{"id":14113,"date":"2017-08-21T10:20:59","date_gmt":"2017-08-21T08:20:59","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=14113"},"modified":"2018-09-18T14:36:15","modified_gmt":"2018-09-18T12:36:15","slug":"what-humachine-intelligence-is","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/what-humachine-intelligence-is\/14113\/","title":{"rendered":"Cos’\u00e8 HuMachine?"},"content":{"rendered":"

L\u2019efficacia dei nostri prodotti \u00e8 dovuta al concetto di HuMachine Intelligence<\/em>, che \u00e8 la base di ci\u00f2 che chiamiamo True<\/em>\u00a0Cybersecurity<\/em>. L\u2019essenza della HuMachine Intelligence<\/em> \u00e8 una fusione di tre fattori fondamentali: big data, apprendimento automatico e la competenza dei nostri analisti. Ma cosa c\u2019\u00e8 dietro queste parole? Proviamo a spiegarlo senza entrare in dettagli tecnici.<\/p>\n

\"\"<\/a><\/p>\n

Big Data e Threat Intelligence<\/h2>\n

Il termine big data<\/em>\u00a0non dovrebbe essere preso alla lettera, come se si trattasse di una vasta gamma di informazioni conservate da qualche parte. Non \u00e8 solo un database; si tratta di una combinazione di tecnologie che consentono l\u2019elaborazione istantanea di grandi volumi di dati al fine di estrarre \u00a0informazioni di threat intelligence<\/em>. In questo caso, con il termine \u201cdata\u201d ci riferiamo a tutti gli oggetti, sia che essi siano innocui, totalmente dannosi o potenzialmente utilizzabili per scopi dannosi. Per quanto ci riguarda, i big data fanno riferimento in primo luogo a\u00a0una vasta raccolta di oggetti dannosi. In secondo luogo, \u00e8 compreso Kaspersky Security Network, che si aggiorna continuamente con nuovi oggetti dannosi e dati multiformi su varie cyberminacce provenienti da tutto il mondo. In terzo luogo, con\u00a0big data<\/em>\u00a0ci riferiamo ai vari strumenti di categorizzazione che elaborano i dati.<\/p>\n\n

Una raccolta di oggetti dannosi<\/h4>\n

Ci dedichiamo alla sicurezza informatica da pi\u00f9 di 20 anni, e in tutto questo tempo abbiamo analizzato un gran numero di\u00a0oggetti. Tutte le informazioni in merito sono conservate al sicuro nei nostri database. E quando parliamo di \u201coggetti\u201d, ci riferiamo non solo ai file o a parti di codici, ma anche a indirizzi Web, certificati, esecuzione di file log per applicazioni legittime e non. Tutti questi dati non solo vengono catalogati con etichette come \u201cpericoloso\u201d o \u201csicuro\u201d, ma sono immagazzinate anche informazioni sui rapporti tra gli oggetti: da quale sito web il file \u00e8 stato scaricato, quali altri file sono stati scaricati dal sito e cos\u00ec via.<\/p>\n

Kaspersky Security Network (KSN)<\/h4>\n

KSN \u00e8 il nostro servizio di sicurezza su cloud. Una delle sue funzioni \u00e8 quella di bloccare rapidamente le minacce pi\u00f9 recenti per il cliente. Allo stesso tempo, permette e tutti i clienti di partecipare alla crescente sicurezza globale inviando su cloud metadati anonimi sulle minacce rilevate. Studiamo ogni minaccia rilevata da vari punti di vista e aggiungiamo le sue caratteristiche nel nostro database delle minacce. Fatto ci\u00f2, i nostri sistemi possono rilevare con precisione non solo quella minaccia, ma anche quelle simili. Quindi, la nostra raccolta riceve dati aggiornati in tempo reale.<\/p>\n

Strumenti di categorizzazione<\/h4>\n

Gli strumenti di categorizzazione sono tecnologie interne che ci consentono di elaborare le informazioni che raccogliamo e registrare i rapporti tra gli oggetti dannosi menzionati precedentemente.<\/p>\n

\"\"<\/a><\/p>\n

La tecnologia dell\u2019apprendimento automatico<\/h2>\n

Delineare cosa sia l\u2019apprendimento automatico e come viene utilizzato in Kaspersky Lab non \u00e8 un compito facile. Innanzitutto va detto\u00a0che usiamo un approccio multilivello<\/a>. Gli algoritmi di apprendimento automatico vengono utilizzati in diversi sottosistemi e a diversi livelli.<\/p>\n

Rilevamento statico<\/h4>\n

Ogni giorno i nostri sistemi ricevono centinaia di migliaia di oggetti che hanno bisogno di un\u2019analisi tempestiva e di categorizzazione (etichettare un oggetto come pericoloso o meno). Gi\u00e0 pi\u00f9 di 10 anni fa sapevamo che non avremmo potuto farcela senza automazione. Il primo compito era capire se un file sospetto assomigliasse a uno dannoso che gi\u00e0 avevamo. E qui entrava in gioco l\u2019apprendimento automatico: abbiamo creato un\u2019applicazione che analizzava tutti i nostri dati salvati e, quando veniva aggiunto un nuovo file, i nostri analisti venivano informati su quale fosse l\u2019oggetto pi\u00f9 simile al nuovo arrivato.<\/p>\n

\u00c8 divenuto subito chiaro che sapere se un oggetto fosse simile ad\u00a0altri dannosi non era abbastanza. Avevamo bisogno di una tecnologia che permettesse al sistema di dare un verdetto in maniera indipendente. Cos\u00ec abbiamo costruito una tecnologia basata su alberi di decisione<\/a><\/u>. Addestrata sulla nostra vasta raccolta di oggetti dannosi, la tecnologia rilevava una serie di criteri, specifiche combinazioni che potevano servire come indicatori che definiscono senza ambiguit\u00e0 un nuovo file come pericoloso. Mentre analizza un file, un modello matematico \u201cchiede\u201d al motore antivirus delle domande come queste:<\/p>\n

    \n
  1. Il file \u00e8 di dimensioni superiori a 100 kilobyte?<\/li>\n
  2. In caso affermativo, \u00e8 questo un file compresso?<\/li>\n
  3. Se non lo \u00e8, i nomi delle sue sezioni sono qualcosa che un umano sceglierebbe o senza senso<\/a><\/u>?<\/li>\n
  4. Se \u00e8 la prima, allora\u2026<\/li>\n<\/ol>\n

    E la lista delle domande va avanti.<\/p>\n

    Dopo aver risposto a tutte queste\u00a0domande, il motore antivirus riceve un verdetto dal modello matematico. Il verdetto pu\u00f2 essere \u201cil file \u00e8 pulito\u201d o \u201cil file \u00e8 pericoloso.\u201d<\/p>\n

    Modello matematico comportamentale<\/h4>\n

    Seguendo il nostro principio di sicurezza multilivello, i nostri modelli matematici vengono anche utilizzati per il rilevamento dinamico. In effetti, un modello matematico \u00e8 in grado di analizzare il comportamento di un file eseguibile proprio durante la sua esecuzione. \u00c8 possibile costruire e formare il modello secondo gli stessi principi applicati ai modelli matematici di rilevamento statico, utilizzando invece i log file di esecuzione come \u201cmateriali di allenamento\u201d. Tuttavia, c\u2019\u00e8 una grande differenza; in condizioni reali, non possiamo permetterci di aspettare finch\u00e9 il codice termini l\u2019esecuzione. La decisione dovrebbe essere presa dopo aver analizzato un minimo di azioni. Attualmente, un progetto pilota di questa tecnologia, basata sull\u2019apprendimento profondo, sta dando ottimi risultati.<\/p>\n

    Competenza umana<\/h2>\n

    Gli esperti in apprendimento automatico concordano sul fatto che non importa quanto intelligente sia un modello matematico, un essere umano sar\u00e0 sempre in grado di superarlo, soprattutto se la persona \u00e8 creativa e pu\u00f2 dare un\u2019occhiata a come funziona la tecnologia, o se c\u2019\u00e8 tempo a disposizione per eseguire numerosi test ed esperimenti. Per questo motivo, prima di tutto, ogni parte del modello deve essere aggiornabile; in secondo luogo, l\u2019infrastruttura deve funzionare perfettamente; e terzo, l\u2019essere umano deve controllare il robot. Ecco qui sono tutti e tre i casi.<\/p>\n

    Ricerca anti-malware<\/h4>\n

    Circa 20 anni fa, la nostra squadra di Anti-Malware Research (AMR) operava senza l\u2019ausilio di sistemi automatici. Oggi, la maggior parte delle minacce vengono rilevate da sistemi formati dai nostri ricercatori. In alcuni casi, il sistema non pu\u00f2 dare un verdetto inequivocabile oppure pensa che l\u2019oggetto sia dannoso, ma non pu\u00f2 ricollegarlo a nessuna famiglia conosciuta. Quindi, il sistema invia un avvertimento ad un analista AMR in servizio, fornendo una serie completa di indicatori in modo che l\u2019analista possa prendere la decisione finale.<\/p>\n

    Detection Methods Analysis Group<\/h4>\n

    All\u2019interno al nostro AMR c\u2019\u00e8 un gruppo di ricerca specifico chiamato Detection Methods Analysis Group, che \u00e8 stato creato nel 2007 per lavorare specificamente sui nostri sistemi di apprendimento automatico. Attualmente, solo il capo del dipartimento \u00e8 un analista esperto dei virus. Gli altri dipendenti sono puri data scientist.<\/p>\n

    Global Research and Analysis Team (GReAT)<\/h4>\n

    Ultimo ma non meno importante, parliamo del nostro Global Research and Analysis Team (GReAT). I ricercatori di questa squadra indagano le minacce pi\u00f9 complesse: APT, campagne di cyberspionaggio, i maggiori focolai di malware, ransomware e le tendenze cybercriminali nascoste ma presenti in tutto il mondo. La loro competenza unica sulle tecniche, gli strumenti e gli schemi di cyberattacchi ci consente di sviluppare nuovi metodi di protezione che possono fermare anche gli attacchi pi\u00f9 complessi.<\/p>\n

    Non abbiamo ancora parlato nemmeno della met\u00e0 delle tecnologie e dei reparti coinvolti nello sviluppo delle nostre soluzioni. Molti altri esperti e diversi metodi di appprendimento automatico lavorano insieme per proteggervi in modo ottimale, ma volevamo illustrare nello specifico il principio di HuMachine Intelligence.<\/p>\n","protected":false},"excerpt":{"rendered":"

    L’essenza del concetto di HuMachine \u00e8 una fusione di big data, apprendimento automatico e l’esperienza dei nostri analisti. Ma cosa c’\u00e8 dietro queste parole?<\/p>\n","protected":false},"author":669,"featured_media":14114,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2264,639,2517,45,753,2551],"class_list":{"0":"post-14113","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-apprendimento-automatico","10":"tag-cyberminacce","11":"tag-humachine","12":"tag-sicurezza","13":"tag-tecnologia","14":"tag-true-cybersecurity"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/what-humachine-intelligence-is\/14113\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/what-humachine-intelligence-is\/11088\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/what-humachine-intelligence-is\/9199\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/what-humachine-intelligence-is\/4937\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/what-humachine-intelligence-is\/12430\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/what-humachine-intelligence-is\/11636\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/what-humachine-intelligence-is\/11182\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/what-humachine-intelligence-is\/14113\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/what-humachine-intelligence-is\/18476\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/what-humachine-intelligence-is\/17995\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/what-humachine-intelligence-is\/10003\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/what-humachine-intelligence-is\/7242\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/what-humachine-intelligence-is\/14425\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/what-humachine-intelligence-is\/8288\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/what-humachine-intelligence-is\/17605\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/what-humachine-intelligence-is\/17721\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/what-humachine-intelligence-is\/17687\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/humachine\/","name":"HuMachine"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14113","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/669"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=14113"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14113\/revisions"}],"predecessor-version":[{"id":14197,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/14113\/revisions\/14197"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/14114"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=14113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=14113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=14113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}