Il futuro della sicurezza informatica: intelligenza artificiale, automazione e fattore umano

Negli ultimi dieci anni, insieme alla crescita esplosiva della tecnologia dell'informazione, il l’oscura realtà delle minacce alla sicurezza informatica si è evoluta in modo drammatico. Gli attacchi informatici, un tempo guidati principalmente da hacker dispettosi in cerca di notorietà o guadagno finanziario, sono diventati molto più sofisticati e mirati. Dallo spionaggio sponsorizzato dallo stato al furto di identità e aziendale, i motivi alla base del crimine informatico sono sempre più sinistri e pericolosi. Anche se il guadagno monetario rimane una ragione importante per il crimine informatico, è stato oscurato da obiettivi più nefandi di furto di dati e risorse critiche. I cybercriminali sfruttano ampiamente tecnologie all'avanguardia, tra cui l'intelligenza artificiale, per infiltrarsi nei sistemi e svolgere attività dannose. Negli Stati Uniti, il Federal Bureau of Investigation (FBI) ha segnalato oltre 800,000 denunce relative al crimine informatico presentate nel 2022, con perdite totali superiori a 10 miliardi di dollari, infrangendo il totale del 2021 di 6.9 miliardi di dollari, secondo l'Internet Crime Complaint Center dell'ufficio.

Con il panorama delle minacce in rapida evoluzione, è tempo che le organizzazioni adottino un approccio su più fronti alla sicurezza informatica. L’approccio dovrebbe essere quello di affrontare il modo in cui gli aggressori riescono ad entrare; prevenire il compromesso iniziale; rilevare rapidamente le incursioni; e consentire una risposta e una riparazione rapide. La protezione delle risorse digitali richiede lo sfruttamento della potenza dell’intelligenza artificiale e dell’automazione, garantendo al tempo stesso che analisti umani qualificati rimangano parte integrante della strategia di sicurezza.

La protezione di un'organizzazione richiede una strategia a più livelli che tenga conto dei diversi punti di ingresso e dei vettori di attacco utilizzati dagli avversari. In generale, questi sono suddivisi in quattro categorie principali: 1) Attacchi web e di rete; 2) Comportamento degli utenti e attacchi basati sull'identità; 3) Attacchi di entità mirati ad ambienti cloud e ibridi; e 4) Malware, inclusi ransomware, minacce persistenti avanzate e altro codice dannoso.

Sfruttare l’intelligenza artificiale e l’automazione

L’implementazione di modelli di intelligenza artificiale e machine learning (ML) su misura per ciascuna di queste classi di attacco è fondamentale per il rilevamento e la prevenzione proattiva delle minacce. Per gli attacchi web e di rete, i modelli devono identificare minacce come phishing, sfruttamento del browser e attacchi DDoS (Distributed Denial-of-Service) in tempo reale. L'analisi del comportamento di utenti ed entità che sfrutta l'intelligenza artificiale può individuare attività anomale indicative di compromissione dell'account o uso improprio di risorse e dati di sistema. Infine, l’analisi del malware basata sull’intelligenza artificiale può individuare rapidamente nuovi ceppi, individuare comportamenti dannosi e mitigare l’impatto delle minacce basate su file. Implementando modelli di AI e ML su questo spettro di superfici di attacco, le organizzazioni possono migliorare significativamente la propria capacità di identificare autonomamente gli attacchi nelle prime fasi prima che si trasformino in incidenti conclamati.

Una volta che i modelli AI/ML hanno identificato la potenziale attività di minaccia attraverso vari vettori di attacco, le organizzazioni devono affrontare un’altra sfida chiave: dare un senso agli avvisi frequenti e separare gli incidenti critici dal rumore. Con così tanti punti dati e rilevamenti generati, diventa cruciale applicare un altro livello di AI/ML per correlare e dare priorità agli avvisi più gravi che richiedono ulteriori indagini e risposte. L’affaticamento da allerta è un problema sempre più critico che deve essere risolto.

L’intelligenza artificiale può svolgere un ruolo fondamentale in questo processo di alert triage acquisendo e analizzando elevati volumi di telemetria di sicurezza, fondendo informazioni provenienti da più fonti di rilevamento, inclusa l’intelligence sulle minacce, e facendo emergere solo gli incidenti con la massima fedeltà per la risposta. Ciò riduce il carico sugli analisti umani, che altrimenti sarebbero inondati di diffusi falsi positivi e allarmi a bassa fedeltà privi di un contesto adeguato per determinare la gravità e i passi successivi.

Sebbene gli autori delle minacce abbiano utilizzato attivamente l’intelligenza artificiale per potenziare attacchi come DDoS, phishing mirato e ransomware, il lato difensivo è rimasto indietro nell’adozione dell’intelligenza artificiale. Tuttavia, la situazione sta cambiando rapidamente poiché i fornitori di sicurezza si affrettano a sviluppare modelli avanzati di IA/ML in grado di rilevare e bloccare queste minacce basate sull’intelligenza artificiale.

Il futuro dell’IA difensiva risiede nell’implementazione di modelli linguistici specializzati su misura per tipi di attacco e casi d’uso specifici piuttosto che fare affidamento solo su modelli di IA grandi e generativi. I modelli linguistici di grandi dimensioni, al contrario, sono più promettenti per le operazioni di sicurezza informatica come l’automazione delle funzioni dell’help desk, il recupero di procedure operative standard e l’assistenza agli analisti umani. Il lavoro pesante di rilevamento e prevenzione precisi delle minacce sarà gestito al meglio dai piccoli modelli AI/ML altamente specializzati.

Il ruolo della competenza umana

È fondamentale utilizzare l’intelligenza artificiale/ML insieme all’automazione dei processi per consentire una rapida riparazione e contenimento delle minacce verificate. In questa fase, dotati di incidenti ad alta sicurezza, i sistemi di intelligenza artificiale possono avviare risposte automatizzate su misura per ciascun tipo di attacco specifico, bloccando IP dannosi [protocollo Internet], isolando host compromessi, applicando policy adattive e altro ancora. Tuttavia, la competenza umana rimane parte integrante, convalidando i risultati dell’intelligenza artificiale, applicando il pensiero critico e supervisionando le azioni di risposta autonome per garantire protezione senza interruzioni dell’attività.

La comprensione sfumata è ciò che gli esseri umani portano in tavola. Inoltre, l'analisi di minacce malware nuove e complesse richiede creatività e capacità di risoluzione dei problemi che potrebbero essere al di là della portata delle macchine.

La competenza umana è essenziale in diverse aree chiave:

• Convalida e contestualizzazione: i sistemi di intelligenza artificiale, nonostante la loro sofisticatezza, a volte possono generare falsi positivi o interpretare erroneamente i dati. Sono necessari analisti umani per convalidare i risultati dell’intelligenza artificiale e fornire il contesto necessario che l’intelligenza artificiale potrebbe trascurare. Ciò garantisce che le risposte siano adeguate e proporzionate alla minaccia effettiva.
• Indagine complessa sulle minacce: alcune minacce sono troppo complesse perché l’intelligenza artificiale possa gestirle da sola. Gli esperti umani possono approfondire questi incidenti, utilizzando la loro esperienza e intuizione per scoprire aspetti nascosti della minaccia che l’intelligenza artificiale potrebbe non cogliere. Questa intuizione umana è fondamentale per comprendere l’intera portata degli attacchi sofisticati e ideare contromisure efficaci.
• Processo decisionale strategico: sebbene l’intelligenza artificiale sia in grado di gestire attività di routine e l’elaborazione dei dati, le decisioni strategiche sulla strategia di sicurezza complessiva e sulle strategie di difesa a lungo termine richiedono il giudizio umano. Gli esperti possono interpretare gli insight generati dall’intelligenza artificiale per prendere decisioni informate sull’allocazione delle risorse, sui cambiamenti politici e sulle iniziative strategiche.
• Miglioramento continuo: gli analisti umani contribuiscono al miglioramento continuo dei sistemi di intelligenza artificiale fornendo feedback e dati di formazione. Le loro intuizioni aiutano a perfezionare gli algoritmi di intelligenza artificiale, rendendoli più accurati ed efficaci nel tempo. Questa relazione simbiotica tra competenze umane e intelligenza artificiale garantisce che entrambe evolvano insieme per affrontare le minacce emergenti.

Teaming uomo-macchina ottimizzato

Alla base di questa transizione c’è la necessità di sistemi di intelligenza artificiale in grado di apprendere dai dati storici (apprendimento supervisionato) e si adattano continuamente per rilevare nuovi attacchi attraverso approcci di apprendimento non supervisionati/rinforzati. La combinazione di questi metodi sarà fondamentale per stare al passo con l’evoluzione delle capacità dell’intelligenza artificiale degli aggressori.

Nel complesso, l’intelligenza artificiale sarà fondamentale affinché i difensori possano ampliare le proprie capacità di rilevamento e risposta. Le competenze umane devono rimanere strettamente integrate per indagare su minacce complesse, verificare i risultati del sistema di intelligenza artificiale e guidare strategie difensive strategiche. Un modello ottimizzato di teaming uomo-macchina è l’ideale per il futuro.

Man mano che enormi volumi di dati sulla sicurezza si accumulano nel tempo, le organizzazioni possono applicare l’analisi dell’intelligenza artificiale a questo tesoro di telemetria per ricavare informazioni utili per la caccia proattiva alle minacce e il rafforzamento delle difese. L’apprendimento continuo dagli incidenti precedenti consente la modellazione predittiva di nuovi modelli di attacco. Con l’avanzare delle capacità dell’intelligenza artificiale, aumenterà il ruolo di modelli linguistici piccoli e specializzati, adattati a specifici casi d’uso della sicurezza. Questi modelli possono aiutare a ridurre ulteriormente la “fatica da avvisi” classificando con precisione gli avvisi più essenziali per l’analisi umana. La risposta autonoma, basata sull’intelligenza artificiale, può anche espandersi per gestire più attività di sicurezza di livello 1.

Tuttavia, il giudizio umano e il pensiero critico rimarranno indispensabili, soprattutto per gli incidenti di elevata gravità. Indubbiamente, il futuro è quello di un team ottimizzato uomo-macchina, in cui l’intelligenza artificiale gestisce voluminosi elaborazioni di dati e attività di routine, consentendo agli esperti umani di concentrarsi sull’indagine di minacce complesse e su strategie di sicurezza di alto livello.