ANALISI

Come AI e ML stanno trasformando la cybersicurezza OT



Indirizzo copiato

La sicurezza Operation Technology assistita dall’intelligenza artificiale richiede maggiori capacità poiché la posta in gioco in caso di attacco è spesso più elevata. Ecco come utilizzare il ML per apprendere il comportamento delle variabili di processo raccolte dal traffico di rete ed evidenziare le anomalie rispetto alle serie temporali di base

Pubblicato il 9 dic 2024

Moreno Carullo

Co-founder – Chief Technical Officer – Nozomi Networks



cybersicurezza OT

Gli assistenti digitali come Siri e Alexa e strumenti di AI generativa come ChatGPT, Gemini e Copilot, hanno reso l’AI accessibile a tutti, compresi i cybercriminali.

Nel settore della cybersecurity è in corso una gara per superare in astuzia i malintenzionati che stanno già utilizzando nuove forme di AI al fine di trovare rapidamente le vulnerabilità e lanciare attacchi più efficaci. La sfida – e l’opportunità – per i Chief Information Security Officer (CISO) e gli analisti dei Security Operations Center (SOC) è capire come utilizzare AI e machine learning (ML) per automatizzare e migliorare i processi di difesa informatica.

Per quanto riguarda la protezione delle reti di tecnologia operativa (OT) e Internet of Things (IoT), la sfida è ancora più grande e la posta in gioco ancora maggiore.

L’evoluzione dell’intelligenza artificiale nella cybersecurity

L’AI è un campo della scienza e della tecnologia che si concentra sulla capacità delle macchine di svolgere compiti tipicamente associati all’intelligenza umana, come l’apprendimento, la risoluzione di problemi e il processo decisionale. Negli ultimi due decenni, l’AI ha ricevuto un ulteriore impulso grazie al cloud computing. Queste innovazioni hanno consentito rapidi progressi nell’analisi e nella capacità di risolvere problemi legati ai big data.

Secondo la Defense Advanced Research Projects Agency (DARPA), a partire dagli anni ’50 ci sono state tre ondate storiche di AI:

  • Conoscenza artigianale (anni ’50-’80): sistemi basati su criteri in grado di implementare semplici regole logiche per problemi ben definiti, ma incapaci di apprendere o di gestire l’incertezza. Esempi: Sistemi di posizionamento globale in grado di pianificare percorsi ottimali, computer che giocano a scacchi.
  • Apprendimento statistico (anni ’80 – 2010): ML e reti neurali, o modelli di deep learning che possono apprendere e adattarsi a situazioni diverse se adeguatamente addestrati su grandi insiemi di dati. Esempi: Programmi di riconoscimento facciale e vocale, droni aerei.
  • Adattamento contestuale (anni 2010 – oggi): AI generativa in grado di comprendere contesti complessi e reali senza addestramento su serie di dati, utilizzando modelli linguistici di grandi dimensioni (LLM) per creare contenuti ricchi di sfumature, comprese le immagini. Esempi: ChatGPT, DALL-E.

La prima ondata è stata confinata soprattutto in ambito accademico. La seconda ha cambiato le carte in tavola ed è ancora ampiamente utilizzata in tutti i settori. Nello specifico, il ML impiega quattro gruppi di algoritmi per l’addestramento di grandi insiemi di dati al fine di apprendere modelli e fare previsioni:

  1. Algoritmi di regressione che aiutano a prevedere eventi futuri a partire da dati passati.
  2. Algoritmi di classificazione che aiutano a suddividere i dati in categorie note
  3. Algoritmi di clustering che scoprono nuovi schemi nei dati senza conoscere le categorie

Il machine learning utilizza questi quattro gruppi per addestrare grandi insiemi di dati per apprendere modelli e fare previsioni.

Per quanto le capacità della seconda ondata siano impressionanti nel dare un senso a oceani di dati, l’attenzione si è spostata sulla terza ondata e su come sfruttarne la potenza.

Impatto dell’AI sulla sicurezza informatica

In ambito informatico, l’AI viene sfruttata sia dagli aggressori che dai difensori per fare ciò che hanno sempre fatto, nel miglior modo possibile. Ecco tre modi in cui viene impiegata:

Attacchi informatici assistiti dall’AI

I malintenzionati hanno rapidamente sfruttato AI e ML per rendere i loro attacchi più veloci e precisi e meno rilevabili. Li usano per trovare e sfruttare le vulnerabilità più facilmente, oltre che per generare malware, creare e-mail di phishing e deepfake.

Minacce che colpiscono sistemi AI

Mentre le organizzazioni adottano sempre più l’intelligenza artificiale per potenziare processi già automatizzati, la vulnerabilità degli stessi sistemi AI è una preoccupazione emergente. Tattiche subdole come il data poisoning, l’iniezione di prompt di modelli linguistici di grandi dimensioni (LLM) o l’evasione dei modelli ML rappresentano una sfida formidabile, poiché gli attori delle minacce imparano ad abusare della tecnologia progettata per migliorare l’efficienza e l’innovazione.

Per utilizzare un esempio OT/IoT, considerate cosa accadrebbe se un sistema di manutenzione predittiva guidato dall’AI fosse manipolato in un cyberattacco di data poisoning (assistito o meno dall’AI). Gli aggressori potrebbero modificare le letture dei sensori o introdurre nei dati registri di manutenzione ingannevoli. Alimentando il sistema con informazioni false, i malintenzionati potrebbero indurre il modello di intelligenza artificiale a fare previsioni imprecise sulle esigenze di salute e manutenzione, con conseguenti guasti, aumento dei tempi di inattività e potenziali rischi per la sicurezza.

Una grande risorsa per capire come gli aggressori sfruttano le vulnerabilità dei sistemi di intelligenza artificiale è MITRE ATLAS (Adversarial Threat Landscape for AI Systems). Questo framework complementare al MITRE ATT&CK si concentra su tattiche e tecniche del mondo reale che gli attori delle minacce utilizzano per colpire i sistemi di intelligenza artificiale. Nel novembre 2023, è stato aggiornato per affrontare le vulnerabilità dei sistemi che incorporano AI generativa e LLM.

La vulnerabilità dei sistemi AI solleva un’altra problematica già vista. L’OT è stato a lungo etichettato come “insecure by design”, un difetto difficile da trattare che si è dimostrato complicato da superare. Si può dire lo stesso dell’AI? Stiamo mettendo in sicurezza i sistemi di intelligenza artificiale o ci stiamo preparando a un incubo di retrofitting?

cybersecurity OT

Cybersecurity OT assistita dall’AI

Per quanto riguarda i difensori, la necessità di analizzare e correlare grandi quantità di dati provenienti da decine di fonti rappresenta un caso d’uso privilegiato per AI e ML. In effetti, ormai, la maggior parte dei fornitori di cybersicurezza ha incorporato l’AI nei propri prodotti in diverse misure. Oggi si può presumere che ML e analisi comportamentale siano all’opera in tutto lo stack di cybersecurity per migliorare la velocità e l’accuratezza di ogni processo, tra cui:

  • Analisi e correlazione dei big data
  • Rilevamento delle minacce (anomalie, attacchi, malware)
  • Identificazione e prioritizzazione delle vulnerabilità
  • Valutazione e prioritizzazione del rischio
  • Automazione della risposta agli incidenti

Quando si valutano i fornitori di cybersicurezza e le loro capacità di intelligenza artificiale, è importante capire esattamente cosa si sta ottenendo. La questione non è se incorporano AI e/o ML, ma come lo fanno. Tra le domande da porsi ci sono:

  • Quali algoritmi sono in uso e dove? (È possibile che considerino tali informazioni proprietarie, ma dovrebbero almeno essere disposti a condividere se e come impiegano algoritmi di regressione, classificazione, clustering e se utilizzano sistemi di AI generativa).
  • ‍In che modo l’AI aiuterà il team nelle attività quotidiane di sicurezza? (monitoraggio, correlazione, rilevamento, analisi)?
  • ‍Dove si collocano le capacità emergenti dell’AI nella roadmap?

AI per la cybersecurity OT

La cybersicurezza OT (Operation Technology) assistita dall’intelligenza artificiale richiede maggiori capacità poiché, come sappiamo, c’è molto da proteggere e la posta in gioco in caso di attacco è spesso più elevata. Ci sono sistemi di controllo e processi fisici, con variabili di processo configurabili, tutti potenzialmente sfruttabili. Le organizzazioni che gestiscono infrastrutture critiche e altri ambienti industriali devono ricorrere all’intelligenza artificiale per affrontare ogni fase del ciclo di vita della cybersecurity – identificazione, protezione, rilevamento, risposta e ripristino – ma con funzionalità aggiuntive per proteggere le reti OT/IoT. I principali casi d’uso includono:

  • Utilizzo del ML per apprendere il comportamento delle variabili di processo raccolte dal traffico di rete ed evidenziare le anomalie rispetto alle serie temporali di base.‍
  • Previsione e intervento su una larghezza di banda anomala rispetto all’attività di rete di base di ciascun sensore.

Conclusioni

AI e ML offrono chiari vantaggi ai team di cybersecurity, aiutandoli a fare incredibilmente di più con meno risorse. È un aspetto molto positivo, considerando la carenza di talenti informatici, soprattutto in settori specializzati come OT e IoT. Ma anche gli avversari stanno raccogliendo i benefici. Con la continua evoluzione della scienza e della tecnologia dell’intelligenza artificiale, anche i metodi di attacco informatico si evolveranno.

È difficile dire chi stia vincendo la battaglia, ma le organizzazioni devono conoscere le capacità dei loro avversari e cercare di superarle se vogliono prevalere in un mondo alimentato dall’intelligenza artificiale.

Articoli correlati

Articolo 1 di 4