Tech InDepth

Cybersecurity: come fare un salto di qualità con l’intelligenza artificiale

Quando si parla di AI, occorre fare attenzione a non confondere fantascienza e tecnologie realmente disponibili, chiarisce la società di analisi di mercato Forrester in un recente studio. Il report prende in esame quali soluzioni possono risultare davvero interessanti per i professionisti della security

Pubblicato il 21 Nov 2017

Intelligenza artificiale per la sicurezza informatica

L’uso delle tecnologie di intelligenza artificiale (AI) potrà fornire ‘insights’, cioè informazioni utili ai Chief Information Security Officer (CISO) per migliorare le strategie di cybersecurity: ma in questo processo d’innovazione non vi è nulla di fantascientifico, fa comprendere Forrester nello studio Artificial Intelligence Will Revolutionize Cybersecurity pubblicato di recente.

Di sicuro, a fare chiarezza nel settore non aiuta il fatto che i fornitori di soluzioni di cybersecurity invadano puntualmente i professionisti S&R (security and risk) con fiumi di messaggi promozionali ottimistici, pronti a decantare le virtù di questo o quel prodotto, capace di sfruttare l’AI per migliorare in modo notevole la precisione e la velocità, sia nell’identificazione delle minacce, sia nella capacità di contrastarle.

Come sempre, in questi casi, invece di farsi affascinare con facilità da comunicazioni di marketing entusiastiche, ammonisce Forrester, è molto più saggio separare con attenzione i fatti dalla ‘finzione’ creata dalle strategie commerciali, cercando di capire cosa davvero è possibile fare con quelli che oggi costituiscono i mattoni base dell’intelligenza artificiale e che, tanto per chiarire facendo esempi concreti, corrispondono a tecnologie come ‘machine learning’ (ML), alias apprendimento automatico delle macchine, o ‘natural language processing’ (NLP), cioè elaborazione del linguaggio naturale.

Prima di passare a un’analisi dettagliata di queste tecnologie, e dei relativi vantaggi, Forrester tiene comunque a ricordare che la AI può aumentare le capacità umane nelle metodologie di cybersecurity, che devono stare al passo con le nuove emergenti minacce e analizzare grandi moli di eventi e allarmi, ma non sostituisce l’esperienza e la conoscenza personale dell’individuo, che resta ancora essenziale per proteggere i sistemi IT e i dati di business di un’organizzazione.

AI per potenziare le security operation

I professionisti della security possono usare i building block della AI per prevedere le future minacce e adeguarsi di conseguenza; identificare le vulnerabilità esistenti e trovare rimedi; individuare e bloccare cyber-attacchi in essere, con una capacità e velocità che è in pratica impossibile raggiungere usando soltanto le facoltà di analisi umane e i processi manuali. Capacità e velocità del sistema sono particolarmente importanti oggi, per soddisfare una serie di necessità:

Analizzare volumi massivi di dati. Analizzare e stabilire priorità in un mare di eventi e allarmi che inonda il SOC (Security Operation Center) è umanamente impossibile, e l’intelligenza artificiale applicata alle security operation può aiutare a indirizzare questi problemi, tramite la rapida analisi dei dati raccolti e la notifica di alert significativi quando vengono individuate attività anomale.

Indirizzare la carenza di competenze in cybersecurity. Secondo diversi studi, per il 2021 vi saranno tra 1,5 milioni e 3,5 milioni di posizioni aperte nella cybersecurity, dunque non sarà possibile colmare il divario di competenze nel settore semplicemente assumendo nuovo personale preparato. Qui l’AI consente un potenziamento delle capacità della forza lavoro esistente.

Adattarsi di continuo all’evoluzione delle minacce e degli schemi di attacco. Alcuni tool di AI sono in grado di abilitare una miglior identificazione e conoscenza delle minacce, ad esempio potenziando le soluzioni esistenti ‘signature-based’.

Limitare l’impatto di cyber-attacchi e violazioni sul business e sui clienti. Quando si manifesta una violazione inevitabile, la cosa più importante è reagire in fretta e con la massima efficacia. Laddove i possibili rimedi a disposizione non sono sempre ovvi, e possono creare più danni che benefici, le soluzioni AI aiutano a ottimizzare l’elaborazione della migliore risposta, determinando ad esempio quali azioni hanno già funzionato in passato.

AI, i mattoni fondamentali

Nessun vendor di soluzioni di security possiede una piattaforma di intelligenza artificiale completa, chiarisce Forrester, ma alcuni fornitori stanno incorporando uno o più dei building block chiave:

Biometria. Grazie alla capacità di autenticare gli individui in base alle caratteristiche fisiche (tratti facciali, voce, iride, impronte digitali) o comportamentali (velocità di battitura sulla tastiera, movimenti del mouse, interazioni sul touchscreen), le soluzioni biometriche aiutano a ridurre le frodi e a bloccare i cyber-attacchi che usano credenziali rubate. Inoltre, i dati che esse generano possono alimentare altre soluzioni analitiche di security, per individuare con più velocità e precisione comportamenti anomali dell’utente.

Natural language processing. Essendo capace di leggere e comprendere testo scritto da esseri umani, la tecnologia NLP è in grado di rintracciare frasi indicative di minacce o attività improprie. Al di là dell’applicazione nei filtri anti-spam per le e-mail, NPL tramite l’analisi del testo può identificare schemi di phishing e altre minacce.

Machine learning. Composta da tool, tecniche e algoritmi di analisi che i professionisti S&R e i data scientist usano per creare modelli predittivi e scoprire schemi nei dati, questa tecnologia in realtà comprende dozzine di classi specializzate di algoritmi, che si focalizzano su specifici domini di problematiche: ad esempio, alcuni algoritmi di ML individuano attività malevole sui file, mentre altri monitorano gli utenti per evidenziare comportamenti inusuali.

Deep learning. È una branca del machine learning che si concentra in modo specifico su algoritmi che costruiscono reti neurali artificiali ispirate a quelle del cervello umano. Il deep learning è in grado di potenziare la precisione di altri building block dell’AI, come l’analisi delle immagini e il riconoscimento vocale. Nella cybersecurity, le tecniche di deep learning sono usate per automatizzare il mining di dataset massivi nella identificazione di minacce.

Security automation and orchestration (SAO). Sono soluzioni non ancora abbastanza mature perché le imprese possano affidarsi a esse per prendere decisioni senza intervento umano, tuttavia possono assistere gli esperti nel processo di investigazione e risposta agli attacchi, usando i mattoni base della AI.

Security analytics. Utilizzano il ML per scoprire comportamenti malevoli. Ad esempio, le piattaforme SIM (security information management) integrano il ML per ridurre i falsi positivi, distinguendoli meglio dalle minacce reali.

AI: in cosa può aiutare nel breve termine

Utilizzando i mattoni base della AI e le soluzioni che facilitano l’automazione e orchestrazione, i team dedicati alla security possono realizzare un SOC in grado di stare al passo con l’espansione, la velocità e l’adattabilità delle odierne minacce. Da un lato, è possibile migliorare l’individuazione e accelerare l’investigazione delle attività malevole: diversi vendor stanno già combinando le tecniche NLP e ML per estrarre stream di dati e informazioni che fungano da indicatori di azioni dannose, che passano inosservate sotto gli occhi dei team di analisti umani. Dall’altro lato, si può velocizzare la presa delle decisioni e automatizzare la risposta agli attacchi: i tool SAO stanno già usando i componenti chiave AI per prendere alcune decisioni, anche se molti utenti preferiscono ancora mantenere gli addetti umani nel processo. In ogni caso, in prospettiva, queste soluzioni saranno usate per potenziare e ottimizzare gli staff dei SOC esistenti, e consentire ai giovani analisti di agire come se fossero decisori maturi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4