Con oltre 100 milioni di utenti attivi a soli due mesi dal lancio ufficiale, ChatGPT è diventata una delle app con la crescita più rapida della storia. Lo hanno affermato i ricercatori di UBS, ma è difficile smentirli: i numeri parlano da soli. Questo “boom” di AI generativa è stato piuttosto disruptive nel settore della cybersecurity. I criminali informatici sfrutteranno sicuramente i poteri di ChatGPT per i loro condannabili scopi. Anche i team di sicurezza, però, possono a loro volta utilizzarli per i propri fini positivi, per esempio per gestire, per esempio nella gestione e nel contrasto al cybercrime.
Man mano che la tecnologia diventa più matura, ci si aspetta di veder emergere in azienda alcuni casi d’uso virtuosi, che mostrino consistenti vantaggi lato cybersecurity. Ecco i più probabili.
La difesa informatica diventa automatizzata
ChatGPT potrebbe supportare gli analisti dei centri operativi di sicurezza (SOC) oberati di lavoro, analizzando automaticamente gli incidenti di cybersecurity e indicando le misure di difesa più strategiche, sia a breve che a lungo termine.
Invece di analizzare da zero il rischio legato a un determinato script PowerShell, un analista SOC potrebbe basarsi direttamente sulle valutazioni e sulle raccomandazioni fornite da ChatGPT. I team SecOps avrebbero l’opportunità di porre a OpenAI più domande, spaziando e approfondendo alcuni temi di interesse. Per esempio, potrebbero chiedere come impedire l’esecuzione di script PowerShell pericolosi, oppure come bloccare il caricamento di file da fonti non attendibili, per migliorare le posture di sicurezza complessive delle loro organizzazioni.
Questi casi d’uso di chatGPT, declinati in chiave cybersecurity, sembrerebbero alleggerire il carico di lavoro dei team SOC, spesso “spremuti” al massimo e ridotti al minimo, dal punto di vista numerico. Allo stesso tempo riuscirebbero anche a ridurre i livelli complessivi di esposizione al rischio informatico dell’intera organizzazione.
Questa stessa nuova tecnologia potrebbe essere sfruttata anche per educare gli analisti di sicurezza entry-level, accelerandone la formazione più di quanto sia mai stato possibile in passato.
Dalle falle alla simulazione dell’avversario
I parametri di ChatGPT fanno sì che non risponda alle richieste che riconosce come sospette, ma gli utenti continuano a “svicolare”, aggirando questo divieto. Per esempio, se si chiede di scrivere codice ransomware, non lo si ottiene, non per lo meno con una richiesta così esplicita. Molti ricercatori di cybersicurezza hanno però scoperto che, descrivendo tattiche, tecniche e procedure pertinenti, senza usare parole come malware o ransomware, si riesce a “convincere” il chatbot a produrre codice sul tema.
Sebbene i creatori di ChatGPT cerchino di chiudere queste falle man mano che emergono, si può ben immaginare che i criminali informatici continueranno a trovare nuove soluzioni. Se si vuole trovare un lato positivo in tutto questo, si pensi che i penetration tester potranno utilizzare queste falle per simulare un comportamento realistico degli avversari, anche attraverso diversi vettori di attacco. È un’ottima opportunità per effettuare nuovi test sempre più realistici e migliorare i controlli difensivi.
Ai report di cybersicurezza ci penserà chatGPT
Ogni report dettagliato riguardante gli incidenti di cybersecurity è un elemento prezioso per aiutare i principali stakeholder (team SecOps, responsabili sicurezza, manager, revisori, membri dei CDA e business unit) a comprendere e migliorare la postura di sicurezza dell’intera organizzazione. Va però riconosciuto che la preparazione di report approfonditi e di qualità è un lavoro lungo e noioso. Gli esperti di sicurezza informatica ora potrebbero sfruttare le capacità di analisi, comprensione e sintesi di ChatGPT. Se così fosse, diventerebbe necessario scrivere dei prompt corretti e accurati, fornendo all’applicazione i seguenti dettagli:
- obiettivi della compromissione o dell’attacco
- script o shell utilizzate dagli aggressori
- dati rilevanti dell’ambiente IT
Affidando alcune attività di reporting per la cybersecurity a ChatGPT, il team di sicurezza incaricato di rispondere agli incidenti libererebbe tempo per dedicarsi ad altre attività critiche. È un ulteriore modo con cui l’AI generativa riuscirebbe ad alleviare i problemi di burnout e di carenza di personale che affliggono anche il settore della cybersecurity.
Threat intelligence sempre più intelligente
Quando si va in cerca di minacce oggi si riesce ad avere accesso a un’ampiezza e a una profondità di informazioni sulla cybersicurezza senza precedenti. Se ne ottengono da svariate fonti: dall’infrastruttura aziendale ai feed esterni di informazioni sulle minacce, dai report sui data leaks disponibili pubblicamente, al dark web e ai social media.
Ben venga una così ampia conoscenza del contesto e dei fatti, ma un essere umano normodotato non sarà mai in grado di analizzare e sintetizzare in modo efficiente una tale quantità di informazioni.
L’intelligenza artificiale generativa, invece, si dimostrerebbe in grado di fare questo e altro, come:
- analizzare grandi volumi di dati di threat intelligence provenienti da fonti diverse
- identificare modelli nei dati
- creare una scheda informativa delle nuove tattiche, tecniche e procedure avversarie
- suggerire strategie di difesa informatica pertinenti
Utilizzando efficacemente ChatGPT, i team di cybersecurity potrebbero raggiungere in un attimo un livello di comprensione delle minacce completo, accurato e aggiornato. È un passo fondamentale per poter poi personalizzare i controlli di sicurezza, plasmandoli sui reali rischi.
