Come machine learning e intelligenza artificiale potenziano il grado di protezione nella security

Le nuove tecniche di elaborazione permettono di utilizzare strumenti di rilevamento degli attacchi estremamente sofisticati. Ma in quali ambiti vengono utilizzati e come migliorano le prestazioni dei software di sicurezza? [...]
Marco Schiaffino

giornalista

  1. Home
  2. Intelligenza Artificiale
  3. Come machine learning e intelligenza artificiale potenziano il grado di protezione nella security

Machine learning e intelligenza artificiale rappresentano il “Santo Graal” nel rilevamento degli attacchi informatici e vengono sempre più spesso integrati nei software di protezione. Il loro impiego, infatti, consente di avere numerosi vantaggi e garantire una protezione evoluta anche nei confronti di attacchi molto sofisticati.

L’AI nello studio di nuovi malware

Uno degli utilizzi più collaudati dell’intelligenza artificiale (AI) in ambito cyber security è quello relativo allo studio dei malware e l’elaborazione delle signature (definizioni) che consentono di individuare il codice malevolo in fase di analisi dei file. Il tema è quello delle varianti dei malware, che i pirati informatici sviluppano per aggirare i sistemi di rilevamento tradizionali, basati appunto su hash del codice. Grazie agli algoritmi di intelligenza artificiale, le società di sicurezza sono in grado di ampliare il raggio di rilevamento, arrivando a individuare anche i cosiddetti malware polimorfici, quelli cioè in grado di modificare autonomamente la loro struttura e adottare strumenti di crittografia per offuscare la loro natura.

Intelligenza artificiale e cloud

Esiste uno stretto legame tra gli strumenti di intelligenza artificiale per la cyber security e la tecnologia cloud. Nel caso delle analisi per il miglioramento delle capacità di analisi del malware, il cloud svolge un ruolo fondamentale. Le infrastrutture centralizzate su cloud, infatti, abilitano il collegamento tra tutti i sensori (gli endpoint su cui sono installati i software antivirus – ndr) e permettono così la raccolta di dati. È proprio l’insieme di queste informazioni che consente agli algoritmi di definire le signature più adeguate a individuare le nuove varianti di malware. In questo senso, è possibile intendere le piattaforme cloud come un elemento abilitante per implementare strumenti di protezione avanzata. L’altro aspetto ha caratteristiche completamente diverse e riguarda l’intensiva adozione delle tecnologie cloud a livello di infrastrutture IT aziendali.

Come cambia il perimetro con l’adozione del paradigma “software as a service”

L’interpretazione tradizionale della sicurezza informatica puntava esclusivamente a difendere quello che è normalmente definito il perimetro, identificato con la rete aziendale. Nel corso degli ultimi anni, però, i network si sono evoluti e il concetto di perimetro si è allargato a dismisura. Ad accelerare questo processo hanno contribuito molti fattori, a partire dalla diffusione a macchia d’olio del lavoro in mobilità. Uno dei fattori più incisivi, però, è l’adozione dei servizi cloud, erogati attraverso la formula del software as a service (SaaS) che sposta al di fuori della rete aziendale una buona parte delle risorse IT. In questo panorama, i tradizionali controlli su endpoint, che rimangono fondamentali, non sono più sufficienti. Quello che serve è un sistema di monitoraggio continuo che consenta di individuare con tempestività eventuali attività sospette e intervenire per prevenire o bloccare gli attacchi secondo la logica del detect and response.

Il ruolo del Security information and event management

Il controllo di un’infrastruttura “volatile” richiede un sistema che sia in grado di registrare tutti gli eventi all’interno del network e analizzarli. L’attività di SIEM (Security Information and Event Management) permette di farlo in maniera efficace e continua, grazie all’adozione di tecniche di machine learning e intelligenza artificiale. L’uso dell’AI, in questo caso, permette non solo di organizzare i dati, ma anche di valutarne la rilevanza, metterli in connessione e consentire ai team di cyber security di avere un quadro costantemente aggiornato di quanto succede all’interno dell’ecosistema IT dell’azienda. Soprattutto, l’analisi basata sull’intelligenza artificiale consente anche di adottare tecniche di rilevamento delle minacce basate sull’user behaviour, creando dei profili che registrano il comportamento abituale degli utenti e segnalano immediatamente eventuali anomalie (per esempio una connessione da un luogo o a un orario insoliti) che possono essere un indizio di una violazione.

AI e machine learning contro gli attacchi mirati

Machine learning e intelligenza artificiale sono strumenti preziosi soprattutto per fronteggiare gli attacchi mirati portati dai cyber criminali più evoluti, come i gruppi di pirati collegati a governi stranieri, quelli che operano su commissione per portare operazioni di spionaggio industriale o che agiscono a scopo estorsivo. Il modus operandi di questi pirati informatici, infatti, prevede strategie che puntano a infiltrarsi all’interno della rete aziendale utilizzando, piuttosto che i “normali” malware, strumenti di intrusione e hacking come Metasploit. L’adozione di strumenti basati su AI rappresentano uno strumento prezioso per individuare anche queste attività, in particolare quelle di “movimento laterale” all’interno della rete locale che gli hacker eseguono una volta infiltratisi al suo interno. La loro adozione, spesso, può bloccare attacchi che rischierebbero di passare inosservati.

 

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti

 

FacebookTwitterLinkedIn