Nel settore della cyber security se ne sente parlare continuamente e, in qualche caso, il rischio è che il riferimento continuo a machine learning e intelligenza artificiale (AI) si trasformi in qualcosa che viene percepito solo come uno slogan buono per promuovere i nuovi software di sicurezza. In realtà, l’utilizzo degli algoritmi di AI rappresenta uno strumento prezioso ormai integrato in molti tool di protezione e che consente di migliorare radicalmente il livello di sicurezza dell'infrastruttura IT dell’azienda.
L’AI nella cyber security: individuare e filtrare i messaggi di phishing
Anche nel 2020, il principale vettore di attacco utilizzato dai pirati informatici è la posta elettronica. La differenza, rispetto a 20 o 15 anni fa, è che le minacce sono più variegate e le tecniche di attacco decisamente più raffinate rispetto alle semplici campagne di spam che puntavano a diffondere malware. Sul gradino più alto del podio, per quanto riguarda l’attività di hacking, c’è ancora il phishing, cioè le tecniche che puntano a sottrarre alle vittime le credenziali di accesso ai servizi online. Dal punto di vista di un’azienda, queste azioni rischiano di creare grossi problemi soprattutto in relazione al fenomeno del credential stuffing, l’uso di credenziali rubate per accedere a servizi collaterali per i quali gli utenti hanno usato lo stesso username e password. In questo ambito, l’uso dell’AI consente di individuare e filtrare i messaggi di phishing con estrema efficienza, decisamente superiore a quanto sarebbe possibile fare con black list e regole.
Cyber security, l'AI contro lo spear phishing
Nel panorama della cyber security aziendale, la vera emergenza è però legata allo spear phishing (attacchi mirati basati su tecniche di ingegneria sociale) e alle cosiddette BEC (Business Email Compromise) che sfruttano uno schema in cui i truffatori impersonano fornitori e partner dell’impresa per dirottare i pagamenti di fatture legittime verso conti correnti sotto il controllo dei pirati informatici. L’adozione di strumenti di analisi basati su AI e machine learning, in questo ambito, consente di mettere in relazione i messaggi con i dati conosciuti dei soggetti coinvolti e individuare eventuali anomalie, per esempio le coordinate bancarie, che possono essere un indice di rischio.
AI, cyber security e monitoraggio della rete
Il contributo più significativo di AI e machine learning, però, è quello derivante dall’integrazione dei sistemi evoluti all’interno dei sistemi di detect and response, che consentono di monitorare le attività dei dispositivi (sia a livello di processi sia di funzionalità). Ciò permette di affiancare alle regole di correlazione statiche, basate su pattern di attacco conosciuti, un sistema di rilevamento dei comportamenti anomali all’interno delle infrastrutture IT. Da questo punto di vista, la strategia è quella di usare i sistemi di intelligenza artificiale per stabilire una baseline che definisce le normali attività e concentrare l’attenzione sui comportamenti che si discostano da questa e che possono rappresentare degli indici di compromissione dei sistemi aziendali.
La cyber security e l'AI nell'analisi dell'user behaviour
Un approccio simile consente, inoltre, di controllare l’attività a livello di cloud (soprattutto per quanto riguarda l’accesso e l’utilizzo dei servizi erogati attraverso la formula del software as a service), facendo riferimento al comportamento dei singoli utenti. Si tratta di un livello in cui i tradizionali sistemi di controllo basati su endpoint hanno uno scarso livello di efficacia e che richiedono pertanto un approccio evoluto. Anche in questo caso l’attività degli algoritmi di AI prende le mosse dalla definizione di modelli di comportamenti “normali” individuati sulla base di parametri come gli orari di accesso, la geolocalizzazione e il tipo di dispositivi utilizzati. Ogni evento anomalo, che si discosta cioè dallo schema abituale, rappresenta un “flag” che attiva controlli ulteriori e consente così di individuare tempestivamente eventuali attività dannose.