L’intelligenza artificiale e l’apprendimento automatico (ML) stanno diventando le tecnologie preferite dagli aggressori, dalla progettazione di payload dannosi che sfidano il rilevamento alla scrittura di e-mail di phishing personalizzate. Di conseguenza, Amazon web Services, CrowdStrike, Google, IBM, Microsoft, Palo Alto Networks e altri importanti fornitori di sicurezza informatica stanno dando priorità agli investimenti in ricerca e sviluppo (R&S) di AI e ML in risposta a minacce e richieste sempre più complesse da parte dei clienti aziendali per nuove funzionalità.
Gli aggressori sfruttano l’AI per evitare il rilevamento
I criminali informatici e i sofisticati gruppi APT (Advanced Persistent Threat) reclutano attivamente specialisti di intelligenza artificiale e ML che progettano malware in grado di eludere i sistemi di rilevamento delle minacce di attuale generazione.
Quasi tre quarti (71%) di tutti i rilevamenti indicizzati da CrowdStrike Threat Graph erano intrusioni prive di malware. Il Falcon OverWatch Threat Hunting Report di CrowdStrike illustra come gli aggressori avanzati utilizzino credenziali valide per facilitare l’accesso e la persistenza negli ambienti delle vittime.
Un altro fattore che contribuisce è la velocità con cui vengono divulgate nuove vulnerabilità e la velocità con cui gli avversari possono rendere operativi gli exploit utilizzando AI e ML.
Gli aggressori utilizzano ChatGPT per perfezionare malware, personalizzare le e-mail di phishing e mettere a punto algoritmi progettati per rubare credenziali di accesso privilegiato.
Come osserva Shishir Singh, CTO della sicurezza informatica di BlackBerry: “È stato ben documentato che persone con intenzioni dannose stanno tastando il terreno, ma nel corso di quest’anno, ci aspettiamo di vedere gli hacker ottenere una gestione molto migliore su come utilizzare ChatGPT per scopi criminosi. Sia come strumento per scrivere malware mutabili migliori, sia come abilitatore per rafforzare il loro set di competenze. Sia i professionisti informatici che gli hacker continueranno a esaminare come possono utilizzarlo al meglio. Il tempo dirà chi è più efficace”.
In effetti, un recente sondaggio di BlackBerry ha rilevato che il 51% dei responsabili delle decisioni IT ritiene che ci sarà un attacco informatico di successo accreditato a ChatGPT entro l’anno.
I vendor cercano di tenere il passo con gli aggressori
Amazon Web Services, CrowdStrike, Google, IBM, Microsoft, Palo Alto Networks e altri importanti fornitori di sicurezza informatica stanno dando priorità agli investimenti in ricerca e sviluppo (R&S) di AI e ML in risposta a minacce e richieste sempre più complesse da parte dei clienti aziendali per nuove funzionalità.
Charlie Bell, EVP di Microsoft per la sicurezza, la conformità, l’identità e la gestione, dichiara sul ruolo dell’AI nella sicurezza informatica: “Fondamentalmente si tratta di avere il meccanismo per andare continuamente veloce, specialmente nel ML. Tutto il training del modello, le cose sui dati e tutto il resto è una priorità assoluta. Microsoft ha un’enorme quantità di tecnologia nello spazio AI”.
I numerosi nuovi annunci di CrowdStrike al Fal.Con dello scorso anno, insieme a Ignite ’22 di Palo Alto Networks, illustrano quanto siano efficaci i loro team DevOps e di ingegneria nel tradurre gli investimenti in ricerca e sviluppo in nuovi prodotti.
Le centinaia di servizi di sicurezza informatica di Amazon Web Services e gli sviluppi zero trust di Microsoft Azure riflettono come la spesa in ricerca e sviluppo per AI e ML sia una priorità assoluta in due dei maggiori fornitori di piattaforme cloud. Microsoft ha investito 1 miliardo di dollari in ricerca e sviluppo sulla sicurezza informatica lo scorso anno e si è impegnata a spendere 20 miliardi di dollari nei prossimi cinque anni in ricerca e sviluppo sulla sicurezza informatica (a partire dal 2021). Il business della sicurezza di Microsoft genera 15 miliardi di dollari all’anno.
Spesa in ricerca e sviluppo di CrowdStrike dal 2017 al 2022
Fonte: spese di ricerca e sviluppo (R&S) di CrowdStrike dall’anno fiscale 2017 all’anno fiscale 2022, Statista
Prevedere come l’AI migliorerà la sicurezza informatica
L’analisi comportamentale basata sull’intelligenza artificiale si sta dimostrando efficace nell’identificare, arrestare attività dannose
Al centro dei framework zero trust che le organizzazioni stanno standardizzando oggi è la visibilità e il monitoraggio in tempo reale di tutte le attività in una rete.
L’analisi comportamentale basata sull’intelligenza artificiale fornisce dati in tempo reale su attività potenzialmente dannose identificando e agendo sulle anomalie. Si sta dimostrando efficace nel consentire ai CISO e ai loro team di impostare le linee di base per il comportamento normale analizzando e comprendendo il comportamento passato e quindi identificando le anomalie nei dati.
I principali fornitori di sicurezza informatica si affidano agli algoritmi di intelligenza artificiale e ML per personalizzare i ruoli o i profili di sicurezza per ciascun utente in tempo reale in base al loro comportamento e ai loro modelli. Analizzando diverse variabili, tra cui dove e quando gli utenti tentano di accedere, tipo di dispositivo e configurazione, tra gli altri, questi sistemi possono rilevare anomalie e identificare potenziali minacce in tempo reale.
Con queste tecniche, le aziende possono analizzare le piattaforme di protezione degli endpoint (EPP), il rilevamento e la risposta degli endpoint (EDR), la gestione unificata degli endpoint (UEM) e il rilevamento delle frodi delle transazioni per migliorare l’accuratezza dell’autenticazione.
I modelli di machine learning basati sul comportamento incorporati in Microsoft Defender, Advanced Threat Protection, possono arrestare le catene di attacchi per il furto di credenziali. Il grafico mostra come più livelli di protezione basati sul comportamento hanno interrotto l’attacco. (Fonte: In hot pursuit of elusive threats: AI-driven behavior-based blocking stops attacks in their tracks, Microsoft Security Blog).
Il rilevamento degli endpoint e la gestione delle risorse sono il caso d’uso più popolare
Lo studio dell’Institute for Business Value di IBM sull’intelligenza artificiale e l’automazione nella sicurezza informatica rileva che le aziende che utilizzano l’intelligenza artificiale come parte della loro strategia più ampia si stanno concentrando sull’acquisizione di una visione più olistica dei loro paesaggi digitali. Il trentacinque percento sta applicando l’intelligenza artificiale e l’automazione per scoprire gli endpoint e migliorare il modo in cui gestiscono le risorse, un caso d’uso che prevedono aumenterà del 50% in tre anni.
La gestione delle vulnerabilità e delle patch è il secondo caso d’uso più popolare (34%), si prevede che aumenterà fino a oltre il 40% di adozione in 3 anni.
Questi risultati indicano che sempre più utenti di AI stanno guardando alla tecnologia per aiutarli a raggiungere le loro iniziative zero trust. La forza con cui gli utenti dell’AI si concentrano sulla protezione degli endpoint e delle identità riflette quanto sia alta la priorità zero trust per gli utenti dell’AI.
Fonte: report AI and automation for cybersecurity, IBM Institute for Business Value | Benchmark Insights, 2022.
Gartner: l’utilizzo dell’AI per rilevare le minacce nella sicurezza informatica
Gartner ha classificato i casi d’uso dell’AI confrontandone il valore aziendale e la fattibilità. Il rilevamento delle frodi nelle transazioni è il caso d’uso più fattibile e offre un elevato valore aziendale. Il rilevamento di malware basato su file è considerato quasi fattibile e offre anche un forte valore aziendale.
L’analisi comportamentale dei processi offre anche un valore aziendale sostanziale, con un livello medio di fattibilità da implementare. Infine, il rilevamento del comportamento anomalo del sistema offre un elevato valore aziendale e fattibilità; Gartner ritiene che questa soluzione possa essere implementata con successo nelle aziende. (Fonte: Gartner, Infografica: AI Use-Case Prism for Sourcing and Procurement, aggiornato il 14 ottobre 2022, pubblicato il 30 marzo 2021. )
Gli indicatori di attacco (IOA) basati sull’intelligenza artificiale sono un catalizzatore fondamentale che guida la rapida crescita prevista del mercato della sicurezza informatica basato sull’intelligenza artificiale
Si prevede che la dimensione del mercato per l’AI nella sicurezza informatica sarà di 22,4 miliardi di dollari nel 2023 e si prevede che raggiungerà 60,6 miliardi di dollari entro il 2028, riflettendo un tasso di crescita annuale composto (CAGR) del 21,9%. Aumentare l’intelligenza contestuale degli IOA con l’IA è uno dei principali catalizzatori che guidano la rapida crescita dell’IA nel più ampio mercato della sicurezza informatica.
Per definizione, gli IOA si concentrano sul rilevamento delle intenzioni di un utente malintenzionato e sul tentativo di identificare i suoi obiettivi, indipendentemente dal malware o dall’exploit utilizzato in un attacco.
Al contrario, un indicatore di compromissione (IOC) fornisce le indagini forensi necessarie come prova di una violazione che si verifica su una rete. Gli IOA devono essere automatizzati per fornire dati accurati e in tempo reale sui tentativi di attacco per comprendere le intenzioni degli aggressori e uccidere qualsiasi tentativo di intrusione.
IDC: l’AI nel mercato della sicurezza informatica sta crescendo a un CAGR del 23,6%
Un altro sondaggio IDC ha rilevato che la sicurezza informatica è una delle principali aree di investimento in tutte le regioni; tuttavia, la domanda varia. Il 46 percento degli intervistati nordamericani ha identificato la sicurezza informatica come una priorità, guidata da elevati livelli di investimento in applicazioni e infrastrutture cloud. Al contrario, solo il 28% e il 32% degli intervistati EMEA e Asia/Pacifico, rispettivamente, hanno identificato la sicurezza informatica come una delle principali aree di investimento.
Secondo IDC, l’AI nel mercato della sicurezza informatica sta crescendo a un CAGR del 23,6% e raggiungerà un valore di mercato di 46,3 miliardi di dollari nel 2027.