibile rilevarli. Gli algoritmi di apprendimento possono estrarre queste tracce e quindi assegnare il codice a un autore.

La sicurezza informatica non è possibile senza le persone

In ogni caso, la sicurezza informatica non dovrebbe essere lasciata esclusivamente all’intelligenza artificiale.

Solo una collaborazione continuativa tra uomini e macchine può avere successo nella lotta contro gli attacchi informatici. Nuovi metodi di attacco, nuove vulnerabilità e ripetuti errori umani portano a un complesso mix di eventualità per le quali un sistema puramente basato sull’AI non potrà mai essere preparato.

Inoltre, c’è un altro punto da considerare:

le tecniche basate sull’IA possono anche essere utilizzate dagli stessi criminali informatici per preparare ed eseguire gli attacchi informatici in modo più efficiente.

In questo caso un alto rischio specifico è quello legato all’ingegneria sociale basata sull’IA. Si tratta di una tecnica che supporta la valutazione “intelligente” di grandi quantità di dati.

Per esempio, l’IA offre la possibilità di monitorare il comportamento sociale delle persone. Con questo intendiamo che l’intelligenza artificiale studia lo stile di scrittura nelle e-mail, il comportamento degli utenti nella comunicazione via chat, il tono; questo permette di aumentare i tasso di riuscita negli attacchi di spear phishing, ad esempio.

Tuttavia, ci vorranno diversi anni prima che i sistemi intelligenti avviino autonomamente attacchi informatici complessi.

Il traffico di dati e il numero di minacce sono in continuo aumento.

Grazie all’aiuto dell’intelligenza artificiale è possibile rilevare rapidamente le violazioni nei sistemi informatici. L’apprendimento automatico dell’AI migliora significativamente la precisione degli algoritmi addestrando i modelli di apprendimento nel tempo. Ad un certo punto questo meccanismo, supera le capacità di un umano.

Abbiamo visto come l‘intelligenza artificiale altro non è che un logaritmo matematico di auto-apprendimento. Proprio in funzione degli ambiti di applicazione abbiamo necessità di non abbandonare l’IA a sé stessa bensì di approfondirne gli studi e affiancarla ai team di persone che si occupano di cybersecurity.

“L’IA inaugurerà probabilmente la fine del mondo, ma fino ad allora ci saranno alcune grandi aziende”
Tim Cook, CEO Apple, 2017

Articolo di:

• DPO certificato UNI:11697 e professionista certificato CSF NIST
• Lead auditor ISO 27001, 27701, 22301

Visita il profilo Linkedin