Cosa c’entra l’Intelligenza Artificiale con la Cyber Security?
Con la digitalizzazione, l’esplosione dei dispositivi connessi e l’Internet of Things, gli esperti di cyber security hanno il loro bel daffare. Più dispositivi connessi significa più traffico, più vettori di attacco, più tentativi di violazione della sicurezza, e molti più dati che devono essere analizzati. Il futuro renderà ancora più complessa questa situazione. Gli esperti di cyber security avranno bisogno di tutto l’aiuto possibile per prevenire gli incidenti di sicurezza e rispondere alle minacce.
L’intelligenza artificiale e il machine learning vengono applicati sempre più ampiamente in diversi settori e applicazioni, e anche in ambito cyber security. Quando parliamo di Intelligenza Artificiale (AI), ci riferiamo a un ampio concetto di macchine che sono in grado di imitare funzioni cognitive e compiere azioni come classificazione, rilevazione di anomalie, o raggruppamento di campioni per risolvere un problema in modo efficace in modo molto simile a come farebbe un essere umano. Il machine learning, dall’altra parte, potrebbe essere considerato un’applicazione o materializzazione dell’AI che è basata sull’idea che possiamo dare accesso ai dati alle macchine e usare algoritmi che permettano alle macchine di auto-apprendere la risoluzione di problemi dai dati.
Già da decenni un gran numero di algoritmi di machine learning sono stati presentati nella letteratura scientifica e sono stati utilizzati anche in applicazioni attorno a noi. Nonostante la maggior parte delle soluzioni di AI rimangano circoscritte al loro scopo, poiché si focalizzano su un problema specifico (il “cosa”) invece di cercare di imitare l’ampiezza della funzionalità cognitiva umana (il “come”), c’è un’innegabile evidenza dell’efficacia di simili soluzioni. Dalla recente vittoria di AlphaGo, alle auto che si guidano da sole e ai motori di suggerimento dei film, le applicazioni di AI sono già più efficienti degli esseri umani in molti scenari quando viene stabilito un compito specifico e vengono forniti abbastanza dati.
L’AI non rappresenta nulla di nuovo nella cyber security. Infatti, stiamo usando tecniche di machine learning dal 2005 per compiti come l’analisi e la categorizzazione dei sample, la reputazione e la categorizzazione degli URL, e la logica di rilevazione lato client. L’AI ci aiuta nell’identificare e analizzare velocemente nuovi exploit e debolezze per supportarci nel mitigare ulteriori attacchi ed è una parte integrale delle nostre soluzioni.
Oltre a migliorare le misure di prevenzione, le tecniche di AI sono fondamentali per la rilevazione di violazioni e permettono di reagire anche verso minacce non ancora conosciute. In molti casi, gli essere umani sono stati troppo lenti nel fermare attacchi informatici per tempo. I sistemi di AI che sono progettati per imparare e adattarsi, e che sono in grado di riconoscere anche il più piccolo cambiamento in un ambiente, hanno la capacità di agire molto più velocemente – e si basano su molti più dati che non gli umani quando si tratta di rilevare anche nuovi tipi di attacchi informatici.
Gli algoritmi di machine learning possono essere usati per creare profili di comportamento normale, e questi profili possono essere anche più globali, o in alternativa basati sull’utente o l’host. Sulla base di ciò, è possibile differenziare un comportamento normale o anormale praticamente in tempo reale. Nel caso del servizio Rapid Detection Service, per esempio, F-Secure raccoglie costantemente dati con i sensori sugli endpoint, e li modella per trovare discrepanze basate sull’utente o l’host per identificare comportamenti sospetti sulle reti. Tutti i segnali di allarme sono poi inviati agli esperti di sicurezza che investigano gli incidenti 24/7 allertando i clienti se quegli allarmi sono validi. Con l’AI, è possobile eliminare il rumore di fondo e dare priorità al tempo dei nostri esperti per fare investigazioni e dare risposte a minacce reali.
Ma usare i profili da soli non è la soluzione ottimale, specialmente se lasciamo che le macchine imparino totalmente senza supervisione, perché questo potrebbe comportare che degli attaccanti possano sfruttare il fatto che gli algoritmi imparano da modelli di comportamento. Quindi, dobbiamo ambire a modellare un più alto livello di funzione cognitiva, combinando il sapere degli esperti, come i modelli di attacchi conosciuti, con i profili di auto-apprendimento e assicurare che il nostro sistema sia resiliente anche ad attacchi contro la sua natura adattiva.
Combinare uomo e macchina
Investire sull’intelligenza artificiale non significa tagliare fuori del tutto gli esseri umani. La capacità di analisi e la conoscenza degli umani è fondamentale per determinare la profondità di una minaccia identificata e per stabilire come reagire a uno specifico scenario, e per essere in grado di fornire un’immagine a più alto livello e lavorare insieme all’AI per trovare la soluzione ottimale. E non dovremmo dimenticare l’altro aspetto del valore dell’automazione, oltre a lavorare come una parte dell’attuale sistema di rilevazione. L’AI ha la capacità di togliere parte della pressione agli esperti “umani” su certi fronti. L’AI può anche essere usata per alimentare strumenti basati su dati per rendere il lavoro dei nostri esperti molto più efficiente. Invece di avere persone di grande talento che sprecano tempo su compiti a scarso valore aggiunto, la macchina può compiere questo sporco lavoro e permettere di lavorare su ciò che è più importante e impegnativo.
L’elemento umano è essenziale allo sviluppo di soluzioni di AI valide nella cyber security. L’AI ha bisogno di interazione umana e “formazione” per continuare a imparare e migliorare, correggendo i falsi positivi, e rilevando le innovazioni dei cyber criminali, così come adattando gli algoritmi di apprendimento al nostro dominio del problema. L’uomo e la macchina devono lavorare insieme. Mentre noi impieghiamo l’intelligenza artificiale già in molti sistemi di produzione, stiamo lavorando contro controparti skillate che stanno facendo del loro meglio per non essere rilevate. Ciò significa che il nostro approccio ha bisogno di evolvere nel tempo, e che dobbiamo continuare a far evolvere i nostri sistemi basati su AI per migliorare sempre più nel prevenire e rilevare minacce in tempo.
F-Secure chiama questo approccio Live Security.
C’è un grande potenziale nel mercato per la creazione di tecnologia che assicuri che le soluzioni siano contestuali e più proattive che reattive. La sicurezza tradizionale, basata su regole, non è più sufficiente: le aziende devono proteggere le loro reti anche contro le minacce sconosciute e non solo contro quelle conosciute. Crediamo che il miglior approccio per le aziende per prosperare sia quello di riunire il meglio di entrambi i mondi. Combinare l’esperienza umana a un sistema di machine learning fornisce risultati migliori che non usare o solo la macchina o solo il fattore umano.
Articolo tratto da “What’s the deal with Artificial Intelligence in Cyber Security?” di Emma Varis, Senior Marketing Manager, F-Secure Corporation
Categorie