L’intelligenza artificiale sta rapidamente conquistando il suo posto nel mercato, penetrando in nuove aree applicative in modi che non potremmo immaginare, comprese le soluzioni di sicurezza informatica basate sull’intelligenza artificiale. L’hype non mostra segni di cedimento. In effetti, sta guadagnando slancio reale anche tra i dirigenti di livello C. Il motivo è chiaro: il potenziale dell’intelligenza artificiale per migliorare l’efficienza è quasi illimitato.
Ma lo è anche il suo potenziale di disturbo. Nel campo della sicurezza informatica, la posta in gioco è più alta che mai. L’uso dell’intelligenza artificiale è evidente su entrambi i lati delle barricate: sia da parte degli attaccanti che dei difensori.
In questo articolo, esploro l’impatto dell’intelligenza artificiale nel campo della sicurezza informatica, descrivo potenziali casi d’uso e la loro probabile efficacia, discuto le sfide relative alle tecnologie di intelligenza artificiale stesse e rifletto sulle minacce che l’intelligenza artificiale rappresenta per il lavoro dei professionisti della sicurezza informatica.
Le sfide della sicurezza informatica dell’intelligenza artificiale
La sicurezza informatica è un campo interessante, non tanto per la sua efficienza ma per le sue sfide. Poiché il numero degli attacchi informatici riusciti continua ad aumentare, l’Agenzia statunitense per lo sviluppo internazionale stima che il costo globale della criminalità informatica sia pari a 8mila miliardi di dollari nel 2023che si prevede raggiungerà i 27mila miliardi di dollari entro il 2027. Allo stesso tempo, il mondo si trova ad affrontare una grave carenza di professionisti della sicurezza informatica.
Tuttavia, vi è una crescente preoccupazione che le organizzazioni legittime e i criminali informatici stiano adottando le tecnologie di intelligenza artificiale. Secondo un sondaggio di Sapio Research e Deep Instinct, Il 75% dei professionisti della sicurezza informatica ha osservato un aumento degli attacchi informatici, e l’85% ritiene che le tecnologie di intelligenza artificiale stiano probabilmente contribuendo a questa impennata.
Gli aggressori, infatti, sfruttano sempre più l’intelligenza artificiale per raccogliere ed elaborare in modo efficiente le informazioni sui loro obiettivi, preparare campagne di phishing e sviluppare nuove versioni di malware, migliorando la potenza e l’efficacia delle loro operazioni dannose. Nel frattempo, la crescita dei dati nel mondo digitale supera la capacità cognitiva umana e i talenti della sicurezza informatica non possono crescere abbastanza velocemente a causa degli elevati requisiti di competenza. Man mano che fattori esterni rimodellano il settore, le sfide esistenti si stanno intensificando a causa dell’ondata di dati e attacchi.
Il contesto umano
Presentiamo il punto debole più significativo dei sistemi di sicurezza informatica: l’errore umano. Abbiamo assistito ripetutamente a violazioni dei dati in cui i sistemi progettati per elaborare e archiviare informazioni preziose all’interno di una rete protetta sono stati lasciati non protetti ed esposti all’accesso pubblico a causa di errori di configurazione da parte del personale.
L’efficienza è un altro punto dolente della sicurezza informatica. Gli specialisti non sono in grado di gestire in modo coerente e impeccabile centinaia di avvisi giornalieri e la gestione dei processi manuali diventa sempre più difficile man mano che le reti aziendali diventano sempre più complesse e diversificate, come accade oggi.
Come in altri settori, la sicurezza informatica fa molto affidamento sull’intervento umano. I professionisti della sicurezza informatica convalidano le configurazioni dei database prima di elaborare dati preziosi, scansionano la base di codice di nuove applicazioni prima del loro rilascio, indagano sugli incidenti e identificano le cause principali, tra le altre attività. Ma è anche giunto il momento di abbracciare l’intelligenza artificiale per migliorare l’efficienza e dare un vantaggio ai difensori della sicurezza informatica.
Casi d’uso dell’intelligenza artificiale nella sicurezza informatica
Prima di entrare nei casi d’uso specifici, definiamo brevemente le tecnologie menzionate per stabilire una base per la discussione dei loro casi d’uso.
Intelligenza Artificiale (AI) è un campo dell’informatica focalizzato sulla creazione di sistemi che eseguono compiti che richiedono l’intelligenza umana, come l’elaborazione del linguaggio, l’analisi dei dati, il processo decisionale e l’apprendimento. Serve come disciplina generale, con altre aree che ricadono sotto il suo ombrello.
Apprendimento automatico (ML)un sottoinsieme dell’intelligenza artificiale, consente ai sistemi di apprendere e migliorare dai dati senza programmazione esplicita, prendendo decisioni basate su modelli e set di dati di grandi dimensioni. Attualmente è l’area più rilevante per la sicurezza informatica.
Apprendimento profondo (DL)un ramo del machine learning, utilizza reti neurali artificiali per modellare relazioni complesse e risolvere problemi con set di dati di grandi dimensioni. Poiché il DL rientra nel machine learning, questa discussione si concentrerà principalmente sull’apprendimento automatico.
- Abbassare la barriera all’ingresso
La barriera all’ingresso in questo campo è nota per le sue elevate esigenze di competenza tecnica. I primi strumenti come i firewall utilizzavano semplici regole di traffico, ma man mano che le reti diventavano più complesse, creare e convalidare queste regole diventava sempre più impegnativo.
L’intelligenza artificiale può semplificare questo processo scrivendo regole precise e fornendo allo stesso tempo agli specialisti un’interfaccia, come un sistema di chat per l’elaborazione del linguaggio naturale. Un professionista della sicurezza informatica potrebbe descrivere quale traffico consentire o bloccare e le condizioni alle quali dovrebbero applicarsi regole specifiche, e l’intelligenza artificiale genererebbe policy leggibili dalle macchine, garantendo sintassi e semantica adeguate. Ciò semplifica lo sviluppo delle regole, rendendo il campo più accessibile e riducendo lo sforzo richiesto per la gestione della sicurezza.
- Inventario delle risorse e mappatura del percorso di attacco
Man mano che le reti aziendali diventano sempre più complesse e si evolvono in ambienti ibridi e multi-cloud con punti di presenza globali, gestirle e proteggerle è diventato molto impegnativo. Le reti moderne possono anche adattarsi automaticamente alla domanda, aumentando la difficoltà di inventariare le risorse, identificare le minacce e modellare potenziali percorsi di attacco.
L’intelligenza artificiale può aiutare in queste attività scansionando continuamente le reti, catalogando le risorse e aggiungendo approfondimenti contestuali. Con la sua capacità di apprendere dai dati, l’intelligenza artificiale supera già gli esseri umani nelle previsioni e può analizzare le architetture di rete per identificare potenziali catene di attacco. Ciò aiuta i team di sicurezza informatica a dare priorità agli sforzi, spostando l’attenzione dalle misure reattive alla difesa proattiva. Con l’intelligenza artificiale diventa più chiaro quali vulnerabilità gli aggressori potrebbero sfruttare e come rafforzarle in modo efficace.
- Gestione delle vulnerabilità
La complessità della gestione delle vulnerabilità cresce insieme alla crescente dimensione e complessità delle reti aziendali, al numero di vulnerabilità identificate, agli exploit disponibili e ai parametri di valutazione della vulnerabilità. Lanciare un programma di gestione delle vulnerabilità in una rete di grandi dimensioni può sembrare come cercare un ago in un pagliaio per gli specialisti della sicurezza informatica. Gli scanner di vulnerabilità tradizionali producono spesso report di massa con migliaia di vulnerabilità di varia gravità, accompagnati da raccomandazioni di risoluzione che potrebbero non essere pertinenti senza il contesto aziendale e applicativo.
L’intelligenza artificiale può svolgere diversi ruoli chiave in questo processo per supportare i professionisti:
- Correlazione dei dati sulle vulnerabilità con le informazioni sugli exploit e sugli attacchi correlati.
- Arricchire i dati sulle vulnerabilità del sistema con il contesto aziendale.
- Dare priorità alle vulnerabilità per la riparazione e automatizzare la distribuzione delle patch.
Le vulnerabilità zero-day rappresentano un’ulteriore sfida, ma l’intelligenza artificiale può aiutare analizzando grandi volumi di informazioni per identificare e monitorare le vulnerabilità zero-day attraverso diverse tecnologie.
4. Rilevamento e analisi del malware
Il malware è la spina dorsale dei moderni attacchi informatici, il cui volume aumenta insieme ai gruppi di criminali informatici, al numero di attacchi e ai budget degli aggressori. I criminali informatici utilizzano tecniche avanzate per potenziare il malware ed eludere il rilevamento. Alcuni addirittura sfruttano l’intelligenza artificiale per sviluppare nuovi campioni di malware in modo più rapido ed efficiente.
L’intelligenza artificiale può aiutare identificando il malware attraverso l’analisi comportamentale e fornendo assistenza nel reverse engineering, in cui gli specialisti analizzano il malware per migliorare le difese. Nel reverse engineering, l’intelligenza artificiale può fungere da consulente, spiegando i segmenti di codice e le possibili intenzioni dietro le scelte degli sviluppatori di malware, semplificando il processo di analisi per i professionisti della sicurezza informatica.
5. Monitoraggio di minacce e attacchi
Gli attacchi informatici stanno diventando sempre più frequenti, complessi e veloci. Ciò che una volta richiedeva mesi, ora richiede pochi secondi. Gli aggressori moderni si muovono lateralmente, rubano dati e cancellano tracce, consentendo loro di prendere di mira più vittime e massimizzare il loro impatto. Questo comportamento inonda di avvisi i team di sicurezza informatica, rendendo la risposta rapida un fattore decisivo in questo gioco complesso.
Tuttavia, molti sono falsi positivi, che portano ad un senso di affaticamento tra i professionisti. Con la crescita delle reti e dei dati, l’analisi manuale dei log non è più fattibile, soprattutto a causa della continua carenza di specialisti qualificati in sicurezza informatica.
Questo è il motivo per cui delegare il monitoraggio continuo della rete e il rilevamento delle minacce all’intelligenza artificiale e automatizzare le risposte agli indicatori di attacco è la soluzione migliore. Fortunatamente, la maggior parte degli attacchi informatici seguono modelli comuni che l’intelligenza artificiale può apprendere, consentendo risposte rapidissime per stare al passo con gli aggressori. L’intelligenza artificiale funziona 24 ore su 24, 7 giorni su 7, senza fatica, si adatta rapidamente ai nuovi dati, riduce i falsi positivi e può generare raccomandazioni per misure preventive quando vengono trovate tracce di attacco, coprendo le lacune che gli specialisti umani potrebbero trascurare. Un partner da sogno, nella migliore delle ipotesi.
6. Protezione dal phishing
Una caratteristica umana che indebolisce i sistemi di sicurezza informatica aziendale è la nostra tendenza ad agire in base alle emozioni. I criminali informatici sfruttano questa vulnerabilità attraverso l’ingegneria sociale, in particolare il phishing, utilizzando i dipendenti come punti di ingresso nelle reti aziendali.
Per rendere gli attacchi più efficaci, gli aggressori utilizzano sempre più l’intelligenza artificiale per creare e-mail di phishing più convincenti e prendere di mira più vittime. In risposta, i professionisti della sicurezza informatica possono proteggere i dipendenti dagli attacchi di phishing addestrando modelli di intelligenza artificiale su grandi set di dati di note tecniche di ingegneria sociale.
7. Monitoraggio del comportamento e rilevamento delle minacce interne
La protezione dalle minacce interne è ancora una delle maggiori sfide nel campo della sicurezza informatica. Gli addetti ai lavori hanno accesso legittimo ai sistemi aziendali, rendendo il rilevamento più difficile.
I sistemi basati sull’intelligenza artificiale possono identificare automaticamente azioni sospette, come l’accesso non autorizzato a dati sensibili o tentativi di furto di dati. Utilizzando l’apprendimento automatico, l’intelligenza artificiale si adatta ai cambiamenti nel comportamento dei dipendenti, riducendo i falsi positivi. Inoltre, l’intelligenza artificiale aiuta a prevedere i rischi analizzando i dati storici e identificando modelli che segnalano azioni potenzialmente dannose da parte dei dipendenti.
8. Ricerca eventi di sicurezza informatica migliorata
Google è un punto fermo nel mondo dei motori di ricerca e offre risultati su cui tutti facciamo affidamento. Tuttavia, i risultati della ricerca spesso sembrano più un sommario che un riassunto conciso dei punti critici. Per i professionisti della sicurezza informatica, disporre di uno strumento di ricerca avanzato può fare la differenza nell’affrontare le minacce informatiche.
Un semplice “indice” non è sufficiente quando gli specialisti hanno bisogno di avere una visione dettagliata dello stato di una rete aziendale protetta. I sistemi basati sull’intelligenza artificiale possono intervenire per migliorare le capacità di ricerca tradizionali, fornendo il contesto critico necessario per prendere decisioni informate e rispondere efficacemente alle minacce.
9. Minimizzare l’errore umano
Gestire migliaia di host rispettando le regole di sicurezza può essere complicato. È qui che l’intelligenza artificiale può aiutare imparando dalle configurazioni corrette e dagli errori passati, identificando gli errori e segnalandoli in tempo reale. Inoltre, l’intelligenza artificiale potrebbe generare in modo proattivo configurazioni host basate sulle descrizioni delle funzionalità fornite dall’uomo.
Abbraccia il cambiamento
Sebbene un salto verso sistemi di intelligenza artificiale completamente autonomi sembri relativamente improbabile, l’intelligenza artificiale ha il potenziale per integrare le competenze umane, consentendo ai professionisti di gestire le questioni più urgenti nel settore. La chiave per sfruttare il potenziale dell’intelligenza artificiale sta nell’avere specialisti qualificati che comprendano come funziona e applichino creatività e pensiero critico per rendere la tecnologia ancora più efficace.
Nel corso della storia, ogni importante scoperta tecnologica ha suscitato paura e incertezza. Tuttavia, nel tempo, abbiamo imparato ad adattarci, ad abbracciare questi strumenti e a usarli in modo efficace, bilanciando le loro capacità con i nostri limiti. È ora di fare lo stesso con l’intelligenza artificiale: integrarla nella sicurezza informatica e delegare compiti in cui l’intelligenza artificiale funziona meglio di noi.
