Quello della sicurezza informatica è stato uno dei primi settori a cominciare a sfruttare le tecnologie di intelligenza artificiale. In una logica di contrasto all’attività dei cyber criminali, infatti, la versatilità offerta dall’AI rappresenta uno strumento estremamente utile per tenere il passo con le tecniche sempre più complesse e dinamiche utilizzate dai pirati informatici per violare i sistemi aziendali. Il contributo dell’intelligenza artificiale per la cybersecurity, però, ha ancora ampi margini di sviluppo.
Il ruolo dell'intelligenza artificiale e machine learning nella cybersecurity
Intelligenza artificiale e machine learning (AI e ML) giocano già oggi un ruolo cruciale nel campo della cybersecurity, fornendo strumenti avanzati per identificare, prevenire e rispondere alle minacce in modo più efficiente.
Le soluzioni AI e ML possono infatti intervenire nel potenziamento delle misure difensive sotto molteplici aspetti. Ad esempio, gli algoritmi di apprendimento automatico semplificano e accelerano il processo di anomaly detection, permettendo di rilevare eventi sospetti o attività malevole. L’intelligenza artificiale può essere integrata nei sistemi di rilevamento e risposta agli incidenti, automatizzando le azioni controffensive in funzione della tipologia di attacco. Il machine learning consente di implementare sistemi di crittografia più sicuri, proteggendo i dati sensibili da accessi non autorizzati.
Secondo le ultime ricerche dell’Osservatorio Data Security and Protection, il 56% delle imprese italiane ha già introdotto tecnologie di intelligenza artificiale in cybersecurity e il 22% sta impiegando i nuovi strumenti in modo estensivo. Nello specifico, gli utilizzi più comuni riguardano principalmente la possibilità di individuare possibili deviazioni da schemi comportamentali tipici (73%), identificare nuove potenziali minacce e vulnerabilità zero-day (70%) o intercettare correlazioni tra eventi per agire in ottica preventiva (70%).
Di seguito vengono approfondite in dettaglio alcune delle principali applicazioni dell’intelligenza artificiale e del machine learning nell’ambito della cybersecurity.
Il machine learning per individuare i malware
La prima applicazione dell’AI nella sicurezza informatica riguarda il classico sistema delle signature, cioè il sistema di catalogazione dei malware utilizzato per la rilevazione dei file malevoli. L’adozione di tecniche di intelligenza artificiale per la cybersecurity ha consentito, infatti, di potenziare le tecnologie dedicate all’individuazione dei malware, allargando il raggio d’azione degli antivirus per rilevare le possibili varianti dei malware.
Tuttavia, l’eterogeneità delle minacce oggi è difficile da tenere sotto controllo. Secondo l’ultimo Rapporto Clusit, il malware è ancora la tecnica prediletta dal cybercrime con il 36% delle casistiche, ma comprende tuttavia un’ampia varietà di codici malevoli - il ransomware è in assoluto la categoria utilizzata più di frequente. Il riconoscimento è difficile, soprattutto se si pensa che il 21% sul totale degli incidenti è stato perpetrato con tecniche sconosciute.
L’introduzione dell’AI ha dunque permesso di “alzare l’asticella”, migliorando le prestazioni dei tradizionali software di protezione e rendendo la vita più difficile ai criminali. Nel processo evolutivo della cybersecurity, però, l’intelligenza artificiale non si ferma qui.
La logica della detection and response
Nel quadro attuale della sicurezza informatica, il classico approccio basato sul concetto della “difesa del perimetro” viene considerato superato per due motivi. Da un lato, l'evoluzione dei sistemi IT aziendali, in cui il concetto stesso di perimetro è ormai evaporato, ha lasciato il posto a un network allargato in cui è difficile (se non impossibile) individuare dei confini precisi; dall’altro, le nuove tecniche di attacco dei criminali sono spesso basate sul social engineering e soggette a un processo di crescita, che ha portato gli esperti di sicurezza informatica a riconsiderare le strategie stesse di cybersecurity.
Il monito ripetuto frequentemente alle aziende è infatti quello di non domandarsi “se” subiranno un attacco, ma “quando” subiranno un attacco. Nessun comparto è al sicuro in tal senso: come dichiara il Clusit, sebbene la quota maggiore di aziende attaccate appartenga ai settori sanitario, governativo/militare e finanziario, le vittime sono distribuite su tutti i verticali. Spaventano i numeri relativi alla crescita di incidenti a danno di alcuni comparti: si pensi a manifattura (+25%), e finanza (+62%).
In altre parole, di fronte all’accresciuto attivismo da parte dei cyber criminali, ogni potenziale bersaglio deve partire dal presupposto che, prima o poi, finirà nel mirino degli hacker. In quest’ottica, le strategie di difesa devono ispirarsi alla logica della detection and response: rilevare l’attacco il prima possibile e contrastarlo efficacemente.
È proprio qui che il ruolo dell’intelligenza artificiale per la cybersecurity gioca un ruolo fondamentale.
Come l'AI può migliorare la sicurezza informatica
La capacità di individuare prima possibile qualsiasi attività sospetta all’interno della rete rappresenta il fondamento della cybersecurity nella sua declinazione “moderna”. Il punto di partenza è l’implementazione di strumenti di monitoraggio che permettano di registrare, analizzare e ordinare tutti gli eventi all’interno del network che possano avere una rilevanza a livello di sicurezza.
Questa attività di controllo, necessariamente attiva 24/7, prevede la supervisione di professionisti in grado di interpretare gli alert, valutarne il possibile impatto e predisporre le contromisure. Un compito estremamente delicato, che i sistemi di intelligenza artificiale possono coadiuvare consentendo, per esempio, di “scremare” le notifiche evidenziando quelle più rilevanti o significative. In altre parole, l’AI consente di alleggerire il lavoro degli analisti, limitare il campo del monitoraggio e concentrare le energie su ciò che è davvero importante.
Si tratta di opportunità preziose che rispondono a determinate esigenze di mercato. Non stupisce, in questo senso, la forte espansione che caratterizza il mercato dei Network Analytics, ovvero le soluzioni che supportano le attività di monitoraggio delle reti in tempo reale per intercettare eventi anomali e risolvere eventuali criticità di sicurezza. Secondo Global Market Insights, il tasso di crescita annuale previsto nel periodo 2023-2032 si attesta attorno al 19% partendo da un valore globale pari a 3,5 miliardi di dollari.
Quali sono i vantaggi dell'intelligenza artificiale per la cybersecurity
Agendo in campi e prospettive differenti, l’intelligenza artificiale si rivela un alleato prezioso per la protezione degli ecosistemi informativi aziendali. In particolare, permette di conseguire una serie di vantaggi significativi:
- Rilevamento avanzato delle minacce, grazie alla capacità di elaborare enormi volumi di dati e intercettare i segnali di potenziali eventi malevoli. Il 74% delle imprese riporta che le minacce alimentate dall’intelligenza artificiale stanno avendo un impatto significativo sulla loro organizzazione interna, evidenziando l’importanza di adottare approcci avanzati per il rilevamento degli attacchi.
- Risposta rapida agli attacchi, grazie alla possibilità di automatizzare, ottimizzare e accelerare le azioni controffensive, minimizzando i tempi di inattività e mitigando i danni dell’incidente. Questo aspetto è cruciale, considerando che il 60% delle aziende si ritiene inadeguato nel tutelarsi dagli attacchi basati sull'intelligenza artificiale.
- Automazione delle attività di sicurezza, come la gestione delle identità, l'analisi dei log e la correzione delle vulnerabilità, riducendo la dipendenza dal lavoro manuale e migliorando la capacità di risposta. Il 96% delle aziende che adotta soluzioni di sicurezza basate su intelligenza artificiale migliorano velocità ed efficienza delle attività di prevenzione, rilevamento, risposta e ripristino.
- Difesa sempre aggiornata poiché gli algoritmi di machine learning possono essere addestrati continuamente con nuovi dati per adattarsi alle minacce emergenti;
- Riduzione dei falsi positivi nel processo di rilevamento delle minacce, così da ridurre il tempo impiegato nell’analisi di allarmi non pertinenti e consentire un focus maggiore sulle minacce più critiche.
Intelligenza artificiale per la cybersecurity: il futuro
Se le applicazioni più diffuse nel contesto attuale prevedono l’analisi degli eventi e delle minacce (detection), gli strumenti di nuova generazione che sfruttano tecnologie di AI nell’ambito della sicurezza sono orientate prevalentemente al contrasto degli attacchi in ottica di response.
Si collocano in questa prospettiva, per esempio, i sistemi di automation e orchestration deputati a mettere in atto automaticamente le azioni che consentono di bloccare la diffusione di un malware o mitigare il danno dell’attacco. Insomma: le applicazioni dell’intelligenza artificiale per la cybersecurity sono già numerose e gli operatori del settore lavorano incessantemente per ampliarne il raggio d’azione, per cui è fondamentale restare aggiornati.
