FARO (Portogallo) – Molto ricco di contenuti e di opportunità di confronto, l’evento Hot Topics on Networking and Cybersecurity organizzato da NetEvents in Portogallo è stato l’occasione per l’approfondimento delle tematiche di cybersecurity da una prospettiva che è in questo momento particolarmente di moda, ossia l’adozione dell’intelligenza artificiale per potenziare le capacità predittive dei sistemi per difendere le aziende da attacchi sempre più sofisticati: “Talmente di moda – ha esordito Rik Turner, Principal Analyst di Ovum, introducendo la tavola rotonda The Security Professional’s Best Friend: Artificial Intelligence – che tutti i vendor di security negli ultimi tre anni, e nell’ultimo in particolare, non possono, parlando dei propri servizi e soluzioni, non pronunciare le parole ‘artificial intelligence’: a proposito o sproposito che sia, devono farlo, è il marketing a imporlo! Ma cosa c’è veramente dietro questa parola d’ordine?”, si è chiesto l’analista.
Una rapida cronistoria della cybersecurity
Prima di entrare nel merito, Turner ha brevemente ricordato alcuni trend fondamentali nell’evoluzione della cybersecurity:
- il passaggio da un concetto di sicurezza basato sulla prevenzione (impedisco al malware di entrare nel perimetro aziendale), tipico della security degli anni ’90 e dei primi anni del nuovo millennio, a quello di una sicurezza che prende coscienza dell’impossibilità di difendere con barriere una realtà aziendale sempre più fluida e senza confini definiti (causa cloud, mobile ecc.) e si basa quindi su un approccio “detect, mitigate & remediate” (la figura 1 mostra la crescita delle vulnerabilità pubblicate dal 1999 al 2017 passata da 890 a 15.000 all’anno);
- la trasformazione di attori e tipologie di attacco dove uno dei trend di maggiore impatto e di più alta diffusione è l’estensione di un vero e proprio mercato di soluzioni e servizi nel dark web a disposizione di cybercriminali, hacktivist, cyberspie ecc.
- la sempre maggiore velocità con cui gli attacchi vengono compiuti e si diffondono.
“Le risposte tecnologiche – ha riassunto Turner – non si sono fatte attendere, dalle sandbox (che eseguono il software in un’area ristretta del sistema operativo, controllando le risorse che un processo può utilizzare) a quella che Gartner definisce UBA-User Behavior Analytics (processo che, attraverso varie tecnologie distribuite sulla rete, consente di capire, sulla base dell’analisi del comportamento abituale degli utenti, se si stanno verificando comportamenti anomali che potrebbero essere indice di potenziali attacchi) fino alle più recenti soluzioni di EDR-Endpoint Detection & Response che, monitorando in tempo reale le minacce, si concentrano sull’analisi dei dati e sulla risposta a incidenti che coinvolgono gli endpoint aziendali”.
Ci si avvicina così al vero oggetto della tavola rotonda: “Compare infine la threat intelligence – spiega Turner – che però non è una risposta tecnologica di cybersecurity bensì un’analisi intelligente delle minacce. La risposta tecnologica sta nell’utilizzo dell’intelligenza artificiale per prevenire le minacce che però – precisa l’analista – oggi significa in realtà solo machine learning ossia autopprendimento automatico”.
Dal machine learning al deep learning: il vero salto verso l’AI
Ed è proprio da qui che parte il dibattito con il panel della tavola rotonda guidata da Turner e che vede la presenza di Roark Pollock, SVP Marketing di Ziften Technologies (soluzioni cloud di protezione degli endpoint), Simon Crumplin, Founder & CEO di Secrutiny (implementazione di soluzioni di security e managed security services), e Jan Guldentops, Director di BA Test Labs (consulenza e testing in ambito networking e security).
“Quello che si sta oggi facendo è, di fatto, il riconoscimento di pattern per vedere quel che succede nel traffico della rete aziendale e cercare di capire quello che può essere anomalo e quindi potenzialmente pericoloso. Il tutto per rispondere in tempo reale a eventuali minacce. In pratica stiamo utilizzando il machine learning per rilevamento e mitigazione delle minacce mentre il vero, grande potenziale dell’intelligenza artificiale nella cybersecurity sta nella capacità di effettuare previsioni realistiche di attacchi quando questi non sono neanche iniziati”, afferma l’analista.
Interviene subito Guldentops: “Chi, tra i presenti [tutti più o meno esperti di tematiche tecnologiche di security e networking, ndr] sa cos’è il NLP-Natural Language Processing? Tutti, corretto? Chi sa cos’è il machine learning? Anche qui la risposta immagino sia positiva. Ma chi ha sentito parlare di deep learning e sa effettivamente cos’è? Questo è il vero nocciolo della questione”.
Se il machine learning è fondamentalmente basato su modelli dai quali si desumono determinati comportamenti, il deep learning si basa sull’uso di reti neurali artificiali ispirate a quelle del cervello umano, organizzate in più livelli di profondità che, nelle applicazioni di cybersecurity, viene utilizzato per automatizzare il mining di dataset massivi nell’identificazione delle minacce. Ma per il momento si tratta di applicazioni d’avanguardia.
Anche Pollock concorda sul fatto che oggi non si possa ancora parlare di vera e propria intelligenza artificiale applicata alla cybersecurity, ma sottolinea come comunque NLP e machine learning abbiano compiuto importanti progressi: “Oggi abbiamo portato queste tecnologie sugli endpoint. Stiamo parlando di tecnologie che richiedono un’enorme potenza elaborativa, eppure grazie al cloud, siano in grado di utilizzare le potenzialità di questi algoritmi ai fini di security anche su uno smartphone utilizzando meno dell’1% della potenza elaborativa del dispositivo”.
Pollock ricorda poi come i tradizionali sistemi di sicurezza siano costruiti per contrastare attacchi basati su file come vettori di infezione, ma che oggi si stanno diffondendo i cosiddetti malware fileless che non infettano file adottando varie tattiche:
- in memory: risiedono nella RAM dei computer eseguendo codice maligno direttamente in memoria; è stata la prima tipologia di attacco fileless a diffondersi, già nel 2001, con i worm Code Red e SQL Slammer che sfruttavano vulnerabilità di Windows; le infezioni provocate da attacchi di questo tipo non sono in genere persistenti (la disinfezione è implicita nel riavvio del PC, ma bisogna considerare che se un semplice PC viene spento ogni sera e riavviato ogni mattina raramente questo accade per un server);
- con metodi persistenti: l’attaccante ottiene la persistenza sui sistemi compromessi caricando un payload in memoria in modo che l’infezione possa essere resa persistente anche dopo il riavvio di Windows, tramite specifici script o task schedulati;
- dual use tools: ossia l’utilizzo con scopi malevoli di applicazioni lecite (per esempio notepad.exe utilizzabile per modificare o leggere file oppure comandi eseguiti tramite PowerShell per la modifica di permessi utenti).
“Si tratta di attacchi dove i tradizionali sistemi di identificazione delle minacce non funzionano e anche in questo caso il machine learning può fornire un importante supporto. Ecco perché tutti i vendor stanno lavorando per implementare algoritmi di questo tipo nei loro prodotti”, prosegue Pollock.
Crumplin mette infine l’accento su un tema importante, ossia la capacità per l’azienda di calare la situazione generale nel proprio contesto: “Leggiamo notizie sempre più allarmanti sugli attacchi informatici. È giusto prendere coscienza dei potenziali pericoli, ma io chiamo quello che sta avvenendo la ‘propaganda delle minacce’ perché quello che a mio parere si sta perdendo di vista è la capacità di correlare le minacce con il proprio contesto aziendale: quello che a un’azienda finanziaria può portare danni di enorme portata per un’azienda manifatturiera può essere ininfluente e viceversa. Per questo la risposta non può essere mai solo tecnologica, ma deve partire da un’analisi del contesto e della specifica situazione aziendale”.
