Connect with us

Sicurezza informatica

Il Futuro della Sicurezza Informatica: AI, Automazione e Fattore Umano

mm
Published
Updated

Nel corso dell’ultimo decennio, insieme alla crescita esplosiva della tecnologia dell’informazione, la realtà oscura delle minacce alla sicurezza informatica è evoluta in modo drammatico. Gli attacchi informatici, un tempo guidati principalmente da hacker malintenzionati alla ricerca di notorietà o guadagno finanziario, sono diventati molto più sofisticati e mirati. Dalla spionaggio sponsorizzato da stati a furto d’identità e corporate, le motivazioni dietro la cybercriminalità sono sempre più sinistre e pericolose. Anche se il guadagno monetario rimane una ragione importante per la cybercriminalità, è stato oscurato da obiettivi più nefasti come il furto di dati e asset critici. Gli attaccanti informatici sfruttano ampiamente tecnologie all’avanguardia, tra cui l’intelligenza artificiale, per infiltrarsi nei sistemi e condurre attività maliziose. Negli Stati Uniti, l’FBI ha segnalato oltre 800.000 reclami relativi a reati informatici nel 2022, con perdite totali superiori a 10 miliardi di dollari, superando il totale di 6,9 miliardi di dollari del 2021, secondo il centro di reclami per reati informatici dell’FBI.

Con il panorama delle minacce in rapida evoluzione, è giunto il momento per le organizzazioni di adottare un approccio multifase alla sicurezza informatica. L’approccio dovrebbe essere quello di affrontare come gli attaccanti guadagnano accesso; prevenire il compromesso iniziale; rilevare prontamente le intrusioni; e consentire una risposta e una messa in sicurezza rapide. La protezione degli asset digitali richiede lo sfruttamento del potere dell’AI e dell’automazione, garantendo al contempo che gli analisti umani esperti rimangano integrali alla postura di sicurezza.

La protezione di un’organizzazione richiede una strategia a più strati che tenga conto dei diversi punti di ingresso e vettori di attacco utilizzati dagli avversari. In generale, questi rientrano in quattro categorie principali: 1) Attacchi web e di rete; 2) Attacchi basati sul comportamento degli utenti e sull’identità; 3) Attacchi contro entità che prendono di mira ambienti cloud e ibridi; e 4) Malware, compresi ransomware, minacce persistenti avanzate e altri codici maligni.

Sfruttando l’AI e l’Automazione

La distribuzione di modelli di AI e machine learning (ML) personalizzati per ciascuna di queste classi di attacchi è fondamentale per la rilevazione e la prevenzione proattiva delle minacce. Per gli attacchi web e di rete, i modelli devono identificare minacce come phishing, sfruttamento del browser e attacchi di negazione del servizio distribuiti (DDoS) in tempo reale. L’analisi del comportamento degli utenti e delle entità che sfrutta l’AI può rilevare attività anomale indicative di compromissione di account o uso improprio di risorse di sistema e dati. Infine, l’analisi del malware guidata dall’AI può rapidamente triare nuove varianti, individuare il comportamento maligno e mitigare l’impatto delle minacce basate su file. Implementando modelli di AI e ML in tutta la gamma di superfici di attacco, le organizzazioni possono notevolmente migliorare la loro capacità di identificare autonomamente gli attacchi nelle fasi iniziali, prima che si trasformino in incidenti su larga scala.

Una volta che i modelli di AI/ML hanno identificato attività di minaccia potenziale in vari vettori di attacco, le organizzazioni si trovano di fronte a un’altra sfida chiave: dare un senso ai frequenti avvisi e separare gli incidenti critici dal rumore. Con così tanti punti di dati e rilevamenti generati, applicare un altro strato di AI/ML per correlare e priorizzare gli avvisi più gravi che richiedono ulteriore indagine e risposta diventa cruciale. La stanchezza degli avvisi è un problema sempre più critico che deve essere risolto.

L’AI può svolgere un ruolo fondamentale in questo processo di triage degli avvisi, ingerendo e analizzando grandi volumi di telemetria della sicurezza, fondendo informazioni da più fonti di rilevamento, tra cui informazioni sulle minacce, e presentando solo gli incidenti di alta fedeltà per la risposta. Ciò riduce il carico di lavoro sugli analisti umani, che altrimenti sarebbero sommersi da falsi positivi diffusi e avvisi a bassa fedeltà che mancano di un contesto adeguato per determinare la gravità e i passaggi successivi.

Sebbene gli attori delle minacce abbiano attivamente distribuito l’AI per alimentare attacchi come DDoS, phishing mirato e ransomware, il lato difensivo è rimasto indietro nell’adozione dell’AI. Tuttavia, questo sta cambiando rapidamente poiché i fornitori di sicurezza si affrettano a sviluppare modelli di AI/ML avanzati in grado di rilevare e bloccare queste minacce alimentate dall’AI.

Il futuro per l’AI difensiva sta nel distribuire modelli di linguaggio specializzati e di piccole dimensioni personalizzati per tipi di attacco e casi d’uso specifici, piuttosto che affidarsi solo a modelli di AI generativi di grandi dimensioni. I modelli di linguaggio di grandi dimensioni, al contrario, mostrano maggiore promessa per le operazioni di sicurezza informatica, come l’automatizzazione delle funzioni di help desk, il recupero delle procedure operative standard e l’assistenza agli analisti umani. Il lavoro pesante della rilevazione e prevenzione delle minacce sarà gestito al meglio dai modelli di AI/ML specializzati e di piccole dimensioni.

Il Ruolo dell’Esperto Umano

È cruciale utilizzare l’AI/ML insieme all’automazione dei processi per consentire una risposta rapida e una messa in sicurezza delle minacce verificate. A questo stadio, dotati di incidenti ad alta fiducia, i sistemi AI possono avviare risposte automatiche personalizzate per ogni tipo di attacco specifico – bloccando gli indirizzi IP maligni, isolando gli host compromessi, applicando politiche adattive e altro ancora. Tuttavia, l’esperienza umana rimane fondamentale, validando le uscite dell’AI, applicando il pensiero critico e sovrintendendo alle azioni di risposta autonome per garantire la protezione senza interruzioni aziendali.

La comprensione sfumata è ciò che gli esseri umani portano alla tavola. Inoltre, l’analisi di nuove e complesse minacce di malware richiede creatività e capacità di risoluzione dei problemi che possono essere al di là della portata delle macchine.

L’esperienza umana è essenziale in diverse aree chiave:

  • Convalida e Contestualizzazione: i sistemi AI, nonostante la loro sofisticatezza, possono a volte generare falsi positivi o fraintendere i dati. Gli analisti umani sono necessari per convalidare le uscite dell’AI e fornire il contesto necessario che l’AI potrebbe trascurare. Ciò garantisce che le risposte siano adeguate e proporzionate alla minaccia reale.
  • Indagine su Minacce Complesse: alcune minacce sono troppo complesse per l’AI da gestire da sola. Gli esperti umani possono approfondire ulteriormente questi incidenti, utilizzando la loro esperienza e intuizione per scoprire aspetti nascosti della minaccia che l’AI potrebbe perdere. Questa comprensione umana è cruciale per comprendere appieno gli attacchi sofisticati e ideare contromisure efficaci.
  • Decisioni Strategiche: mentre l’AI può gestire attività di routine e l’elaborazione dei dati, le decisioni strategiche sulla postura di sicurezza generale e le strategie di difesa a lungo termine richiedono il giudizio umano. Gli esperti possono interpretare le informazioni generate dall’AI per prendere decisioni informate sull’allocazione delle risorse, sui cambiamenti di politica e sulle iniziative strategiche.
  • Miglioramento Continuo: gli analisti umani contribuiscono al miglioramento continuo dei sistemi AI fornendo feedback e dati di formazione. Le loro intuizioni aiutano a raffinare gli algoritmi dell’AI, rendendoli più precisi ed efficaci nel tempo. Questa relazione simbiotica tra esperienza umana e AI garantisce che entrambi evolvano insieme per affrontare le minacce emergenti.

Ottimizzazione del Team Umano-Macchina

Sottostante a questo passaggio è la necessità di sistemi AI che possano apprendere da dati storici (apprendimento supervisionato) e adattarsi continuamente per rilevare nuovi attacchi attraverso approcci di apprendimento non supervisionato/renforzato. Combinare questi metodi sarà fondamentale per stare al passo con le capacità dell’AI in evoluzione degli attaccanti.

In generale, l’AI sarà cruciale per i difensori per scalare le loro capacità di rilevamento e risposta. L’esperienza umana deve rimanere strettamente integrata per indagare su minacce complesse, verificare le uscite dei sistemi AI e guidare le strategie difensive strategiche. Un modello di teaming umano-macchina ottimizzato è ideale per il futuro.

Man mano che si accumulano grandi volumi di dati di sicurezza nel tempo, le organizzazioni possono applicare l’analisi AI a questo tesoro di telemetria per derivare informazioni per la caccia proattiva alle minacce e il rafforzamento delle difese. L’apprendimento continuo da incidenti precedenti consente la modellazione predittiva di nuovi modelli di attacco. Man mano che le capacità dell’AI avanzano, il ruolo dei modelli di linguaggio specializzati e di piccole dimensioni personalizzati per specifici casi d’uso di sicurezza crescerà. Questi modelli possono aiutare a ridurre ulteriormente la “stanchezza degli avvisi” triando con precisione gli avvisi più essenziali per l’analisi umana. La risposta autonoma, alimentata dall’AI, può anche espandersi per gestire più attività di sicurezza di livello 1.

Tuttavia, il giudizio e il pensiero critico umani rimarranno indispensabili, soprattutto per incidenti ad alta gravità. Indubbiamente, il futuro è uno di teaming umano-macchina ottimizzato, in cui l’AI gestisce l’elaborazione dei dati voluminosi e le attività di routine, consentendo agli esperti umani di concentrarsi sull’indagine di minacce complesse e sulla strategia di sicurezza di alto livello.

Related Topics:
mm

Anand Naik, Co-founder e CEO, Sequretek, ha lavorato nel mondo aziendale per oltre 25 anni con aziende come Symantec dove era il MD per il Sud Asia, e in precedenza con IBM e Sun Microsystems in ruoli tecnologici. Anand è un esperto di materia in Cyber Security. Ha lavorato con diversi giganti globali aiutandoli a definire la loro strategia di sicurezza IT, architettura e modelli di esecuzione. È tra i principali leader di pensiero in Cyber Security e ha partecipato a vari programmi di politica con il Governo dell'India e altri organismi del settore. È responsabile della visione del prodotto e delle operazioni presso Sequretek.