Negli ultimi anni abbiamo assistito alla nascita di numerosi trend tecnologici che hanno impattato in maniera più o meno rilevante sui business aziendali, con forti implicazioni anche dal punto di vista della gestione della sicurezza e della protezione dei dati. È innegabile che nell’affrontare le sfide della trasformazione digitale la gestione della sicurezza informatica deve diventare un punto centrale, per non rischiare di essere travolti da un’ondata di nuovi potenziali rischi. È altrettanto vero, però, che l’innovazione tecnologica, se ben sfruttata, può offrire essa stessa strumenti nuovi per contrastare e identificare le minacce.
A tal proposito è interessante approfondire due tra i trend più dibattuti negli ultimi anni: l’artificial intelligence e la blockchain. Quali sono le applicazioni pratiche di questi due fenomeni nell’ambito della sicurezza? Come le tecnologie possono rappresentare una nuova frontiera delle difese o, al contrario, ampliare le potenziali minacce a cui ogni organizzazione è esposta?
Intelligenza artificiale al servizio della prevenzione
Partiamo dall’artificial intelligence: i sistemi di AI sono in grado di emulare specifiche capacità tipiche dell’essere umano (per esempio elaborazione di immagini e di linguaggio naturale, apprendimento, ragionamento, interazione sociale) e di perseguire in autonomia una finalità definita prendendo delle decisioni. Ne consegue che i campi di applicazione siano potenzialmente infiniti. Tra questi, una delle aree di più stretta attualità è sicuramente quello della cybersecurity, all’interno del quale l’AI può giocare il doppio ruolo dello strumento di attacco e di protezione.
Per citare alcune delle possibili applicazioni, la tecnologia viene sempre più spesso impiegata per prevedere e identificare minacce o attacchi in ottica predittiva, per monitorare deviazioni di comportamento potenzialmente malevole, per il rilevamento di attacchi di phishing o di eventuali frodi.
Un ulteriore ambito promettente è quello del supporto al personale di security: l’AI può essere d’aiuto per prendere decisioni rilevanti nell’ambito della gestione della sicurezza, per prioritizzare le minacce da affrontare o per automatizzare la capacità di reazione, in una logica adattativa rispetto alle mosse dell’attaccante. Attraverso le tecniche e gli algoritmi di machine learning, inoltre, viene automatizzato il processo di raccolta, analisi correlazione di dati strutturati e non strutturati (per esempio all’interno di un SOC), che possono essere utilizzati per individuare le vulnerabilità e fare previsioni sul futuro.
Come detto, però, se da un lato l’AI fornisce a chi si deve proteggere nuovi meccanismi e sistemi di prevenzione e gestione delle minacce di sicurezza, dall’altro lato la tecnologia può essere sfruttata anche dai malintenzionati per perpetrare attacchi cyber sempre più precisi ed efficaci. Un classico esempio è rappresentato dal phishing: l’AI permette il riconoscimento dei target in base al loro comportamento online e la creazione automatica di email e URL credibili e efficaci, basate sull’analisi delle campagne truffaldine che hanno registrato maggiori percentuali di successo. Inoltre, strumenti come i chatbot potrebbero essere sfruttati a scopo di spear phishing per carpire alla vittima informazioni personali, dandole l’illusione di comunicare con qualcuno che conosce.
Metodologie di intelligenza artificiale potrebbero essere alla base della creazione di nuovi malware, in grado di sviluppare comportamenti adattativi, o ancora costituire uno strumento di manipolazione della realtà in uno scenario cyberfisico (es. il mondo della guida autonoma) con potenziali danni estremamente elevati.
La percezione delle aziende rispetto alla sicurezza dell’AI
L’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha effettuato nel corso degli ultimi mesi del 2019 una rilevazione che ha coinvolto 180 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici.
Secondo i dati della ricerca, emerge nel campione un sostanziale plebiscito sulle capacità delle tecniche di AI di garantire un livello di sicurezza migliore sia rispetto ai sistemi tradizionali sia riguardo all’uomo (affermazioni con le quali si trovano d’accordo rispettivamente l’ 86% e l’ 85% dei rispondenti); tuttavia si ritiene che l’AI non possa sostituire completamente il giudizio umano nel contesto della security (89%), anche se viene vista come uno strumento che consente al personale che si occupa della materia di essere più efficiente (82%). A conferma della rilevanza e della complessità nella gestione di tool di AI in ambito security, il 77% segnala la necessità di ricorrere a esperti e figure dedicate per il presidio del tema.
L’interesse e la visione positiva delle aziende si stanno già traducendo in progetti concreti: il 45% delle organizzazioni dichiara di fare uso, in modo marginale (31%) o significativo (14%), di algoritmi di artificial Iintelligence e machine learning per la gestione della sicurezza informatica. Le finalità per cui si ricorre a queste soluzioni sono molteplici e riconducibili ai casi d’uso visti precedentemente. In misura maggiore, l’uso dell’AI è orientato alla fase di detection, tramite monitoraggio dei comportamenti di persone e sistemi al fine di rilevare anomalie sintomatiche di azioni potenzialmente malevole (71%). Si ricorre agli algoritmi anche per rilevare eventuali tentativi di phishing (41%) o per scovare possibili frodi (25%). Un ulteriore filone di utilizzo riguarda l’analisi massiva di dati in real-time, orientata all’identificazione di nuove potenziali minacce e vulnerabilità zero-day (63%) e alla ricerca di correlazioni tra eventi (56%). Meno diffusa, ma non per questo di minor interesse, l’adozione di tecniche di AI al fine di supportare l’analisi da parte degli specialisti di security nella gestione degli incidenti (24%). Infine, si segnala l’utilizzo dell’artificial intelligence per rilevare le vulnerabilità in fase di sviluppo software (16%), secondo una logica di security-by-design.
La sicurezza nella blockchain
La blockchain, per la quale si inizia a intravedere una presa di coscienza a livello globale, permette la creazione di un registro digitale per la gestione di transazioni condiviso tra più nodi di una rete, validato dalla rete stessa e strutturato a blocchi. La blockchain garantisce l’assoluta immutabilità e incorruttibilità delle informazioni, accessibili in qualsiasi momento da tutti i partecipanti alla rete, a loro volta tracciabili.
Le possibili applicazioni nel mondo security derivano quindi dalle caratteristiche intrinseche della tecnologia stessa, che può essere utilizzata ogniqualvolta si abbia la necessità di garantire l’integrità delle informazioni, ovvero per assicurare che non sia avvenuta alcuna modifica non consentita durante il ciclo di vita del dato.
Vi sono poi soluzioni per la gestione dei diritti di accesso alle risorse e per la verifica distribuita: i sistemi basati su blockchain possono per esempio agire da strato intermedio tra l’utente e le risorse memorizzate nel cloud, ponendosi come livello ulteriore di autentificazione. Possibili benefici si possono avere anche dall’adozione di soluzioni blockchain a supporto dell’identificazione per dispositivi fisici connessi, prevenendo l’inserimento in reti protette di device non autorizzati anche grazie alla possibilità per i dispositivi circostanti di rilevare mutamenti significativi nelle configurazioni di oggetti teoricamente già noti. Un ulteriore caso d’uso interessante, in particolare per l’ambito dell’Internet of Things (IoT), è quello della verifica dell’integrità di software/firmware in contesti di aggiornamento distribuiti.
Anche la blockchain non è però del tutto immune a problemi di sicurezza: i soggetti malintenzionati hanno già cominciato a concentrare le loro attività criminose su investimenti falsi in criptovaluta, sottrazione di moneta dai portafogli elettronici e truffe di vario genere in questo ambito. La blockchain rappresenta un elemento fondamentale del ransomware, che richiede tipicamente il pagamento di un riscatto in bitcoin.
Inoltre, il modello stesso si presta a essere abusato: possibili errori nell’implementazione, per esempio negli smart contract, possono aprire la strada a vulnerabilità e conseguenti attacchi rivolti ai servizi a essi collegati.
Conclusioni
Ciò che emerge dalla ricerca dell’Osservatorio Cybersecurity & Data Protection relativamente a questo ambito è una generale conoscenza ancora molto scarsa da parte delle organizzazioni italiane, alla quale si affianca l’idea che si tratti di una tecnologia ancora troppo poco matura per poter essere considerata esente da possibili imperfezioni. Se si pone l’attenzione poi sull’effettivo utilizzo di tecnologie blockchain in ambito security, lo scenario è desolante: infatti solo l’1% delle organizzazioni ha implementato un progetto e solo il 16% lo sta valutando in ottica futura.
Se quindi per l’artificial intelligence si evidenzia un crescente impiego, in particolare nelle fasi di detection di possibili attacchi e nell’analisi massiva di dati per identificare nuove minacce, l’utilizzo della blockchain in questo ambito appare almeno a livello nazionale ancora agli albori, sebbene, come visto, non manchino i possibili ambiti applicativi.
