Connect with us

Sicurezza informatica

Come l’AI migliora la forensic digitale

mm
Published
Updated

I professionisti della forensic digitale possono utilizzare l’intelligenza artificiale per accelerare e migliorare i loro processi attuali, riducendo il tempo di indagine e migliorando l’efficienza. Tuttavia, mentre il suo impatto è per lo più positivo, esistono alcuni problemi. L’AI può sostituire gli analisti forensi? Più importante ancora, le scoperte guidate dall’AI reggerebbero in tribunale?

Che cos’è la scienza forense digitale?

La scienza forense digitale — precedentemente conosciuta come informatica forense — è un ramo della scienza forense che si occupa esclusivamente di dispositivi elettronici. Il lavoro di un analista forense è quello di indagare sui crimini informatici e recuperare dati per produrre prove.

I professionisti del settore utilizzano la scienza informatica e le tecniche di indagine per scoprire dati su computer, telefoni, chiavette USB e tablet. Loro obiettivo è quello di trovare, preservare, esaminare e analizzare i dati rilevanti per il loro caso.

Come funziona la forensic digitale?

La scienza forense digitale segue generalmente un processo multi-fase.

1. Sequestro

I team devono prima sequestrare il supporto in questione dal loro sospettato. A questo punto, iniziano una catena di custodia — una traccia elettronica cronologica — per tenere traccia di dove si trova la prova e come la utilizzano. Questo passaggio è critico se vanno a processo.

2. Preservazione

Gli investigatori devono preservare l’integrità dei dati originali, quindi iniziano il loro esame facendo copie. Loro obiettivo è quello di decrittare o recuperare il più possibile le informazioni nascoste o cancellate. Loro devono anche proteggerlo dall’accesso non autorizzato rimuovendo la sua connessione internet e mettendolo in archiviazione sicura.

3. Analisi

Gli esaminatori forensi analizzano i dati con vari metodi e strumenti. Poiché i dispositivi memorizzano le informazioni ogni volta che l’utente scarica qualcosa, visita un sito web o crea un post, esiste una sorta di traccia elettronica. Gli esperti possono controllare i dischi rigidi, i metadati, i pacchetti di dati, i registri di accesso alla rete o gli scambi di email per trovare, raccogliere e processare le informazioni.

4. Reporting

Gli analisti devono documentare ogni azione che eseguono per assicurarsi che le loro prove reggano in un tribunale penale o civile in seguito. Quando concludono la loro indagine, riferiscono i loro risultati — sia alle agenzie di polizia, al tribunale o all’azienda che li ha assunti.

Chi utilizza la forensic digitale?

La forensic digitale indaga sull’attività illecita legata ai dispositivi elettronici, quindi le agenzie di polizia la utilizzano spesso. È interessante notare che non perseguono solo i crimini informatici. Qualsiasi condotta illecita — sia che si tratti di un crimine violento, di un reato civile o di un crimine finanziario — che possa essere collegata a un telefono, un computer o una chiavetta USB è lecito.

Le aziende spesso assumono analisti forensi dopo aver subito una violazione dei dati o essere state vittime di crimini informatici. Considerando che gli attacchi di ransomware possono costare oltre 30% del reddito operativo di un’azienda, non è insolito che i leader assumano investigatori esperti per cercare di recuperare alcune delle loro perdite.

Il ruolo dell’AI nella scienza forense digitale

Un’indagine di forensic digitale è generalmente un processo complesso e lungo. A seconda del tipo e della gravità del reato — e del numero di megabyte che gli investigatori devono setacciare — un singolo caso può richiedere settimane, mesi o anche anni. La velocità e la versatilità senza pari dell’AI la rendono una delle migliori soluzioni.

Gli analisti forensi possono utilizzare l’AI in diversi modi. Possono utilizzare l’apprendimento automatico (ML), l’elaborazione del linguaggio naturale (NLP) e i modelli generativi per il riconoscimento di pattern, l’analisi predittiva, la ricerca di informazioni o il brainstorming collaborativo. Può gestire i loro compiti quotidiani noiosi o l’analisi avanzata.

Modi in cui l’AI potrebbe migliorare la forensic digitale

L’AI potrebbe migliorare sostanzialmente molti aspetti della scienza forense digitale, cambiando permanentemente il modo in cui gli investigatori svolgono il loro lavoro.

Automatizzare i processi

L’automazione è una delle capacità più grandi dell’AI. Poiché può lavorare in modo autonomo — senza intervento umano — gli analisti possono lasciare che gestisca il lavoro ripetitivo e lungo mentre loro si concentrano su responsabilità critiche e ad alta priorità.

Gli esperti assunti dalle aziende traggono anche beneficio, poiché 51% dei responsabili delle decisioni sulla sicurezza concordano che il volume degli avvisi nel loro luogo di lavoro è sovraccaricante, con il 55% che ammette di non avere fiducia nella capacità del loro team di dare priorità e rispondere in tempo. Possono utilizzare l’automazione dell’AI per esaminare i log del passato, rendendo più gestibile l’identificazione dei crimini informatici, delle violazioni della rete e delle perdite di dati.

Fornire informazioni vitali

Un modello di ML può registrare continuamente eventi di crimini informatici nel mondo reale e setacciare il dark web, consentendogli di rilevare minacce informatiche emergenti prima che gli investigatori umani ne siano a conoscenza. In alternativa, può imparare a scansionare il codice per malware nascosto in modo che i team possano trovare la fonte degli attacchi informatici o delle violazioni più velocemente.

Accelerare i processi

Gli investigatori possono utilizzare l’AI per accelerare notevolmente l’esame, l’analisi e la relazione, poiché questi algoritmi possono analizzare rapidamente grandi quantità di dati. Ad esempio, possono utilizzarlo per forzare una password su un telefono bloccato, scrivere una bozza di relazione o riassumere uno scambio di email di settimane.

La velocità dell’AI sarebbe particolarmente utile per gli esperti assunti dalle aziende, poiché molti dipartimenti IT si muovono troppo lentamente. Ad esempio, nel 2023, le aziende hanno impiegato in media 277 giorni per rispondere a una violazione dei dati. Un modello di ML può elaborare, analizzare e produrre output più velocemente di qualsiasi essere umano, quindi è ideale per applicazioni sensibili al tempo.

Trovare prove critiche

Un modello dotato di NLP può scansionare le comunicazioni per identificare e segnalare attività sospette. Gli investigatori possono addestrare o promuovere l’AI per cercare informazioni specifiche del caso. Ad esempio, se chiedono loro di cercare parole relative alla malversazione, potrebbe indirizzarli verso testi in cui il sospettato ammette di aver distratto fondi aziendali.

Sfide che l’AI deve superare

Mentre l’AI potrebbe essere uno strumento forense potente — potenzialmente accelerando i casi di settimane — la sua utilizzazione non è senza svantaggi. Come la maggior parte delle soluzioni tecnologiche, ha numerosi problemi di privacy, sicurezza ed etici.

Il problema della “scatola nera” — dove gli algoritmi non possono spiegare il loro processo decisionale — è il più pressante. La trasparenza è vitale nel tribunale, dove gli analisti forniscono testimonianza esperta per casi penali e civili.

Se non possono descrivere come l’AI ha analizzato i dati, non possono utilizzare le sue scoperte in tribunale. Secondo le Regole di prova federali — standard che disciplinano quali prove sono ammissibili nei tribunali degli Stati Uniti — uno strumento di forensic digitale alimentato da AI è accettabile se il testimone dimostra la conoscenza personale delle sue funzioni, spiega espertamente come è giunto alle sue conclusioni e dimostra che le sue scoperte sono accurate.

Se gli algoritmi fossero sempre precisi, il problema della scatola nera non sarebbe un problema. Purtroppo, spesso hallucinano, soprattutto quando è coinvolto un ingegneria di prompt non intenzionale. Un investigatore che chiede a un modello di NLP di mostrargli istanze in cui il sospettato ha rubato dati aziendali potrebbe sembrare innocuo, ma può risultare in una risposta falsa per soddisfare la query.

Gli errori non sono insoliti poiché gli algoritmi non possono ragionare, comprendere il contesto o interpretare le situazioni in modo completo. In definitiva, uno strumento di AI non addestrato correttamente può dare agli investigatori più lavoro, poiché dovranno setacciare i falsi negativi e positivi.

I pregiudizi e i difetti possono rendere questi problemi più pronunciati. Ad esempio, un’AI istruita a trovare prove di crimini informatici potrebbe trascurare alcuni tipi di attacchi informatici in base ai pregiudizi sviluppati durante l’addestramento. In alternativa, potrebbe trascurare i segni di crimini associati, credendo di dover dare priorità a un tipo specifico di prova.

Sostituirà l’AI gli esperti investigatori?

Le funzionalità di automazione e di rapida elaborazione dell’AI potrebbero comprimere casi che durano mesi in poche settimane, aiutando i team a mettere i criminali informatici dietro le sbarre. Purtroppo, questa tecnologia è ancora relativamente nuova e i tribunali degli Stati Uniti non amano le tecnologie innovative e non testate.

Per ora — e probabilmente per decenni a venire — l’AI non sostituirà gli analisti forensi digitali. Invece, li aiuterà con i compiti quotidiani, guiderà i loro processi decisionali e automatizzerà le responsabilità ripetitive. La supervisione umana sarà necessaria fino a quando non si risolverà il problema della scatola nera una volta per tutte e il sistema giudiziario non troverà un posto permanente per l’AI.

Related Topics:
mm

Zac Amos è uno scrittore di tecnologia che si concentra sull'intelligenza artificiale. È anche il caporedattore delle funzionalità di ReHack, dove puoi leggere altro del suo lavoro.