La linea di demarcazione tra cyber e fisico diventa sempre più sottile e la posta in gioco sempre più alta. Dopo l’emergenza sanitaria è necessario potenziare la difesa informatica delle infrastrutture digitali per prevenire violazioni di dati e sistemi, assicurando la business continuity

Pandemia e lockdown hanno avuto un effetto dirompente sulla vita delle persone e sui modelli organizzativi delle imprese, con una crescita esponenziale del traffico sulla rete e l’avvio massivo di paradigmi finora marginali: smart working, smart school, l’ulteriore espansione dell’eCommerce e il banking online hanno fortemente caratterizzato il primo trimestre del 2020.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il digitale si è dimostrato quindi fattore fondamentale per “assorbire” il più possibile la criticità di una situazione emergenziale, dove però la sicurezza sui dati – già fattore sostanziale prima – diventa ancora più delicata. L’obbligata necessità di estendere i perimetri aziendali attraverso lo smart working, per esempio, ha aumentato i rischi di attacchi e truffe informatiche e c’è bisogno di tecniche sempre più sofisticate di contrasto alla criminalità informatica. Una risposta in tal senso arriva dalle soluzioni di intelligenza artificiale (AI) e dal suo connubio con le piattaforme innovative di cybersecurity.

Per indagare sulle promesse, e sui limiti, di questo scenario abbiamo raccolto l’opinione di CLUSIT, l’associazione italiana per la sicurezza informatica, attraverso la testimonianza di Mauro Cicognini che fa parte del comitato direttivo. L’intelligenza artificiale può dare un contributo sicuramente positivo alla sicurezza delle informazioni a velocità di macchina e in tempo reale. Contributo che tuttavia resta ancora marginale. E che in contesti sensibili richiede comunque la supervisione umana.

«Michele Grazioli, uno dei più rispettati esperti di AI in Italia, nel suo intervento all’Olivetti Day, il 14 novembre 2019 a Brescia, non lascia spazio a dubbi» – racconta Cicognini a Data Manager. «Le tecnologie effettivamente utilizzate sono quasi sempre degli algoritmi “tradizionali”, per quanto magari molto complicati. L’uso dell’AI vera e propria – ovvero algoritmi in grado di modificare il proprio comportamento in base a parametri “appresi” durante il funzionamento, e non fissati a priori nel codice – è consolidato in alcuni settori verticali molto specifici, come la prevenzione delle frodi, ma pochissimo presente altrove. Ciò non significa che l’AI non possa essere utilizzata anche per altri ambiti nella cybersecurity. A tutti piacerebbe un firewall in grado di riadattarsi in modo flessibile al mutare delle esigenze dell’azienda o della pubblica amministrazione che lo utilizza, senza richiedere i pesanti e complessi processi di revisione manuale che sono necessari oggi, magari arrivando a “istruire” i relativi algoritmi AI quasi come faremmo con un operatore umano. Nel caso di un operatore umano però, questa scelta potrebbe aprire la porta a potenziali errori, facendo magari prendere agli algoritmi decisioni sbagliate, per esempio, consentendo del traffico malevolo, oppure interrompendo una comunicazione perfettamente legittima e causando danni economici anche gravi».

La flessibilità, la resilienza, e la capacità di arrivare rapidamente a una decisione senza dover individuare di preciso i parametri rappresentano i vantaggi dell’AI. Ciò fa sì che le regole di funzionamento siano inevitabilmente “fuzzy” e variabili nel tempo. Non che i falsi positivi e i falsi negativi siano una prerogativa dell’AI, ma per l’AI sono davvero inevitabili. Che fare a questo punto? «Se abbiamo a che fare con un operatore umano – risponde Cicognini – ci aspettiamo l’errore – che sia errore materiale, o errore di giudizio, o semplice svista involontaria, poco importa – e i processi sono strutturati per assorbire il colpo e ripartire. Nel caso di una macchina, invece, i processi non hanno tolleranza per l’errore, per il guasto a volte sì, ma è diverso». Quindi, se il firewall – per così dire di propria iniziativa – consente un traffico che non avrebbe dovuto consentire, o nega del traffico legittimo, di chi è colpa? A chi diamo la responsabilità? «In ultima analisi – spiega Cicognini – se c’è dolo o colpa grave, un essere umano va incontro a delle sanzioni personali. Dare la colpa ai creatori di queste “AI che sbagliano” non ha, naturalmente, alcun senso. Se volessimo scherzare fra noi, potremmo considerare la possibilità di istituire un sistema giudiziario per gli algoritmi. Al di fuori dalle facezie, l’unica possibilità per un uso produttivo dell’AI è quello di modificare i processi organizzativi, inserendo un grado di tolleranza alle decisioni sbagliate e, soprattutto, dei meccanismi che consentano di contenere il danno e riprendere il funzionamento in tempi ragionevoli. Questo è complicatissimo, in realtà, perché i tempi di funzionamento di una macchina e i tempi di funzionamento degli esseri umani sono diversi di vari ordini di grandezza». Tuttavia, la riflessione in proposito è solo all’inizio. «E non abbiamo motivo di immaginare – conclude Cicognini – che la soluzione non possa essere trovata, perlomeno non prima di avere approfondito pienamente molti aspetti del problema che non sono attualmente stati nemmeno affrontati. Mi permetto quindi di essere cautamente ottimista. Solo il tempo ci darà la risposta».

BILANCIAMENTO DEL RISCHIO

Occorre quindi riflettere sulla potenzialità dell’uso dell’AI nel campo della sicurezza informatica e  contemporaneamente sulla necessità di affrontare un cammino ancora lungo e in parte sconosciuto. Proviamo allora ad approfondire ulteriormente l’argomento, attraverso alcune domande chiave a operatori ed esperti del settore. Quali sono le metodologie AI che possono essere adottate per rispondere alla crescente domanda di sicurezza informatica? Secondo Giancarlo Vercellino, associate director Research & Consulting di IDC Italy più che parlare di “metodologia AI” occorrerebbe chiedersi in che modo gli algoritmi di machine learning possono aiutare gli analisti della sicurezza a fare meglio il loro lavoro, e gli utenti a percepire più chiaramente il rischio IT.

Leggi anche:  Imprese europee prese di mira da attacchi malware multi-fase

Da un lato, si tratta di un tema di efficienza perché – spiega Vercellino – «gli analisti specializzati sono pochi e il lavoro da fare molto» e dall’altro di efficacia – «perché gli utenti tendono a sottovalutare sistematicamente il rischio delle interazioni online». In termini, per così dire, “metodologici” – «il miglior modo di coniugare questi ambiti talvolta contrapposti è definire KPI e scorecard in modo condiviso tra utenti e operatori, bilanciando la misura effettiva del rischio IT con le strategie e le esigenze di business delle imprese. Questa attività di risk assessment dovrà poi tradursi in processi e investimenti in risorse, competenze e formazione da parte degli utenti».

Per David Gubiani, regional director security engineering EMEA Southern di Check Point Software Technologies, l’AI ha effettivamente rappresentato un balzo in avanti nella ricerca, nell’analisi e nella prevenzione delle minacce informatiche. «L’analisi comportamentale è una delle metodologie più utilizzate per prevenire e individuare attacchi sofisticati che altrimenti potrebbero passare sotto le soglie di attenzione dei vari strumenti di sicurezza». Considerato che gli attacchi informatici aumentano per volume e complessità, l’intelligenza artificiale rappresenta un potente alleato per gli analisti di sicurezza che dispongono di risorse mai veramente sufficienti a fronteggiare le minacce e a difendere le superfici e i perimetri aziendali.

Esaminando l’insieme rappresentato da milioni di dati strutturati per far lavorare gli algoritmi di machine learning, ma anche estraendo informazioni dalla enorme mole di dati non strutturati (documenti di ricerca, blog e notizie di cronaca), l’intelligenza artificiale – spiega Sandro Visaggio, cyber security director di SCAI Solution Group – «è in grado di fornire insights istantanei per aiutare a combattere il rumore di migliaia di segnalazioni ogni giorno, riducendo drasticamente i tempi di risposta. Le tecnologie relative all’intelligenza artificiale, come il machine learning e l’elaborazione del linguaggio naturale, consentono agli analisti di rispondere alle minacce con maggiore efficacia, attendibilità e rapidità».

Le metodologie chiave da adottare – continua Visaggio – sono articolate su tre aree principali: «Apprendere da comportamenti passati per creare intuizioni e contesti rapidi e fruibili quando presentati con informazioni e comportamenti nuovi o sconosciuti. Trarre conclusioni logiche e dedotte basate su potenziali sottoinsiemi di dati incompleti. Presentare più soluzioni a un problema noto per consentire ai team di sicurezza di selezionare il percorso migliore verso la riparazione». Assunta e consolidata dunque la chiave e il prezioso ruolo della AI, non si deve però cedere alle lusinghe del “lavoro semplificato dall’AI”. «L’apporto umano – avverte Visaggio – è sempre quello che contraddistingue il successo dall’insuccesso. Contestualizzato alla cybersecurity, possiamo dire che si tratta di una vera e propria nuova frontiera e che siamo soltanto all’inizio di un lungo percorso dove le aspettative sono davvero notevoli». Come per tutte le tecnologie, la bontà o meno dipende dall’utilizzo che ne facciamo.

In Trend Micro, l’intelligenza artificiale nel campo della sicurezza informatica non è una novità – come spiega Gastone Nencini, country manager di Trend Micro Italia. La prima soluzione a utilizzare degli algoritmi di AI è stata quella per la posta elettronica, per la verifica delle e-mail BEC (Business Email Compromise o CEO e-mail). In questo caso – continua Nencini – «l’algoritmo in questione è in grado di analizzare le modalità di scrittura della e-mail in modo tale da determinare se questa è stata scritta dal mittente reale o da un’altra persona. Il nostro modo di scrivere è come una nostra impronta digitale e grazie ad algoritmi di AI siamo in grado di verificare anche la veridicità di una e-mail. Il funzionamento dell’AI è basato su delle basi dati molto grandi che contengono dati relativi alla tematica su cui devono agire gli algoritmi di AI. Quindi, un ottimo sistema di AI si deve basare su una base dati verificata e controllata, altrimenti si rischia che i risultati non siano corretti. Trend Micro è dal 2005 che raccoglie dati su tutti gli incidenti e problematiche legate alla cybersecurity controllando e certificando questi dati, ed è per questo motivo che possiamo affermare di avere uno dei sistemi di AI tra i più precisi».

Secondo Fabio Cipolat, regional sales manager Italy di Zscaler, per soddisfare la crescente domanda di applicazione dell’intelligenza artificiale alla sicurezza informatica sarà necessario adottare sia l’apprendimento supervisionato e non supervisionato sia il deep learning. «Nuovi algoritmi di machine learning aiuteranno a vagliare enormi quantità di dati. La scalabilità è il vantaggio principale. Invece di concentrarsi sulla tecnica del fingerprinting per identificare le minacce, possiamo concentrarci sul comportamento, e il machine learning renderà tutto ciò più semplice e infinitamente più veloce».

OUTPUT INTERPRETABILI E FIDUCIA

I settori industriali più esposti alle minacce cyber sono la finanza, le utility e il settore sanitario. «In modo particolare, come evidenziato dalla European Union Agency for Cybersecurity a maggio – spiega Giancarlo Vercellino di IDC Italy – durante le fasi più acute della pandemia si sono registrati alcuni attacchi contro le strutture sanitarie con l’obiettivo di sfruttare l’emergenza per aprire alcune falle nei sistemi». In Italia, il settore finanziario è oggetto di attacchi con un’incidenza maggiore rispetto alla media mondiale – mette in evidenza David Gubiani di Check Point. «L’utilizzo dell’AI sta a monte e deve intervenire per prevenire ogni attacco, e quindi si può applicare a tutti i settori indistintamente». I rischi si concentrano verso settori che possono portare vantaggi economici. «Ma ormai i settori industriali sono talmente interconnessi da non poter più parlare di un “air gapping” tra i settori» – afferma Sandro Visaggio di SCAI Solution Group. «Una volta fatta breccia in un settore è relativamente agevole effettuare un “sector traversal attack” per guadagnare privilegi in altri. In altri termini, nessuno è al sicuro e non esistono settori più o meno coinvolti». L’applicazione sistematica di algoritmi di machine learning rappresenta un’opportunità per mitigare i rischi. «Una migliore accuratezza nella rilevazione di potenziali minacce integrata con processi comuni e una sistematica condivisione delle informazioni, non possono che rappresentare una maggiore garanzia per tutti» – assicura Giancarlo Vercellino di IDC Italy.

Leggi anche:  Alla ricerca della sicurezza “perduta”, fra upskilling e normative

L’intelligenza artificiale è una potente arma di difesa ma rappresenta di per sé anche una potente arma di offesa nelle mani dei criminali informatici che possono sferrare attacchi coordinati con l’obiettivo di penetrare le infrastrutture critiche. I rischi che possiamo intravedere sono legati all’adversarial tampering e alla creazione di sistemi di malware reasoning. «Da un lato, la manipolazione dei dati per compromettere l’addestramento degli algoritmi, ma si tratta di una eventualità non comune e non facile, dall’altro, l’impiego del machine learning per creare malware sempre più intelligente e sofisticato, ma questo, più che un rischio, è una certezza» – afferma Vercellino. La differenza tra opportunità e necessità appare sempre più sottile. «Oggi, queste tecnologie sono fondamentali per rispondere al crescente aumento delle minacce informatiche e al loro livello di sofisticatezza» – spiega David Gubiani di Check Point. «La verità è che non ci sono analisti di cybersecurity abbastanza veloci da riuscire a tenere il passo con la marea montante di attacchi e malware che colpisce i nostri PC e i sistemi nel cloud. E siamo solo all’inizio».

Secondo Leonida Gianfagna di Cyber Guru e development manager di Gruppo Daman, il machine learning può essere caratterizzato come una “disruptive innovation” che sta cambiando profondamente il mondo che ci circonda. «Nell’ambito della cybersecurity, il machine learning trova vaste applicazioni che vanno dall’identificazione di pattern alla ricerca di anomalie per prevenire e identificare gli attacchi cyber. Con il nostro team – continua Gianfagna – ci stiamo focalizzando sul comportamento degli utenti, il vero anello debole della catena difensiva. Il nostro obiettivo è quello di addestrare gli utenti a riconoscere gli attacchi phishing attraverso la soluzione Cyber Guru Phishing, che consente di effettuare campagne simulate, in cui l’utente viene sottoposto a un vero e proprio percorso di crescita personalizzato. Il machine learning ci permette di inviare e-mail di phishing simulate e differenziate per ogni singolo utente, con profili di difficoltà variabili che si adattano all’utente specifico per renderlo più “resistente” a questi attacchi. Il valore aggiunto del machine learning è proprio nel processo adattivo, per cui la simulazione continua a evolversi nel tempo sia a seguito dell’evoluzione stessa degli attacchi di phishing sia in dipendenza della maggiore consapevolezza raggiunta dall’utente nel riconoscere l’attacco. Nel ricorso massivo al machine learning ci sono anche dei rischi connessi con una “opacità” intrinseca dei sistemi automatici, spesso in contrasto con normative come il GDPR che richiedono esplicitamente la “tracciabilità” di ogni decisione intrapresa da questi sistemi.

In questo senso, il futuro può essere rappresentato dalla “Explainable AI”, una linea di ricerca all’interno dell’AI, la quale tenta di risolvere questo problema che potrebbe rappresentare un grosso inibitore all’adozione di sistemi AI su larga scala e in contesti critici come la cybersecurity». Tra i responsabili IT e CISO, l’esigenza di framework che consentono di sviluppare modelli di machine learning interpretabili e inclusivi e di eseguirne il deployment in sicurezza è sempre più forte. «L’intelligenza artificiale e il suo principale componente, il machine learning, applicati alla sicurezza informatica, hanno sicuramente una funzione di supporto molto importante in quanto permettono di analizzare automaticamente una mole di dati altrimenti impossibile agli esseri umani per arrivare a identificare le altre 380mila varianti di software nocivi noti» – spiega Morten Lehn, general manager Italy di Kaspersky. La cattiva notizia però è che questi sistemi vengono usati anche dai criminali informatici per scopi non propriamente leciti. «L’impiego del machine learning in vari settori – continua Morten Lehn – ha mostrato le contraddizioni che derivano dall’utilizzo di algoritmi che possono operare scelte opinabili e discriminatorie e, in alcuni casi, condurre anche a risultati viziati come feedback loop, correlazioni causa-effetto non veritiere e sistemi di riconoscimento facciale manipolati dagli utenti stessi». Nonostante gli algoritmi di machine learning non siano progettati per arrecare danno, alcuni possono avere obiettivi diversi, anche a scapito degli utenti. È il caso, per esempio, di algoritmi che operano in ambito medico, che possono non raccomandare la cura più adatta, ma quella più costosa. «Quando si parla di intelligenza artificiale come supporto della sicurezza globale è necessario farlo con le dovute precauzioni ed è necessario sviluppare una coscienza critica legata all’utilizzo degli algoritmi. Secondo la nostra esperienza e competenza ormai più che ventennale nel settore della cybersecurity, possiamo dire che il machine learning deve riguardare solo un primo livello della sicurezza, al quale va comunque affiancata la consulenza umana».

Leggi anche:  Gli attacchi alla supply chain mettono il business a rischio

Per Sandro Visaggio di SCAI Solution Group, il connubio tra AI e cybersecurity è sicuramente affascinante e crea notevoli opportunità, dato che rende molto più rapido l’accesso a un’infinità di informazioni e consente una velocità di reazione impensabile solo fino a dieci anni fa. «Sia dal punto della prevenzione che della difesa dell’installato – spiega Visaggio – il connubio va a migliorare la resistenza e la resilienza di sistemi e applicativi. Tuttavia, non va dimenticato che gli strumenti di AI possono essere utilizzati anche contro la sicurezza. I sistemi, per intelligenti e veloci che siano, richiedono competenze allo stesso livello» – perché il rischio di non capire che il sistema può essere ingannato da un suo pari “più evoluto” o dalla creatività umana è più di una ipotesi remota. Un esempio di come i cyber criminali stiano sfruttando l’intelligenza artificiale è quello per la creazione dei deepfake, ovvero video o audio finti di personaggi importanti o famosi.

«Sfruttando il materiale presente in rete – spiega Gastone Nencini di Trend Micro Italia – grazie all’intelligenza artificiale è possibile ricreare video o audio mai registrati e mai detti dal personaggio preso di mira. Questo fenomeno sta causando parecchie criticità». E nel futuro già prossimo vedremo sempre di più attacchi informatici basati su questi algoritmi, che raggiungeranno livelli di sofisticazione che non avevamo neppure immaginato. L’intelligenza artificiale può essere utilizzata per rilevare “minacce sconosciute” che non hanno una firma rilevabile dalle soluzioni convenzionali, come per esempio il malware Zero Day. «Un’ulteriore opportunità – spiega Fabio Cipolat di Zscaler – è quella di effettuare classificazioni su aspetti che altrimenti richiederebbero molte risorse e un’enorme quantità di tempo se dovessero essere gestiti manualmente dai professionisti della sicurezza. Questo tipo di classificazione rileverà le anomalie degli utenti, del traffico o delle entità. Nonostante le minacce sempre crescenti, le aziende di tutto il mondo soffrono ancora di grande carenza di professionisti nell’ambito della sicurezza informatica. Poiché quel gap non verrà mai colmato con l’assunzione di figure professionali esperte, sarà possibile porvi rimedio con l’ausilio delle nuove tecnologie. Il rischio che si corre con l’AI è che si possano commettere errori. Se non viene usata in modo appropriato, la distorsione umana (bias) può prendere il sopravvento».

SOLUZIONI AVANZATE AI-DRIVEN

Quali sono gli step, tecnici e organizzativi, per una corretta selezione di soluzioni AI-driven? Prima di scegliere qual è la soluzione tecnologica più adatta alle esigenza dell’azienda – secondo Giancarlo Vercellino di IDC Italy – sarebbe consigliabile – «coinvolgere anche società di ethical hacking per capire se effettivamente basta un po’ di social engineering ben orchestrato per superare l’algoritmo più intelligente». Per David Gubiani di Check Point, oggi, le aziende necessitano di interventi immediati di sicurezza anche da remoto. «La forza dei nostri sistemi di sicurezza è la capacità di tracciare le reti a livello globale e rilevare in modo così puntuale le minacce che vengono inserite nel “Treath Intelligence Database” in cloud, continuamente aggiornato, che ci consente un monitoraggio e un controllo incrementale, supportato da sistemi di intelligenza artificiale per prevenire gli attacchi. Il nostro consiglio è quindi di utilizzare strumenti che possano sfruttare l’AI ad ampio spettro come ThreatCloud di Check Point con un approccio olistico alla security».

La scelta di soluzioni leader di mercato, sia in termini di soluzioni che di competenze da portare a bordo del proprio organico, è il suggerimento che arriva da Sandro Visaggio di SCAI Solution Group, che pone l’accento sulla creazione di una maggiore cybersecurity awareness a tutti i livelli dell’organizzazione, partner compresi perché – «il livello di sicurezza di un’azienda è sempre pari a quello dell’anello più debole della catena». Per Gastone Nencini di Trend Micro Italia occorre partire prima dall’analisi dei dati che si possiedono. «L’archivio deve essere completo e soprattutto affidabile. Se si utilizzano soluzioni di terze parti, occorre sempre verificare i requisiti». L’AI comporta una maggiore capacità di raccolta ed elaborazione dei dati, una maggiore condivisione degli stessi e quindi un maggiore controllo sulla privacy. Per Fabio Cipolat di Zscaler, l’adozione di soluzioni avanzate basate sull’intelligenza artificiale deve partire dalla cultura aziendale. «Per contribuire all’obiettivo generale di una sicurezza di grado superiore, l’AI ha bisogno di talenti e di esperti con conoscenze specializzate».

LA SICUREZZA INIZIA DA NOI

La World Health Organization ha recentemente coniato il neologismo “infodemia” per descrivere il fenomeno del bombardamento continuo su ognuno di noi di informazioni sulla pandemia. Ciò si traduce non solo in una crescente difficoltà nel valutarne la veridicità, limitandoci nello scartare le fake news, ma anche in opportunità ostili per le subdole mire di criminali informatici. In Mongolia, i dipendenti di una amministrazione locale hanno aperto un documento Word allegato a una e-mail avente per oggetto i numeri sulle infezioni del Covid-19, con la convinzione che fosse stato inviato dal loro ministero degli Esteri, ma che in realtà ha aperto la porta ai pirati informatici per razziare dati sensibili. È bene allora continuare a far valere regole antiche: da ragazzi, quando i nostri genitori ci lasciavano da soli a casa, ci ordinavano di non aprire la porta a nessuno. Almeno in attesa, e con la speranza, che le nuove tecnologie, in primis l’AI, possano farci da “sopraffina guardia” ai nostri dati digitali diventati oramai fondamentali.