ita
eng

vertigosuisse.ch

Machine Learning e Intelligenza Artificiale:
focus sulla cyber security!

Nella sicurezza informatica è iniziata una nuova era.

Negli ambienti digitali complessi di oggi, le macchine combattono contro le macchine e attaccanti esperti e organizzazioni criminali inventano metodi nuovi e sofisticati per perpetrare le loro missioni. La rete aziendale è diventata un campo di battaglia.

Il pericolo oggi non consiste solo nei classici scenari di furto dei dati o di compromissione di un sito web, ma nella minaccia silente che si nasconde sotto la superficie, “kill switch” pronti per essere attivati, minacce quasi impossibili da scoprire.

Contro questa nuova realtà, i sistemi di sicurezza legacy stanno fallendo perché l’approccio tradizionale alla sicurezza informatica si basa sulla capacità di definire in anticipo la minaccia.

Dagli attacchi nuovi e in rapida diffusione agli insider più abili, dai dispositivi IoT hackerati alle supply chain compromesse, il panorama delle minacce si evolve in modo imprevedibile e un nuovo approccio alla cyber-difesa è assolutamente necessario.

IA/AI e ML

L’Intelligenza Artificiale può identificare e neutralizzare minacce informatiche mai viste prima. 

Il Machine Learning ha il potere di trasformare la cyber defense, vincendo la sfida di farla funzionare su vasta scala in una varietà di ambienti dati dinamici, rilevando minacce autentiche in tempo reale senza intervento umano, compito non certo banale.

Introducendo per la prima volta l’intelligenza artificiale per la cyber defense e applicandola con successo in diversi contesti digitali, Darktrace si è dimostrato leader mondiale nel rilevare e rispondere autonomamente alle minacce informatiche che i sistemi legacy non colgono. Alimentata dal machine learning e dagli algoritmi di intelligenza artificiale, la tecnologia del “sistema immunitario” di Darktrace viene utilizzata da migliaia di organizzazioni in tutto il mondo.

Differenti tipologie di Machine Learning

Secondo il paradigma tradizionale, i firewall, i metodi di sicurezza degli endpoint e altri strumenti come SIEM e sandbox vengono implementati per applicare policy specifiche e fornire protezione contro le minacce riconosciute.

Nonostante questi strumenti abbiano comunque un ruolo di difesa, non sono sufficienti.

I sistemi legacy sono stati superati dalla moderna complessità del business e dall’innovazione adottata da chi attacca a causa di alcuni limiti fondamentali:

  • Hanno bisogno di conoscere tutti gli attacchi precedenti.
  • Hanno bisogno di comprendere perfettamente il business e le regole specifiche che lo riguardano.
  • Hanno bisogno di utilizzare un modo perfetto per condividere informazioni di alta qualità sui nuovi attacchi.
  • Devono indovinare quale aspetto avranno tutti gli attacchi futuri e quali saranno le debolezze del software.
  • Devono essere in grado di trasformare tutte le insight di cui sopra in regole o firme che funzionino.

Soprattutto, gli strumenti legacy richiedono delle vittime prima di poter fornire delle soluzioni.

Il Machine Learning “Supervised” funziona utilizzando dati classificati in precedenza, dai quali la macchina apprende il sistema di classificazione.

La proliferazione di dati nel mondo moderno significa che non solo è improduttivo, ma è impossibile per gli esseri umani, setacciare la grande quantità di informazioni generate ogni minuto all’interno di una tipica rete aziendale.

Il machine learning, se applicato correttamente, può supportare le macchine nel prendere decisioni logiche basate sulla probabilità, aumentando le capacità dei team umani e scoprendo intuizioni precedentemente inimmaginabili.

Oggi il machine learning “supervised” viene utilizzato in molti campi commerciali e industriali ai fini della classificazione. Per esempio:

  • Le aziende che processano i pagamenti possono creare modelli in grado di identificare pagamenti fraudolenti, in tempo reale.
  • I servizi video online utilizzano algoritmi per comprendere le preferenze di visione dei propri clienti al fine di fornire consigli personalizzati agli abbonati.
  • Le agenzie pubblicitarie sono in grado di utilizzare le analisi della cronologia di navigazione del browser per determinare il posizionamento degli annunci.
  • I computer delle automobili possono fornire agli ingegneri una migliore comprensione di come i clienti effettivamente utilizzano il veicolo, aiutando la previsione di un guasto parziale.
  • Nel settore sanitario, i processi di raccolta dei dati significano che il benessere può essere monitorato da vicino e che i problemi possono essere individuati prima; quindi, il rischio di sviluppare situazioni gravi può essere ridotto.

Tuttavia, l’overfitting è un problema comune nel machine learning “supervised”, in cui i parametri del modello sono troppo sintonizzati sui dati di training. Invece di imparare l’essenza di una categoria, la macchina impara un esempio particolare: ad esempio, può imparare a riconoscere un pastore tedesco, ma non riesce a capire i “cani” come categoria, e le caratteristiche che rendono quel pastore tedesco parte del gruppo.

I sistemi che fanno affidamento esclusivamente sul machine learning “supervised” presentano punti deboli fondamentali:

  • I comportamenti dannosi che si discostano sufficientemente da quelli visti in precedenza non saranno classificati come tali, quindi passeranno inosservati.
  • È necessaria una grande quantità di input umano per etichettare i dati di training.
  • Qualsiasi dato errato o pregiudizio umano introdotto può seriamente compromettere la capacità del sistema di classificare correttamente le nuove attività.

Sebbene il machine learning “supervised” possa essere potente, esiste chi ha nel proprio DNA la visione di costruire la prima piattaforma self-learning di cyber defense: i nuovi metodi di machine learning possono migliorare notevolmente l’accuratezza del rilevamento delle minacce e migliorare la visibilità della rete grazie alla maggiore quantità di analisi computazionale che possono gestire.

I dati relativi agli attacchi storici non proteggono necessariamente da quelli futuri: è mandatorio poter utilizzare anche tecniche di deep learning per integrare il motore di intelligenza artificiale con competenze specialistiche di esperti cyber-analisti, rafforzando ulteriormente la potenza del Machine Learning “Unsupervised”.

A differenza degli approcci “supervised”, il Machine Learning “Unsupervised” non richiede dati di addestramento etichettati e non necessita di input umani. L ’apprendimento “unsupervised” può quindi portare l’elaborazione del computer oltre ciò che i programmatori già sanno o possono immaginare e scoprire relazioni precedentemente sconosciute: invece di fare affidamento sulla conoscenza delle minacce passate, classifica in modo indipendente i dati e rileva schemi validi. Da ciò, forma una comprensione dei comportamenti “normali” attraverso la rete, relativi a dispositivi, utenti o gruppi di entrambi e rileva le deviazioni da questo “modello di comportamento” in evoluzione che potrebbero indicare una minaccia in via di sviluppo.

In estrema sintesi quindi: il Machine Learning può rilevare cose che umanamente non possiamo prevedere o definire. In modo figurato, è come trovare il classico ago in un enorme pagliaio.

Se questo pagliaio fosse la sicurezza dei vostri dati, del vostro business, della vostra privacy e l’ago una sigaretta accesa…in quanto tempo e con quali metodi vorreste trovarla!?