L’applicazione dei sistemi AI nel settore cybersecurity è in forte ascesa. Acumen Research and Consulting prevede che il mercato AI della sicurezza informatica raggiungerà un valore di 133,8 miliardi di dollari nel 2030, trainato dalla continua crescita dei cyberattacchi che obbliga le aziende a trovare nuove più efficaci misure di difesa e prevenzione.
Panorama delle minacce in evoluzione
I rischi informatici sono in forte aumento a livello internazionale e a essere interessati sono tanto le organizzazioni quanto i singoli utenti. Mediamente, un’azienda riceve circa 10mila alert ogni giorno dai diversi strumenti software che utilizza per monitorare tentativi di intrusione, malware e minacce informatiche. Sono miliardi i computer diffusi nel mondo e solo negli Stati Uniti il 30 per cento sono infettati da virus.
Nei primi 6 mesi del 2022 gli attacchi malware su scala globale sono stati 2,8 miliardi mentre Kaspersky ha rilevato in media 380mila file infetti quotidianamente nel 2021. I cyberattacchi si moltiplicano e s’intensificano e anche i costi a danno delle vittime crescono. Cybersecurity Ventures prevede che nel 2025 il crimine informatico causerà perdite per 10,5 trilioni di dollari a livello mondiale con un incremento annuo del 15 per cento. Ibm ha, del resto, calcolato che sono necessari in media 287 giorni per individuare e contenere una violazione di dati che ha un costo medio di 3,61 milioni di dollari (con un attacco ransomware il costo medio sale a 4,62 milioni di dollari).
Nel contempo, cambia il panorama delle minacce globali. Da un lato, gli utenti Internet devono fronteggiare sempre più rischi dovuti al proliferare di botnet che mirano a infettare i dispositivi e ad attacchi di social engineering (es. email di phishing) per indurre le vittime a cedere denaro e dati.
Dall’altro lato, le aziende e organizzazioni devono proteggersi dall’intensificazione di attacchi tradizionali, come i DdoS, e dall’ascesa della nuova minaccia dei ransomware (anche organizzati nella forma ransomware-as-a-service, ovvero la gig economy del cybercrime). In base all’analisi dei ricercatori di CUJO AI, il profilo delle minacce informatiche si modifica e aumenta di scala in rapporto non solo all’uso massivo dei dispositivi mobili (smartphone, tablet e smartwatch) che sono esposti a causa della navigazione non sicura dell’utenza (accesso a siti di distribuzione di malware, spam e spyware) ma anche grazie alla diffusione degli IoT, in particolare delle videocamere IP e dei server NAS (network attached storage) che vengono presi di mira più frequentemente da attori malevoli.
D’altra parte, i cybercriminali hanno cominciato a sfruttare strumenti di automation, apprendimento automatico e AI per lanciare attacchi sempre più efficaci e sofisticati.
I sistemi AI possono essere impiegati per creare nuovi malware, rintracciare vulnerabilità zero-day, perfezionare gli attacchi per obiettivi più mirati e difendere le infrastrutture botnet del crimine informatico. Il trojan Emotet, ad esempio, è, secondo i ricercatori di Eset, supportato dalla tecnologia ML per evitare honeypot e tracker di attacchi botnet.
AI come arma della cybersecurity
Ma l’AI rappresenta anche un mezzo per contrastare l’attività dei cybercriminali. Secondo Gabriele Faggioli, presidente del Clusit (Associazione italiana per la sicurezza informatica), la tecnologia AI, oltre a essere un “fattore di rischio”, giacché utilizzabile dall’attaccante, può costituire un’arma a disposizione dell’arsenale della cybersicurezza. Chi si difende dal cybercrime ha la possibilità di sfruttare la grande capacità analitica dei sistemi AI che permette di individuare al meglio i rischi, le attività e gli attori di cyberattacchi. Anche se bisogna rifuggire da un approccio meramente tecnologico alla cybersecurity, l’AI usata in modo appropriato “è in grado di far fare un salto di qualità alla capacità difensiva”.
Grazie alla tecnologia AI, la sicurezza informatica può essere rafforzata aiutando ad automatizzare diverse attività demandate agli analisti. Tra quelle che possono essere ricomprese in questo processo c’è il rilevamento di workstation, server, repository di codice sconosciuti e software e hardware sospetti presenti su un network. Sono compiti data-intensive e l’AI ha il potenziale di scandagliare terabyte di dati in maniera più efficiente e rapida. Inoltre, i sistemi AI sono in grado di fornire sostegno in chiave preventiva per rintracciare schemi e obiettivi di attacco, decifrando le comunicazioni di criminali informatici nel dark web. Più nello specifico, il monitoraggio AI può consentire di scoprire linguaggio in codice usato dai cybercriminali per nascondere tool, procedure e tecniche di attacco.
I primi successi dell’impiego dei sistemi AI nell’ambito della cybersecurity sono già emersi. Società come FireEye, Google e Microsoft hanno sviluppato approcci innovativi basati su applicazioni AI per rilevare malware, ostacolare le campagne di phishing e monitorare il diffondersi della disinformazione.
L’azienda di Redmond, ad esempio, integra Microsoft Defender per endpoint con una gamma di tecniche di machine learning (anche altri antivirus se ne avvalgono) per rilevare e fermare il prima possibile il progredire degli attacchi ransomware.
Oltre al contrasto ai ransomware, l’uso dell’AI può essere particolarmente incisiva nell’identificazione di frodi nelle transazioni finanziarie, nell’impedire l’account takeover grazie a piattaforme basate su AI e ML in grado di calcolare il rischio per ogni interazione, nel campo della verifica dell’identità con algoritmi ML basati su reti neurali convoluzionali, e in quello dell’analisi comportamentale dei sistemi informatici onde rilevare più velocemente potenziali violazioni e minacce.
AI e cybersecurity, una ricerca Ibm
Più la moderna attività aziendale diventa digitale più si genera nuovo valore. Tuttavia, contemporaneamente, si creano anche le condizioni di nuove vulnerabilità.
In questo quadro, la maggioranza dei dirigenti aziendali ha adottato o considera necessario l’impiego di soluzioni AI per la sicurezza informatica – come emerge dallo studio “AI and automation for cybersecurity”, prodotto dai ricercatori dell’Ibm Institute for Business Value. Soltanto una minoranza esigua dei mille manager IT intervistati, il 7 per cento, rifiuta l’idea di un utilizzo di sistemi AI in questo ambito. Poiché è aumentato il ricorso a lavoro da remoto e al cloud è cresciuto anche il numero di applicazioni e di endpoint da monitorare. Proprio a questo livello i dirigenti di azienda applicano con il massimo vantaggio l’uso dei sistemi AI; che contribuisce a potenziare la sicurezza nel monitoraggio di attività malevoli e vulnerabilità di dispositivi endpoint e sulle reti. Ma, secondo la ricerca Ibm, l’AI migliora significativamente anche i tempi di risposta agli incidenti di sicurezza, il tempo di indagine e il Return on security investment (ROSI).
Conclusioni
Davanti a uno scenario di maggiori rischi e più sofisticate minacce dell’impresa globale del cybercrime, per le aziende s’impone il ricorso ai sistemi AI. L’AI diventa una risorsa sempre più cruciale e un’arma a proprio favore per migliorare la sicurezza, riducendo danni e difendere la propria posizione nella competizione.
