L’utilizzo dell’IA nella cybersecurity
A cura di Paolo Montali
Il panorama delle minacce informatiche continua a svilupparsi in modo iperbolico e lo vediamo dai report che ci arrivano da tutti i centri studi della cyber criminalità. Gli autori delle minacce utilizzano vettori e metodologie di attacco sempre più sofisticati e le organizzazioni che lottano per proteggersi sono sempre in affanno, soprattutto con i rischi introdotti dall’utilizzo di infrastrutture multi-cloud ibride e con il lavoro da remoto o ibrido. In questo periodo dove il panorama socioeconomico globale rimane instabile, vediamo di esaminare la situazione.
È evidente che i criminali informatici traggono già oggi un significativo vantaggio dall’utilizzo dell’intelligenza artificiale (IA), per aumentare le probabilità di successo in una vasta gamma di attività malevole. In particolare negli attacchi DDoS (Distributed Denial of Service), i sistemi esperti sono in grado di ottimizzare i vettori di attacco implementati dagli autori delle minacce, svolgendo attività di scansioni e risultati dei test delle prestazioni in tempo reale, sono già diventati più diffusi.
L’intelligenza artificiale sta emergendo sempre di più, e la tecnologia è già utilizzata in molti modi diversi. Ad esempio, l’intelligenza artificiale viene utilizzata per accelerare e ottimizzare le azioni dell’intelligence effettuate da chi si difende, sulle minacce. Oggi questa tecnica fornisce già dei risultati interessanti molto più rapidamente e con maggiore efficacia rispetto al passato, aiutando le organizzazioni a difendersi meglio. L’intelligenza artificiale generativa viene utilizzata per fornire assistenza in linguaggio naturale durante l’analisi delle minacce, aiutando le organizzazioni a massimizzare l’efficacia dell’attività di analisi nei loro SOC. Oltre a ciò, viene utilizzata un’intelligenza artificiale più “tradizionale” per aiutare a identificare anomalie che altrimenti passerebbero inosservate, come ad esempio l’ormai consolidata azione di controllo delle abitudini di comportamento dell’utente. Si prevede che tutto questo continuerà, con risultati che miglioreranno ulteriormente man mano che tutti impareremo di più da questa tecnologia emergente.
Bisogna prestare una certa attenzione nell’utilizzo dell’IA perché questa nuova tecnologia deve ancora subire diversi passaggi per renderla stabile e completamente affidabile e comunque il vecchio “adagio IT” che dice “se prendi in input dati spazzatura, non potrai che avere dati spazzatura in output”’ è ancora valido. Se inserisci dati scarsi, probabilmente otterrai scarsi risultati, indipendentemente da quanto sofisticati siano i tuoi algoritmi. A tal fine, laddove i clienti desiderano utilizzare l’intelligenza artificiale, sia per la sicurezza che per le attività operative, per il marketing o per altri campi di applicazione, se deve mettere una sempre maggiore attenzione nella fase di acquisizione dei set di dati, per garantirsi un livello qualitativo per bilanciare l’efficienza e il volume di dati raccolti ed archiviati con un livello di fedeltà e accuratezza adeguato per ottenere i migliori risultati dall’investimento nell’intelligenza artificiale.
Le Best Practice per una più ampia difesa informatica
È fondamentale che tutte le aziende dispongano di una strategia di sicurezza a tutto tondo, sufficientemente ampia da coprire l’identificazione e la qualificazione, in modo proattivo, dei rischi. Questo concetto è valido sia per l’ambito informatico e delle telecomunicazioni sia per tutte le attività delle Aziende. Per quanto riguarda l’ambito cyber passa attraverso la selezione delle tecnologie, l’approvvigionamento e l’utilizzo dell’intelligence. È inoltre fondamentale che le tecnologie di sicurezza utilizzate forniscano una visibilità coerente in tutta l’azienda, eliminando i punti ciechi interni o esterni e facilitando l’attività di rilevamento, indagine, correzione, analisi forense e di reporting che sia coerente con gli obiettivi di sicurezza che l’Azienda si è posta. In aggiunta a ciò, l’intero ecosistema dovrebbe essere il più integrato possibile per ridurre le spese generali operative e accelerare la risposta alle minacce.
Tutto ciò però non deve portare ad una estremizzazione sulla governance della sicurezza informatica, ma deve portare a piani strutturati e delineati in modo chiaro con obiettivi precisi e con delle fasi di verifica e controllo periodici. Queste attività devono essere studiate sulla base dell’analisi dei rischi effettuata e sulla base delle capacità economiche dell’azienda. Bisogna comunque ricordare che un buon piano di sicurezza informatica dovrebbe essere testato trimestralmente - o nel peggiore dei casi ogni semestre per mantenerlo aggiornato alle crescenti minacce e per creare quella familiarità a questi aspetti che non è ancora così entrata nel tessuto e nella prassi delle Aziende che spesso vedono questo aspetto come una punta di un iceberg di cui non conoscono molto bene i confini.
In ultimo, ma non meno importante, dobbiamo coinvolgere nel viaggio verso una maggiore sicurezza non solo l’area tecnica IT, ma tutti i membri dell’azienda, ognuno con il suo ruolo e il suo compito, ma ciascuno di noi può essere un piccolo tassello, ma fondamentale per rafforzare il sistema di sicurezza Aziendale. Tutti devono capire che hanno un ruolo da svolgere nella protezione dei dati e dei processi della propria organizzazione. Ciò significa che i dipendenti devono effettivamente prendere in considerazione il fatto che la mancata applicazione delle politiche e delle migliori pratiche, anche quelle piccole scorciatoie che ci concediamo pensando: ”ma si dai! Ma non succede niente….” potrebbe avere un impatto significativo sull’azienda nel suo complesso, oltreché sulla carriera delle persone.
Questo vuol dire un approccio al tema della sicurezza informatica che va oltre il semplice partecipare ad una serie di corsi di formazione obbligatori sulla sicurezza - questa è una questione di cultura - si tratta di integrare i messaggi di sicurezza nelle comunicazioni della leadership, nel reporting aziendale e in ogni altro aspetto dell’attività aziendale quotidiana, quindi che la sicurezza è sempre una considerazione che ci troviamo in tutti gli ambiti, dall’ufficio, al rapporto con i fornitori e con i clienti, a casa o anche quando siamo in ferie.