A mano a mano che tipologia, numero e creatività degli attacchi cyber aumentano, è evidente che mantenere lo status quo in termini di strategie di difesa rappresenta una proposta perdente. La domanda infatti si sta spostando da ‘come tenere il passo’ a ‘come anticipare’ i criminali. E per farlo, molte imprese si affidano a intelligenza artificiale e machine learning. Recenti ricerche indicano che gli investimenti in AI/ML per la cybersecurity aumenteranno di oltre il 30% su base annuale composta entro il 2025, epoca in cui gli investimenti globali raggiungeranno i 35 miliardi di dollari.
E perché no? AI/ML agiscono da moltiplicatori in un periodo in cui i dati proliferano a causa dell’aumento inarrestabile dei dati non strutturati, guidato in particolare dalle decine di miliardi di endpoint connessi integrati nel fenomeno Internet of Things. Per alcune applicazioni quali identity e access management, intrusion detection/prevention, analisi delle anomalie di comportamento in rete e advanced persistent threat, gli algoritmi AI/ML possono essere estremamente efficaci nell’identificare, prevenire e risolvere i problemi.
Ma, attenzione, AI/ML non devono essere interpretate come la panacea per la gestione dei rischi cyber.
Il principale driver del machine learning è la proliferazione dei dati e la necessità pulirli e classificarli. Ma la maggior parte di questi algoritmi è inutile se non può accedere a diverse classificazioni di data set. Un’altra limitazione è legata al fatto che il machine learning ha a che fare con le probabilità, non è deterministico, elemento cruciale quando si tratta di cybersecurity. Nella maggior parte dei casi infatti, gli algoritmi ML, da soli, non hanno la certezza che si tratta di malware o di quale tipo, ma solo che la probabilità di qualcosa è elevata.
Nonostante ciò, il machine learning porta notevoli vantaggi al processo di cybersecurity in aree quali il phishing. Anche le organizzazioni che dispongono di valide difese anti-phishing registrano un 3-6% di dipendenti che clicca su link malevoli e l’ML ha dimostrato di essere in grado di ridurre il modo significativo queste percentuali, a volte portandole molto vicino allo zero.
Un’altra area in cui l’ML è molto utile sono gli attacchi realizzati evitando i controlli signature-based sugli endpoint: l’uso degli algoritmi può potenziare tali controlli con l’autenticazione forte e una più affidabile user identification.
In fondo, AI e machine learning sono solo degli strumenti, potenti e ad alto potenziale, ma strumenti.
Non fatevi quindi incantare da tutto ciò che si racconta su AI e ML. Non sostituiranno un gruppo di validi security analyst, un SOC pieno di risorse, o un CISO visionario. Ma rappresenteranno un ottimo complemento agli attuali asset di cybersecurity.
*Naveen Zutshi è Chief Information Officer in Palo Alto Networks
