Quella tra intelligenza artificiale e cyber security è una forma di simbiosi ormai affermata e destinata ad aumentare nel prossimo futuro. I software antivirus e le società di sicurezza informatica sfruttano a fondo tecnologie di machine learning e intelligenza artificiale per vari scopi: dall’analisi dei malware alla gestione dei sistemi in grado di rilevarli. Gli ambiti di applicazione dell’AI nel settore della cyber security, però, sono molto più ampi e il loro sviluppo si sta orientando ad alcuni settori ben precisi, in cui le nuove tecnologie possono rappresentare un vero salto evolutivo.
Il nodo della Cyber Threat Intelligence
Le tecniche di cyber security si stanno evolvendo rapidamente e le stesse strategie per contrastare gli attacchi dei pirati informatici sono cambiate radicalmente negli ultimi anni, soprattutto per quanto riguarda la protezione di asset aziendali. A imporre l’adozione di nuovi strumenti è la progressiva professionalizzazione dei cyber criminali, i quali adottano tecniche sempre più complesse e possono contare su quella che ormai è una vera “filiera del cyber crimine”. Il mondo della pirateria informatica è oggi strutturato sulla base di affiliazioni, partnership e collaborazioni che consentono di ottenere con estrema facilità gli strumenti di hacking e le informazioni necessarie per pianificare e portare a termine gli attacchi. Uno degli strumenti per contrastare l’attività degli hacker e prevenirne gli attacchi è rappresentato dalla Cyber Threat Intelligence, cioè da un’attività continua di monitoraggio e analisi di tutto ciò che succede in quel “mondo sommerso” rappresentato dai forum su Internet, dai market sul Dark Web specializzati in compravendita di malware e strumenti di attacco, così come di tutte le informazioni riguardanti le nuove vulnerabilità e i relativi exploit che potrebbero essere sfruttati contro le aziende.
Il ruolo dell’intelligenza artificiale nell’intelligence
Se la raccolta delle informazioni relative alle attività criminali richiede spesso il coinvolgimento in prima persona dei ricercatori, che in molti casi arrivano a infiltrare i bassifondi del web proprio come farebbe un agente di polizia sotto copertura, buona parte del monitoraggio a livello di Cyber Threat Intelligence viene svolto attraverso strumenti automatici e, in questo settore, l’intelligenza artificiale riveste un ruolo di primo piano. Le tecnologie di AI consentono, infatti, di analizzare i contenuti dei forum, individuare quelli più rilevanti, ordinarli, analizzarli e isolare le eventuali informazioni che possono rappresentare un indizio di un imminente attacco. La casistica comprende gli strumenti di attacco che sfruttano vulnerabilità di software e dispositivi utilizzati dall’azienda, ma anche “attività collaterali” come la ricerca di informazioni specifiche relative all’impresa (come le credenziali degli account di posta elettronica) e qualsiasi altro elemento che possa essere utile per prevenire un attacco. Grazie all’uso dell’AI, le società di sicurezza sono in grado di sfruttare tutte queste informazioni per fornire ai loro partner e ai clienti un vero e proprio servizio di controspionaggio, che permette di anticipare i nuovi trend e mettere in atto tutte quelle attività che consentono di mitigare il rischio di subire un attacco.
Detection and response: il nuovo paradigma della security
Il ruolo della Cyber Threat Intelligence, nel quadro della sicurezza informatica, opera prevalentemente in chiave preventiva. Come ripetono gli esperti di sicurezza, però, la prevenzione può ridurre il livello di rischio, ma in nessun caso è possibile eliminarlo. In altre parole, quando si parla di cyber security è indispensabile partire dal presupposto che, prima o poi, anche i sistemi con le migliori protezioni subiranno un attacco. In quest’ottica, la filosofia della detection and response mira a consentire una tempestiva individuazione dell’attacco in corso e la predisposizione immediata delle operazioni di remediation che consentono di bloccare o, per lo meno, limitare il danno provocato dall’attacco stesso. In questo ambito, le tecnologie di intelligenza artificiale sono presenti da tempo a livello di monitoraggio.
Le piattaforme di monitoraggio più avanzate utilizzano infatti l’AI per analizzare tutte le attività di rete e individuare automaticamente quelle più rilevanti, che vengono organizzate sotto forma di alert e sottoposte al team di security. La nuova frontiera, però, prevede un uso più intensivo dell’intelligenza artificiale anche in chiave di remediation.
Verso una vera Automatic Remediation?
Sul fronte della reazione agli attacchi, l’impiego degli strumenti di AI è già presente, ma ancora a un livello embrionale e con una copertura piuttosto limitata. Le soluzioni più diffuse sono, infatti, rivolte a una forma di orchestrazione delle operazioni che richiede, in ogni caso, l’intervento umano. In altre parole, l’intelligenza artificiale in questa fase può essere di aiuto per accelerare le operazioni di remediation e consentire migliore tempi di reazione da parte del Security Operation Center nell’applicazione delle impostazioni e nell’esecuzione delle operazioni che permettono di bloccare gli attacchi ed eliminarne gli effetti, applicando per esempio segmentazioni di rete che consentono di isolare un dispositivo infetto.
Si tratta indubbiamente di strumenti che hanno un notevole impatto sull’efficacia dei sistemi di protezione. Nell’intero processo, però, il fattore umano è ancora un elemento fondamentale e la sua sostituzione con sistemi AI in grado di sostituire completamente l’intervento di un operatore in carne e ossa è ipotizzabile solo in un futuro piuttosto lontano. A rallentare questo processo, oltre alla valutazione dei rischi legati a una completa automazione dei sistemi di cyber security, c’è anche un ulteriore aspetto. La possibilità di affidare all’intelligenza artificiale compiti di questo genere presuppone, infatti, l’esistenza di un sistema di orchestration che “attraversi” tutto l’ecosistema IT. Un processo, quello dell’automazione a livello di networking, che sta muovendo i primi passi in questi anni e che richiederà ancora qualche tempo prima di diventare “normalità”.