Intelligenza artificiale e machine learning nella cybersecurity - In che modo ridefiniranno il futuro

Definizione di intelligenza artificiale, machine learning e deep learning nell'ambito della cybersecurity

La cybersecurity tramite intelligenza artificiale, con il supporto di funzionalità di machine learning, è destinata a rivelarsi un potente strumento nel prossimo futuro. Come per altri settori, l'interazione umana è da lungo tempo essenziale e insostituibile nell'ambito della sicurezza. Benché attualmente la cybersecurity si basi notevolmente sull'input umano, stiamo gradualmente assistendo a scenari in cui la tecnologia è diventata migliore di noi per lo svolgimento di determinate attività.

Ogni miglioramento tecnologico ci permette sempre di più di integrare i ruoli umani in modo più efficace. Tra questi sviluppi, alcune aree di ricerca hanno ruoli essenziali:

• L'intelligenza artificiale (IA) è progettata per fornire ai computer la capacità di risposta completa della mente umana. Si tratta della disciplina onnicomprensiva che ne include molte altre, tra cui machine learning e deep learning.
• Machine learning (ML) usa modelli comportamentali esistenti per generare processi decisionali in base a dati e conclusioni precedenti. L'intervento umano è ancora necessario per alcune modifiche. Machine learning è a tutt'oggi probabilmente la disciplina di cybersecurity basata sull'intelligenza artificiale più rilevante.
• Deep learning (DL) e machine learning funzionano in modo simile adottando decisioni da modelli precedenti, ma il primo apporta modifiche in autonomia. Poiché le funzionalità di deep learning nella cybersecurity attualmente rientrano nell'ambito di machine learning, qui ci concentreremo per lo più su machine learning.

Contributo dell'intelligenza artificiale e di machine learning per la cybersecurity

L'intelligenza artificiale e la cybersecurity sono state indicate come rivoluzionarie e molto più vicine di quanto possiamo immaginare. Tuttavia, questa è solo una verità parziale che deve essere accostata con alcune riserve. La realtà è che potremmo osservare miglioramenti relativamente graduali nel prossimo futuro. In prospettiva, un processo apparentemente graduale in confronto a una funzionalità completamente autonoma va in realtà ben oltre le nostre capacità del passato.

Mentre esploriamo le possibili implicazioni per la sicurezza in machine learning e intelligenza artificiale, è importante definire le attuali problematiche nella cybersecurity. Molti sono i processi e gli aspetti che da tempo accettiamo come normali e che possono essere affrontati sotto l'egida delle tecnologie di intelligenza artificiale.

Errore umano nella configurazione

L'errore umano è un aspetto particolarmente significativo nella cybersecurity. Ad esempio, la corretta configurazione del sistema può essere incredibilmente difficile da gestire, anche coinvolgendo team IT di grandi dimensioni a questo scopo. Nel corso della costante innovazione, la sicurezza informatica è diventata più stratificata che mai. Strumenti reattivi possono aiutare i team a individuare e mitigare i problemi che insorgono durante la sostituzione, la modifica e l'aggiornamento dei sistemi di rete.

Pensiamo a come un'infrastruttura Internet più recente come il cloud computing possa essere aggiunta ai framework locali più vecchi. Nei sistemi aziendali un team IT dovrà garantire la compatibilità per proteggere questi sistemi. I processi manuali per la valutazione della sicurezza della configurazione logorano i team nel tentativo di bilanciare aggiornamenti infiniti con le normali attività di supporto quotidiane. Con un'automazione intelligente e adattiva, i team potrebbero ricevere consigli tempestivi su problemi appena scoperti. Potrebbero ottenere consigli sulle opzioni con cui procedere o anche disporre di sistemi per modificare automaticamente le impostazioni in base alle esigenze.

Efficienza umana con attività ripetute

L'efficienza umana è un altro punto dolente nel settore della cybersecurity. Nessun processo manuale è perfettamente ripetibile ogni volta, in particolare in ambienti dinamici come i nostri. La configurazione individuale dei numerosi computer endpoint di un'organizzazione è tra le attività che richiedono più tempo. Anche dopo la configurazione iniziale, i team IT si ritrovano a riesaminare gli stessi computer successivamente per correggere configurazioni non corrette o obsolete cui non è possibile applicare patch durante gli aggiornamenti remoti.

Inoltre, quando i dipendenti hanno il compito di rispondere alle minacce, l'ambito della minaccia in questione può cambiare rapidamente. Mentre l'attenzione umana può essere rallentata da sfide impreviste, un sistema basato su intelligenza artificiale e machine learning può operare con ritardi minimi.

Numero eccessivo di avvisi sulle minacce

Il numero eccessivo di avvisi sulle minacce aggiunge un altro punto debole per le organizzazioni se non viene gestito con cura. Le superfici di attacco stanno aumentando man mano che i livelli di sicurezza citati sopra si fanno più elaborati e disordinati. Molti sistemi di sicurezza sono ottimizzati per rispondere a diversi problemi noti con una raffica di avvisi puramente meccanici. Di conseguenza, questi singoli messaggi costringono i team umani ad analizzare le possibili decisioni e a intervenire.

Un elevato afflusso di avvisi rende il processo decisionale a questo livello particolarmente oneroso. In definitiva, l'impegno richiesto da tali decisioni diventa un'esperienza quotidiana per il personale addetto alla cybersecurity. L'azione proattiva per queste minacce e vulnerabilità identificate è l'approccio ideale, ma molti team non hanno il tempo e il personale necessari per affrontarle.

A volte i team devono decidere di gestire prima di tutto problematiche più importanti, tralasciando gli obiettivi secondari. L'utilizzo dell'intelligenza artificiale per la cybersecurity può consentire ai team IT di affrontare un numero maggiore di queste minacce in modo pratico ed efficace. La gestione di queste minacce può essere notevolmente semplificata suddividendole in batch tramite etichette automatizzate. Inoltre, alcune problematiche possono essere affrontate dall'algoritmo di machine learning stesso.

Tempo di risposta alle minacce

Il tempo di risposta alle minacce è assolutamente tra le metriche più importanti per l'efficacia di un team di cybersecurity. Dall'exploit al deployment, gli attacchi dannosi sono noti per il fatto di operare molto rapidamente. Gli autori delle minacce del passato erano soliti setacciare le autorizzazioni di rete per poi disattivare la sicurezza lateralmente, a volte per diverse settimane, prima di sferrare un attacco.

Purtroppo, gli esperti nel settore della difesa informatica non sono gli unici a trarre vantaggio dalle innovazioni tecnologiche. Oggi l'automazione è diventata più comune nei cyberattacchi. Minacce come i recenti attacchi ransomware LockBit hanno accelerato notevolmente i tempi di attacco. Attualmente, alcuni attacchi possono anche avvenire in non più di mezz'ora.

La risposta umana può restare indietro rispetto all'attacco iniziale, anche con tipi di attacco noti. Per questo motivo, molti team sono più spesso impegnati a rispondere ad attacchi riusciti anziché prevenire tentativi di attacco. Dall'altra parte dello spettro, gli attacchi non rilevati sono un pericolo del tutto particolare.

La sicurezza assistita da machine learning può estrarre dati da un attacco per raggrupparli e prepararli immediatamente per l'analisi. Può fornire ai team di cybersecurity report semplificati per agevolare l'elaborazione e il processo decisionale. Oltre ai report, questo tipo di sicurezza può offrire anche azioni consigliate per limitare ulteriormente i danni e prevenire gli attacchi futuri.

Identificazione e previsione di nuove minacce

L'identificazione e la previsione di nuove minacce sono altri due fattori che hanno impatto sui tempi di risposta per i cyberattacchi. Come indicato in precedenza, si registrano ritardi già nella gestione delle minacce esistenti. Tipi di attacco, comportamenti e strumenti sconosciuti possono ingannare ulteriormente un team, causando reazioni lente. Peggio ancora, le minacce più silenziose come il furto di dati possono a volte non essere rilevate del tutto. Un sondaggio svolto ad aprile 2020 da Fugue ha riscontrato che circa l'84% dei team IT teme che i propri sistemi basati su cloud possano essere violati senza che nessuno se ne renda conto.

La costante evoluzione degli attacchi sfociata in attacchi zero-day è un costante motivo di preoccupazione nell'ambito delle attività di difesa della rete. Ma la buona notizia è che i cyberattacchi raramente vengono creati da zero. Poiché sono spesso basati su comportamenti, framework e codice sorgente di attacchi passati, l'algoritmo di machine learning ha a disposizione un percorso preesistente da cui partire.

La programmazione basata su machine learning può aiutare a evidenziare i punti in comune tra la nuova minaccia e quelle identificate in precedenza per semplificare l'individuazione di un attacco. Questo è qualcosa che gli esseri umani non riescono a fare in modo efficace e tempestivo e sottolinea ulteriormente la necessità di modelli di sicurezza adattivi. Da questo punto di vista, machine learning può semplificare la previsione di nuove minacce da parte dei team e ridurre i ritardi grazie a una maggiore consapevolezza delle minacce.

Disponibilità di personale

La disponibilità di personale è uno degli attuali problemi che affliggono molti team IT e di cybersecurity a livello globale. A seconda delle esigenze di un'organizzazione, il numero di professionisti qualificati può essere limitato.

Tuttavia, la situazione più comune è che l'assunzione di persone può anche costare alle organizzazioni una grande parte del budget. Il supporto di personale umano richiede non solo la compensazione per il lavoro svolto ogni giorno, ma anche la capacità di fornire assistenza per le continue esigenze di formazione e certificazione. La capacità di tenersi aggiornati come professionisti della cybersecurity è impegnativa, in particolare per quanto riguarda l'innovazione costante citata in più punti in questa trattazione.

Gli strumenti di sicurezza basati sull'intelligenza artificiale possono affrontare con successo questi problemi con un team più ridotto da predisporre e supportare. Anche se queste figure dovranno tenersi aggiornate riguardo alle aree all'avanguardia di intelligenza artificiale e machine learning, il risparmio su costi e tempo si aggiungerà a requisiti di personale meno stringenti.

Adattabilità

L'adattabilità non è un problema altrettanto ovvio degli altri aspetti citati, ma può influire notevolmente sulle capacità di sicurezza di un'organizzazione. I team umani possono non essere in grado di personalizzare il proprio set di competenze in base a requisiti esclusivi.

Se il personale non viene formato su metodi, strumenti e sistemi specifici, l'efficacia del team può risultare carente di conseguenza. Anche esigenze apparentemente semplici come l'adozione di nuovi criteri di sicurezza possono essere soddisfatte lentamente da team prevalentemente umani. Questa è semplicemente la natura di noi esseri umani, che non siamo in grado di imparare istantaneamente nuovi modi di agire, ma ci serve tempo per farlo. Con i giusti set di dati, algoritmi adeguatamente sottoposti a training possono essere trasformati in una soluzione su misura per ogni azienda.

Utilizzo dell'intelligenza artificiale nella cybersecurity

L'intelligenza artificiale nella cybersecurity è considerata un set avanzato di discipline tra cui machine learning e deep learning, ma ha un proprio ruolo ben preciso.

In pratica, l'intelligenza artificiale è incentrata sul "successo", mentre la "precisione" ha meno peso. Risposte naturali per la complessa risoluzione dei problemi sono l'obiettivo finale. In una soluzione di intelligenza artificiale pura vengono prese decisioni indipendenti. La sua programmazione è progettata per trovare la soluzione ideale in una situazione anziché semplicemente la conclusione più logica del set di dati.

In altre parole, è meglio comprendere il funzionamento della moderna intelligenza artificiale e delle discipline sottostanti. I sistemi autonomi non rientrano nell'ambito di sistemi ampiamente mobilitati, in particolare nel campo della cybersecurity. Questi sistemi autogestiti sono ciò che molte persone associano comunemente all'intelligenza artificiale. Tuttavia, i sistemi di intelligenza artificiale che supportano o migliorano i nostri servizi di protezione sono pratici e disponibili.

Il ruolo ideale dell'intelligenza artificiale nella cybersecurity consiste nell'interpretare i modelli stabiliti dagli algoritmi di machine learning. Naturalmente, non è ancora possibile per la moderna intelligenza artificiale interpretare i risultati con le stesse capacità di un essere umano. Molto viene compiuto per contribuire allo sviluppo di questo campo alla ricerca di framework simili alle capacità umane, ma una soluzione di intelligenza artificiale pura in questo senso è un obiettivo distante che richiede che i computer siano in grado di acquisire concetti astratti nelle diverse situazioni per riformularli. In altre parole, questo livello di creatività e pensiero critico non è così vicino quanto vogliono farci credere le attuali voci sull'intelligenza artificiale.

Utilizzo di machine learning nella cybersecurity

Le soluzioni di sicurezza basate su machine learning sono diverse dalla percezione comune verso la famiglia dell'intelligenza artificiale. Detto questo, sono facilmente gli strumenti di intelligenza artificiale per la cybersecurity più potenti che abbiamo a tutt'oggi. Nell'ambito di questa tecnologia, vengono usati modelli di dati per rivelare la probabilità del verificarsi o meno di un evento.

Per alcuni aspetti, machine learning è in qualche modo l'opposto dell'intelligenza artificiale pura. Gli algoritmi di machine learning sono particolarmente incentrati sulla "precisione" piuttosto che sul "successo". Questo significa che lo scopo è apprendere da un set di dati incentrato sulle attività. Il processo si conclude trovando le prestazioni più ottimali per l'attività specifica. Viene cercata l'unica possibile soluzione in base ai dati specifici, anche se non è quella ideale. Con machine learning non esiste una vera interpretazione dei dati, ovvero questa responsabilità continua a ricadere sulle task force umane.

Machine learning eccelle in attività noiose come l'identificazione e l'adattamento dei modelli di dati. Gli esseri umani non si adattano facilmente ad attività di questo tipo a causa dell'impegno richiesto e di una tolleranza generalmente ridotta verso i processi monotoni. Di conseguenza, mentre l'interpretazione dell'analisi dei dati è ancora nelle mani dell'uomo, machine learning può aiutare a inquadrare i dati in una presentazione leggibile e pronta alla dissezione. La cybersecurity tramite machine learning avviene in forme diverse, ognuna con vantaggi propri:

Classificazione dei dati

La classificazione dei dati funziona tramite regole preimpostate per assegnare categorie a punti dati. L'etichettatura di questi punti è una parte importante della creazione di un profilo su attacchi, vulnerabilità e altri aspetti di una sicurezza proattiva. Si tratta di un aspetto fondamentale per l'integrazione tra machine learning e cybersecurity.

Clustering dei dati

Il clustering dei dati acquisisce le anomalie nella classificazione di regole predefinite, inserendole in raccolte di dati "in cluster" con aspetti condivisi o caratteristiche saltuarie. Ad esempio, può essere utilizzato per l'analisi dei dati sugli attacchi per cui un sistema non è ancora stato sottoposto a training. Questi cluster possono aiutare a determinare com'è avvenuto un attacco, insieme agli elementi sfruttati ed esposti. 

Linee di azione consigliate

Gli interventi consigliati migliorano le misure proattive di un sistema di sicurezza basato su machine learning. Si tratta di avvisi basati su modelli comportamentali e decisioni precedenti che indicano gli interventi consigliati naturalmente. È importante riaffermare qui che non esiste un processo decisionale intelligente tramite una soluzione di intelligenza artificiale autonoma. Piuttosto, si tratta di un framework di conclusioni adattivo che attraverso punti dati preesistenti può raggiungere conclusioni sulle relazioni logiche. Le risposte alle minacce e la mitigazione dei rischi possono essere notevolmente supportate da questo tipo di strumento.

Sintesi delle possibilità

La sintesi delle possibilità consente di sintetizzare possibilità del tutto nuove sulla base delle lezioni apprese da dati precedenti e da nuovi set di dati sconosciuti. Si differenzia leggermente dai consigli, in quanto si concentra di più sulle probabilità che un'azione o lo stato di un sistema sia in linea con situazioni precedenti simili. Ad esempio, questa sintesi può essere utilizzata per un'indagine preventiva sui punti deboli nei sistemi di un'organizzazione.

Previsione predittiva

La previsione predittiva è il più lungimirante dei processi del componente di machine learning. Questo vantaggio si ottiene prevedendo i potenziali risultati attraverso la valutazione di set di dati esistenti. Questo processo può essere usato principalmente per la creazione di modelli delle minacce per definire prevenzione delle frodi e protezione dalle violazioni dei dati ed è un punto fermo di molte soluzioni predittive basate su endpoint.

Esempi di machine learning nella cybersecurity

Per approfondire, ecco alcuni esempi che sottolineano il valore degli algoritmi di machine learning per quanto riguarda la cybersecurity:

Classificazione della privacy dei dati e conformità

La protezione dell'organizzazione dalle violazioni alle leggi sulla privacy è diventata una priorità assoluta negli ultimi anni. Dopo l'innovativo Regolamento sulla protezione generale dei dati (GDPR), sono apparse altre misure legali come il California Consumer Protection Act (CCPA).

La gestione dei dati dei clienti e degli utenti raccolti deve essere conforme a queste normative, il che di solito significa che questi dati devono essere accessibili per l'eliminazione su richiesta. La mancata osservanza di queste leggi comporta sanzioni rigorose, oltre a influire negativamente sulla reputazione dell'organizzazione.

La classificazione dei dati consente di separare i dati che identificano personalmente gli utenti da quelli resi anonimi o non identificabili. Questa attività elimina il lavoro manuale necessario per l'analisi di vaste raccolte di dati nuovi e meno recenti, in particolare in organizzazioni di grandi dimensioni o più longeve.

Profili di sicurezza del comportamento degli utenti

La creazione di profili personalizzati sul personale responsabile della rete in base ai comportamenti degli utenti consente di adattare la sicurezza in base alle esigenze dell'organizzazione. Questo modello può quindi definire i probabili utenti non autorizzati in base alle anomalie nei comportamenti degli utenti. Aspetti minimi come i tasti premuti sulla tastiera possono contribuire alla creazione di un modello delle minacce predittivo Attraverso la definizione delle possibili conseguenze dei comportamenti di utenti potenzialmente non autorizzati, una soluzione di sicurezza basata su machine learning può suggerire gli interventi consigliati per ridurre le superfici di attacco esposte.

Profili di sicurezza delle prestazioni del sistema

Analogamente al concetto di profilo del comportamento utente, è possibile compilare un profilo diagnostico personalizzato delle prestazioni dell'intero computer quando il sistema è integro. Il monitoraggio dell'utilizzo del processore e della memoria insieme ad aspetti come l'uso elevato di dati Internet può indicare attività dannose. Detto questo, alcuni utenti possono utilizzare regolarmente volumi elevati di dati tramite videoconferenze o frequenti download di file multimediali di grandi dimensioni. L'identificazione delle prestazioni generali di base di un sistema consente di stabilire i comportamenti sospetti, analogamente alle regole di comportamento degli utenti che abbiamo citato in un esempio di machine learning precedente.

Blocco dei bot in base al comportamento

L'attività dei bot può consumare larghezza di banda in ingresso per i siti Web. Questo è particolarmente vero per chi dipende dal traffico aziendale basato su Internet, ad esempio chi possiede vetrine di e-commerce dedicate e nessuna sede fisica. Gli utenti possono riscontrare una notevole lentezza che causa perdita di traffico e di opportunità di business.

Classificando questa attività, gli strumenti di sicurezza basati su machine learning possono bloccare i siti Web dei bot, indipendentemente dagli strumenti utilizzati, come le reti private virtuali che possono renderli anonimi. I punti dati comportamentali sulle parti malintenzionate possono consentire a uno strumento di sicurezza basato su machine learning di creare modelli predittivi basati su questo comportamento e bloccare preventivamente nuovi indirizzi Web per la visualizzazione della stessa attività.

Il futuro della cybersecurity

Nonostante tutti i discorsi appassionati sul futuro di questa forma di sicurezza, è bene tenere conto di alcune limitazioni ancora presenti.

Gli algoritmi di machine learning necessitano di set di dati, ma possono entrare in conflitto con le leggi sulla privacy dei dati. I sistemi software di training necessitano di molti punti dati per creare modelli accurati, un concetto che mal si abbina al "diritto all'oblio". Poiché gli identificatori umani di alcuni dati possono causare violazioni, sarà necessario valutare le possibili soluzioni. Tra le possibili correzioni, i sistemi dovrebbero rendere praticamente impossibile accedere ai dati originali una volta completato il training del software. Anche l'anonimizzazione dei punti dati è un'opzione da prendere in considerazione, ma dovrà essere esaminata ulteriormente per evitare di modificare la logica del programma.

Il settore ha bisogno di più esperti di cybersecurity basata su intelligenza artificiale e machine learning in grado di utilizzare la programmazione in questo campo. La sicurezza di rete basata su machine learning trarrebbe grande vantaggio da professionisti capaci di gestirla e modificarla in base alle esigenze. Tuttavia, il pool globale di persone formate e qualificate è troppo ridotto rispetto all'immensa domanda globale di personale in grado di fornire queste soluzioni.

I team umani saranno ancora essenziali. Infine, il pensiero critico e la creatività saranno fondamentali per il processo decisionale. Come accennato prima, gli algoritmi di machine learning non sono preparati né in grado di farli propri e neanche l'intelligenza artificiale lo è. Per continuare su questa linea, sarà necessario utilizzare queste soluzioni per aumentare i team esistenti.

3 Consigli per abbracciare il futuro della cybersecurity

Nel percorso verso la sicurezza basata sull'intelligenza artificiale, potete intraprendere alcuni passi per avvicinarvi al futuro:

1. Investite in tecnologia per restare al passo con il futuro. I costi degli exploit causati da tecnologie obsolete o dall'utilizzo di attività manuali eccessive saranno di gran lunga maggiori man mano che le minacce si faranno più elaborate. La capacità di restare all'avanguardia può contribuire a ridurre alcuni rischi. Utilizzando soluzioni lungimiranti come Kaspersky Integrated Endpoint Security, sarete più pronti ad adattarvi.
2. Integrate i vostri team con intelligenza artificiale e machine learning, senza sostituirli completamente. Le vulnerabilità continueranno a esistere, perché nessun sistema disponibile oggi sul mercato è infallibile. Poiché anche questi sistemi adattivi possono essere ingannati da metodi di attacco intelligenti, assicuratevi che il team IT impari a utilizzare e supportare questa infrastruttura.
3. Aggiornate regolarmente i criteri di gestione dei dati per soddisfare la conformità alle normative. La privacy dei dati è diventata un punto focale per gli organi di governo di tutto il mondo. In quanto tale, resterà tra i principali motivi di preoccupazione per la maggior parte delle aziende e delle organizzazioni nel prossimo futuro. Assicuratevi di applicare i criteri più recenti.

Articoli correlati:

• Falsi video e Deepfake: cosa possono fare gli utenti per proteggersi?
• Cos'è un honeypot? Come può attirare cyberattacchi?
• Cos'è una violazione della sicurezza?
• Cos'è la cloud security?
• La tecnologia 5G è pericolosa? - Pro e contro delle reti 5G