Machine learning, deep learning, IA (intelligenza artificiale) sono termini sempre più spesso citati nelle convention dei big del settore che hanno ormai iniziato da qualche tempo a sperimentarne le potenzialità, dalla comprensione del linguaggio umano fino al riconoscimento delle immagini ed alla realizzazione di programmi in grado di mettere alla prova le facoltà cognitive di un essere umano (AlphaGo di Google).
Tra i settori che potrebbero beneficiare dell’implementazione delle IA anche quello della cyber security dove gli esperti di sicurezza sono impegnati in una perenne lotta contro gli hacker – come ribadito altre volte non esistono protezioni infallibili.
Le abilità predittive e di analisi delle IA hanno sulla carta la possibilità di aiutare le aziende a tutelarsi online. Un primo ambito in cui potrebbero fare la differenza è ad esempio quello dell’Internet delle Cose e dei “dispositivi intelligenti”. Alcuni lettori ricorderanno probabilmente l’attacco DDoS da record lanciato contro DYN lo scorso Ottobre 2016: l’incredibile flusso di dati (si ipotizza prossimo al TB) fu generato anche grazie all’inconsapevole intervento di svariate telecamere di sorveglianza “intelligenti” (connesse alla Rete) violate dagli hacker ed adoperate per amplificare la portata dell’attacco.
Secondo Cisco nel 2020 dispositivi di questo genere saranno almeno 15 miliardi; tenendo conto che buona parte di questi ultimi continuerà probabilmente ad adottare misure di sicurezza inadeguate (a causa di limitate risorse hardware/software o di “sviste” dei produttori) è chiaro che gli hacker avranno teoricamente a disposizione una fonte illimitata o quasi di risorse dalle quali “attingere”.Ed il lancio di attacchi di tale portata sarà gestibile anche da individui non necessariamente professionisti (ovviamente questo non trasformerà qualsiasi ragazzino appassionato di computer in un potenziale hacker, serviranno sempre adeguate competenze) grazie alla diffusione di strumenti pronti all’uso – è avvenuto ad esempio con il malware Mirai (utilizzato nell’attacco a DYN e non solo) il cui codice sorgente è stato riversato online nel mese di Ottobre.
L’individuazione ed interruzione di attività anomale (in atto nel device o a livello di rete) è un compito che può essere affidato a modelli predittivi elaborati da IA e gestibili autonomamente anche da device con esigua capacità di calcolo. Alcune startup stanno lavorando proprio all’implementazione di varie tecniche IA in ambito IoT ( CyberX, CyberX) ma la strada che le separa da prodotti commerciali è ancora lunga.
Il secondo ambito è in parte ricollegabile al precendente perchè si affida alle IA per bloccare l’esecuzione di applicazioni (in ambito mobile), software o file malevoli, adoperati anche in certe fasi di un attacco informatico. I file più comunemente utilizzati per ingannare l’utente sono i classici eseguibili (.exe), file Acrobat Reader (.pdf) e documenti elettronici Office. In questo caso le superiori capacità di analisi saranno impiegate per individuare linee di codice sospette in grado di lanciare attività potenzialmente dannose per il sistema – es: cifratura dei file di sistema tipica dei ransomware. Le imprese all’avanguardia in questo campo sono Cylance, Deep Instinct, Invincea; per la sicurezza su dispositivi mobile Lookout Mobile Security e Checkpoint.
L’efficientamento dei centri operativi di sicurezza è il terzo ambito di destinazione delle IA: uno dei tanti grandi problemi degli addetti ai lavori non è solo quello di bloccare un attacco in corso ma anche quello di individuarne per tempo la messa in atto. Ciò risulta alquanto difficile se ci si trova a vagliare migliaia di potenziali allerte di sicurezza (in media un’impresa statunitense riceve oltre 10.000 segnalazioni al giorno): ecco perchè sistemi di classificazione automatica delle minacce sono ideali per supportare l’impegnativo lavoro del reparto di cyber sicurezza. Tra le startup specializzate in questo campo Jask e StatusToday.
Un quarto ambito è quello della valutazione del rischio “informatico”, procedura che interessa solitamente le grandi organizzazioni e che per essere portata a termine prevede un lungo e complesso iter (questionari, analisi delle policy di sicurezza etc.). L’approccio è ritenuto al giorno d’oggi sostanzialmente inadeguato a delineare una stima plausibile del livello di rischio ed è qui che entrano in campo le IA. L’analisi di elevate quantità di dati e l’elaborazione di modelli predittivi potrebbe essere la soluzione ideale per accelerare il farraginoso iter e giungere a valutazioni molto più accurate. Due imprese impegnate in questo settore sono BitSight e Security Scorecard.
L’analisi del traffico di rete è la quinta ed ultima task della lista che ha molti punti in comune con la valutazione delle potenziali minacce individuate quotidianamente dai sistemi di protezione. Del traffico “anomalo” può evidenziare la preparazione o la messa in atto di un attacco informatico. Il problema principale per gli addetti ai lavori è ancora una volta quello di analizzare e trovare correlazioni tra i vari dati a disposizione, una mole di informazioni difficile da gestire. Come per i precedenti casi, le capacità d’analisi delle IA possono accelerare e migliorare le operazioni di controllo.