Machine learning e AI: a caccia di bug. Gli strumenti giusti
Il machine learning e l’AI stanno ridefinendo ogni aspetto della cybersecurity. A partire dal miglioramento della capacità delle organizzazioni di anticipare e contrastare le violazioni - proteggendo le sempre più estese superfici soggette a minaccia con i framework di sicurezza Zero Trust - queste due tecnologie hanno assunto un ruolo essenziale nel rendere più sicuri i perimetri di qualsiasi azienda. Anche aiutando a scoprire i bug di sicurezza o le vulnerabilità della rete.
Perché machine learning e AI sono essenziali per la cybersecurity
Sono diversi i motivi per cui machine learning e AI hanno assunto un ruolo fondamentale nell’ambito della cybersecurity. Primo tra tutti, attraverso la combinazione di queste tecnologie i sistemi di sicurezza possono analizzare i modelli e imparare da essi per aiutare a prevenire attacchi simili e rispondere ai cambiamenti di comportamento. Possono anche aiutare i team di cybersecurity a essere più proattivi nel prevenire le minacce e rispondere agli attacchi attivi in tempo reale. Inoltre, machine learning e AI aiutano a ridurre la quantità di tempo speso in compiti di routine, consentendo alle organizzazioni di utilizzare le loro risorse in modo più strategico.
In breve: machine learning e AI possono rendere la cybersecurity più semplice, più proattiva, meno costosa e molto più efficace.
Questo aspetto assume particolare importanza oggi che lo smart working e il cloud hanno ampiamente allargato il perimetro aziendale. E che, grazie in particolare al bring your own device (BYOD), gli endpoint si sono moltiplicati al punto che i responsabili della sicurezza IT faticano a tenere sotto controllo tutti i dispositivi usati dai dipendenti che hanno la possibilità di collegarsi alla rete aziendale. In questa situazione, poter affiancare ai sistemi di cybersecurity tradizionali anche il machine learning e l’AI consente di avere un importante aiuto nella prevenzione degli attacchi o, comunque, di agire prontamente limitando i danni qualora una minaccia dovesse raggiungere il suo scopo.
Allo stesso modo, è possibile agire proattivamente anche per individuare le vulnerabilità di una rete aziendale prima dei cyber criminali
Gli strumenti giusti e cosa permettono di rilevare
Quando parliamo di testare proattivamente il nostro ambiente o le nostre applicazioni per rilevare i bug di sicurezza o le vulnerabilità, stiamo essenzialmente parlando dell’uso di due strumenti: il vulnerability assessment e il penetration test (spesso sono eseguiti assieme). Queste attività sono dette di "ethical hacking" perché, in pratica, prevedono che si assuma il ruolo di hacker e si simuli un attacco, verificando come la rete aziendale risponde in termini di protezione e, soprattutto, se sono presenti punti deboli.
Vulnerability assessment e penetration test possono essere eseguiti da chi si occupa della sicurezza IT in azienda, ma solitamente si ricorre a provider esterni, che sono esperti nella ricerca della vulnerabilità. Però, proprio perché fa leva su una struttura esterna, per un processo delicato come questo è necessario puntare su provider di provata affidabilità, che ovviamene abbiano le competenze adatte a eseguire i test.
Common Vulnerability Scoring System: cos’è?
Al termine del vulnerability assessment o del penetration test si ottiene il Common Vulnerability Scoring System (CVSS): un report che riassume le caratteristiche principali delle vulnerabilità individuate con associato un punteggio numerico che ne quantifica la gravità e che può essere tradotto in una rappresentazione qualitativa (come basso, medio, alto e critico) per aiutare le organizzazioni a valutare l’entità dei problemi e dare priorità a eventuali interventi risolutivi. CVSS è uno standard usato dalle organizzazioni di tutto il mondo.
Va precisato che sia il vulnerability assessment sia il penetration test permettono di ottenere un risultato dello stato delle vulnerabilità riferito solo al momento in cui vengono eseguiti i test. Per cui, per avere la certezza che si mantenga sempre il medesimo livello di sicurezza in azienda, i test andrebbero eseguiti con una certa frequenza.
Come machine learning e AI facilitano la ricerca dei bug
Nel corso del tempo, vulnerability assessment e penetration test si sono evoluti, passando da processi completamente manuali, che solo poche persone sapevano fare, a processi automatizzati e piuttosto diffusi. In tali processi l’uso del machine learning e dell’AI è di grande aiuto per riuscire a effettuare in un tempo ragionevole l’analisi di tutta l’infrastruttura racchiusa all’interno del perimetro aziendale. Procedura che, invece, se eseguita manualmente, può richiedere anche giorni.
Più in dettaglio, l’esecuzione di vulnerability assessment e penetration test avviene in modalità abbastanza simili. Si parte raccogliendo quante più informazioni possibili sull’infrastruttura IT, sulle porte e sui servizi aperti. Successivamente si identificano i test da eseguire, poi li si esegue e quindi si redige il CVSS.
Machine learning e AI possono essere protagonisti in ciascuna delle fasi consentendo non solo di automatizzare le procedure ma anche di velocizzare sia le analisi dei sistemi, sia l’identificazione dei test da eseguire sia, ancora, la “compilazione” del CVSS.
La resilienza oltre la protezione
Nel futuro del vulnerability assessment e del penetration test c’è sicuramente un più ampio impiego di machine learning e AI per avere risultati più accurati e valutazioni più efficienti. Tuttavia, è ragionevole pensare che i tester dovranno ancora fare affidamento sulla loro esperienza e conoscenza per decidere alla fine qual è la migliore linea d'azione per ottenere la valutazione finale.
Risulta comunque evidente che quando si parla di sicurezza, machine learning e AI assumono grande importanza non solo per avere una maggiore protezione dalle minacce ma anche per aumentare la resilienza aziendale nel suo insieme.