Il ruolo dell’Intelligenza Artificiale nella Cybersecurity

L’intelligenza artificiale gioca un ruolo sempre più importante nella cybersecurity per rilevare e combattere gli attacchi informatici

15 Febbraio 2023 17:25
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Il ruolo dell’Intelligenza Artificiale nella Cybersecurity
Fonte: 123RF

L’intelligenza artificiale sta giocando un ruolo sempre più importante nel settore della cybersecurity. Aiuta a combattere efficacemente gli attacchi, soprattutto se utilizzata nei processi di monitoraggio e nelle procedure di analisi dettagliate.

Lo scambio di grandi quantità di dati caratterizza tutti i settori di una azienda e le relazioni con l’esterno e richiede che si predisponga il necessario perché tutto ciò avvenga in sicurezza, preservando l’integrità del sistema.

Intelligenza artificiale nella sicurezza informatica

Introdurre l’AI anche in questo contesto vuol dire rilevare molto meglio la presenza di attacchi informatici.

L’AI entra in gioco per scovare anomalie all’interno di tutti i dati raccolti ed esaminati. Si rivela un ottimo alleato quando si installano software scaricati da Internet, che entrano in funzione eseguendo operazioni sospette.

L’intelligenza artificiale, nell’ambito della sicurezza informatica, quindi, non si occupa solamente di individuare, analizzare, classificare e monitorare le minacce, di indagare sulle attività all’interno della rete, nonché prioritizzare i rischi sulla base della pericolosità, ma opera anche attraverso la prevenzione, evitando le intrusioni non autorizzate e proteggendo i dati sensibili contenuti nei dispositivi.

Data Security, l’AI libera tutte le sue potenzialità

L’Intelligenza Artificiale gioca, quindi, un ruolo fondamentale sia a fini di Threat Intelligence, che di Anomaly Detection e Incident Response e libera tutte le sue potenzialità in ambito di Data Security.

I dati sono il più prezioso asset di ogni azienda o istituzione e quindi valide strategie di Cyber Defense devono includere non solo la protezione da attacchi, ma, soprattutto, prevedere una tutela di tutto il patrimonio di riferimento, grazie ad una conoscenza capillare dei dati, ai quali i vari utenti hanno accesso e procedere ad azioni ripetute nel tempo tese ad eliminare dati superflui o obsoleti.

Le caratteristiche di auto-apprendimento e auto-aggiornamento degli strumenti AI sono certamente il migliore supporto che una azienda desidera avere per non disperdere risorse umane e tecnologiche.

L’Intelligenza Artificiale utilizza le capacità e le competenze del Machine Learning per incrementare la propria knowledge base e migliorarsi costantemente.

L’AI, infatti, ai fini della Data Security, consente di:

  • automatizzare i protocolli di Identity e Access Management (IAM), procedendo a monitorare sia le reti che i punti di accesso, approntando una response management dei privilegi degli utenti. Una corretta strategia di IAM riduce la possibilità di subire un data breach;
  • garantire la visibilità e il controllo in tempo reale dei sistemi;
  • effettuare una compliance sempre più efficace rispetto alle evoluzioni normative.

Il modello Zero-Trust

Questa visione trova la sua evoluzione nel modello Zero-Trust, anche noto come Sicurezza Senza Perimetri, che presuppone l’assenza di un perimetro di rete affidabile e in base al quale ogni transazione di rete deve essere autenticata prima che possa concretizzarsi.

Si basa sul principio “non fidarsi mai, verificare sempre”. Una rete zero-trust definisce una “superficie protetta” che include dati, risorse, applicazioni e servizi critici. La superficie protetta è di solito notevolmente più piccola dell’intera superficie di attacco, poiché sono incluse solo le risorse critiche.

Il modello considera la fiducia una vulnerabilità. Ogni utente, appartenente ad una rete, deve essere continuamente autenticato, autorizzato e convalidato e interviene, anche in questo caso, l’AI riducendo la quantità di lavoro manuale.

Mentre lato utente l’AI è in grado di monitorare e analizzare le attività dell’utente, bloccando comportamenti anomali, rilevando intrusioni, effettuando sistemi di password checking e autenticando l’utente.

Come agisce l’intelligenza artificiale

L’AI agisce memorizzando i comportamenti degli utenti sul web, il modo con cui digitano le password, le informazioni scambiate, il modo con cui vengono cliccati i tasti del mouse, la velocità di movimento, la durata dei click, così da attuare le misure necessarie per garantire la sicurezza, verificando se chi sta navigando è una persona oppure un robot.

L’AI può concentrarsi sul tracciamento delle minacce alla sicurezza. Un algoritmo di AI può tracciare e registrare anche le più piccole anomalie presenti e rilevare gli incidenti prima che accadano, contenendo i danni con successo.

Avvisi, correzioni rapide, quarantena dei sistemi violati, con l’AI, possono essere automatizzati, mentre malware e virus possono essere bloccati dall’AI. La difesa è uno dei principali obiettivi delle nuove proposte degli esperti.

L’AI porta grandi vantaggi nei reparti che si occupano di sicurezza informatica nelle aziende, incidendo sul carico di lavoro dei Team, riducendolo.

Anche gli hacker si avvalgono dell’Intelligenza Artificiale

Gli hacker stanno usando sempre più l’intelligenza artificiale come metodo di attacco, per velocizzare le loro azioni e coordinarsi su migliaia di obiettivi contemporaneamente. I sistemi di AI imparano dagli errori e dai successi passati e migliorano le loro tattiche ad ogni attacco, consentendo azioni sempre più efficienti.

Gli hacker usano le potenzialità dell’AI, che scansiona automaticamente e contemporaneamente più interfacce all’interno del sistema IT della vittima, per la ricerca di vulnerabilità, comprendendo se un attacco è in grado di paralizzare integralmente il sistema o se può semplicemente fungere da tramite per innestare un malware o del codice dannoso in rete.

Gli hacker, inoltre, stanno offrendo sistemi basati sull’AI sul dark web come AI-as-a-Service. Si tratta di soluzioni informatiche “pronte per l’uso” fornite da hacker a disposizione di qualunque utente sia disposto a comprarli.

Gli hacker usano l’AI in relazione al malware inviato via e-mail. Il malware, infatti, può usare l’AI per imitare ancora meglio il comportamento dell’utente e grazie ad assistenti intelligenti virtuali è possibile creare testi di una qualità semantica così alta che i destinatari trovano molto difficile distinguerli dalle vere e-mail. Con l’aiuto dell’AI, le informazioni disponibili online possono essere estratte in modo più specifico per adattare siti web, link o e-mail all’obiettivo dell’attacco.

Siamo di fronte ad un altro rischio specifico, legato all’ingegneria sociale basata sull’AI. Si tratta di una tecnica che supporta la valutazione “intelligente” di grandi quantità di dati e grazie all’AI offre la possibilità di monitorare il comportamento sociale delle persone. L’AI studia, infatti, lo stile di scrittura nelle e-mail, il comportamento degli utenti nella comunicazione via chat, il tono, aumentando il tasso di riuscita degli attacchi.

Il primo cyber attack

Nel 2017 è stato individuato il primo cyber attack rinforzato dall’azione dell’AI. La vittima è stata un’azienda indiana. L’attacco prevedeva un sistema rudimentale di Machine Learning, che aveva lo scopo di apprendere il comportamento degli utenti all’interno della rete attaccata  Un malware, dopo un periodo silente di osservazione, ha iniziato ad imitare il comportamento degli utenti diventando di fatto invisibile ai sistemi di security, evitando anomalie e devianze rispetto al tracciato comportamentale della rete vittima dell’attacco.

L’intelligenza artificiale come scudo

L’AI, quindi, giocherà un ruolo importante nella sicurezza informatica per il rilevamento delle minacce e la difesa dagli attacchi informatici.

Gli algoritmi di apprendimento dovrebbero riconoscere i modelli comportamentali degli aggressori e dei loro programmi così da intraprendere azioni mirate contro di loro, risultando particolarmente affidabili nel riconoscere e confrontare i modelli, filtrando ed elaborando grandi quantità di dati. Ed individuando i canali nascosti attraverso i quali i dati vengono dirottati, in modo sempre più veloce.

Vediamo come l’AI può essere di supporto. In particolare:

  • Identificando le e-mail di spam: i metodi tradizionali di filtraggio per identificare e classificare le e-mail di spam utilizzando modelli statistici, black-list o soluzioni di database hanno raggiunto i loro limiti. Le soluzioni offerte dall’AI possono aiutare a identificare e imparare modelli e strutture complesse delle e-mail di spam.
  • Autenticando gli utenti autorizzati: l’autenticazione passiva e continua è un campo di importante applicazione dei sistemi di AI. I dati dei sensori sono raccolti e valutati mentre il dispositivo è in uso. In questo modo, l’AI impedisce l’uso non autorizzato del dispositivo stesso.
  • Rilevando i malware: se appare una nuova generazione di malware, l’AI la confronta con le forme precedenti nel suo database e decide se il malware deve essere automaticamente evitato. L’AI si svilupperà al punto di riconoscere i malware prima che codifichino i dati.
  • Spiando gli aggressori: l’AI potrebbe imparare quali programmi aprono un codice malevolo, quali file ispezionare o cancellare, quali file caricare o scaricare. In questo modo tutte le attività sospette potranno essere visionate.
  • Decifrando l’identità degli aggressori: Gli algoritmi dell’AI potrebbero presto scoprire anche l’identità degli hacker. Questo è reso possibile dal fatto che gli hacker lasciano comunque tracce nelle loro attività. Gli algoritmi di apprendimento potrebbero estrarre queste.

E’ importante porre l’attenzione su altri aspetti, come:

  • L’errore umano, aspetto particolarmente significativo nella cybersecurity. La corretta configurazione del sistema può essere incredibilmente difficile da gestire. Strumenti reattivi possono aiutare i team a individuare e mitigare i problemi che insorgono. Con un’automazione intelligente e adattiva, è possibile ricevere consigli tempestivi su problemi appena scoperti o sulle opzioni con cui procedere o anche disporre di sistemi per modificare automaticamente le impostazioni in base alle esigenze.
  • L’efficienza umana. Mentre l’attenzione umana può essere rallentata da sfide impreviste, un sistema basato su intelligenza artificiale può operare con ritardi minimi.
  • Il numero eccessivo di avvisi sulle minacce. I team, molto spesso, devono decidere di gestire prima di tutto problematiche più importanti, tralasciando gli obiettivi secondari. L’utilizzo dell’intelligenza artificiale per la cybersecurity può consentire ai team IT di affrontare un numero maggiore di queste minacce in modo pratico ed efficace. Inoltre, alcune problematiche possono essere affrontate dall’algoritmo stesso.
  • Il tempo di risposta alle minacce. Gli attacchi dannosi sono noti per il fatto di operare molto rapidamente. Gli autori delle minacce erano soliti setacciare le autorizzazioni di rete per poi disattivare la sicurezza lateralmente, a volte per diverse settimane, prima di sferrare un attacco. La risposta umana può restare indietro rispetto all’attacco iniziale, anche con tipi di attacco noti. L’AI può estrarre dati da un attacco per raggrupparli e prepararli immediatamente per l’analisi; può fornire report semplificati per agevolare l’elaborazione e il processo decisionale e offrire anche azioni consigliate per limitare ulteriormente i danni e prevenire gli attacchi futuri.
  • L’adattabilità può influire sulle capacità di sicurezza di un’organizzazione. Con i giusti set di dati, gli algoritmi adeguatamente sottoposti a training possono essere trasformati in una soluzione su misura per ogni azienda, così come l’AI può evitare agli esseri umani attività noiose come l’identificazione e l’adattamento dei modelli di dati.

Ogni nuova tecnologia rappresenta una nuova opportunità per gli hacker

L’Intelligenza Artificiale rappresenta un’opportunità in termini di efficienza ed efficacia, anche per la Security Governance. Ma è errato pensare che l’AI possa risolvere il problema degli attacchi informatici.

Ogni nuova tecnologia rappresenta una nuova opportunità per i Criminal Hacker.

Con l’introduzione di sistemi di AI in azienda aumentano i punti di accesso e si rende più complessa la gestione del CyberSecurity Framework, giacché la sua infrastruttura prevede DB, SW, HW, API e connessioni tramite queste e con terze parti, incidendo sul rischio tecnologico.

In ogni caso, la sicurezza informatica non dovrebbe essere lasciata esclusivamente all’intelligenza artificiale.  Nonostante le enormi potenzialità descritte, servono cautela e consapevolezza.

Solo una collaborazione continuativa tra uomini e macchine può avere successo nella lotta contro gli attacchi informatici.