Sebbene vi sia un marcato dibattito pubblico su come l’intelligenza artificiale e l’apprendimento automatico possano sostituire l’intelletto umano, i posti di lavoro e addirittura l’umanità stessa, il futuro degli esseri umani non sembra sarà oscurato dalle macchine. Anzi, a fronte della carenza di talenti nel campo quanto mai critico della sicurezza informatica, è importante poter contare su tecnologie come l’apprendimento automatico per ampliare le capacità degli esseri umani. Inoltre, finché dietro la cybercriminalità e la guerra informatica gli avversari sono esseri umani, sarà sempre necessario un intervento dell’intelligenza umana, unita alla tecnologia.
Per approfondire questo tema, McAfee ha commissionato a 451 Research una ricerca all’interno di uno dei suoi rapporti Pathfinder Advisories. Il report, intitolato “Machine Learning Raises Security Teams to the Next Level” esprime bene il concetto di “cooperazione uomo-macchina” nella cybersecurity. Inoltre, all’interno del report vengono identificati i modi in cui è possibile fare ricorso all’apprendimento automatizzato per affrontare e superare le sfide poste dalla sicurezza informatica nonostante il numero insufficiente di professionisti specializzati in sicurezza.
Tra i principali temi emersi dalla ricerca:
– Grazie all’apprendimento automatico i team di sicurezza sono meglio informati e possono prendere decisioni migliori. I responsabili della sicurezza sanno bene che l’intelligenza e la creatività dei loro esperti operativi di security sono risorse aziendali fondamentali. L’apprendimento automatico è una tecnologia che consente ai responsabili della sicurezza (CSO) di sfruttare al meglio le loro risorse umane e i prodotti di sicurezza a loro disposizione.
– Gli avversari sono umani e introducono costantemente nuove tecniche di attacco. Le nuove tattiche creative e le strategie usate dagli avversari spingono i team di security a utilizzare l’apprendimento automatico per automatizzare la scoperta di nuovi metodi di attacco. Dall’altra parte, la soluzione creativa dei problemi e l’intelligenza unica del team di sicurezza rafforzano la risposta.
– L’apprendimento automatico diventa più preciso quanti più sono i dati disponibili per alimentare i suoi algoritmi. I miglioramenti nella gestione dei big data utilizzando architetture di archiviazione ad alte prestazioni e capacità elevata hanno favorito lo sviluppo dell’intelligenza artificiale.
– Un aiuto ai team IT per l’analisi dei guasti. In quei casi rari in cui la sicurezza degli endpoint non può impedire che si verifichino danni a seguito di un attacco, l’apprendimento automatico immagazzina serie di dati rilevanti in un unico punto, mettendoli a disposizione degli analisti di sicurezza qualora necessario.
– La collaborazione tra uomo e macchina rende la sicurezza degli endpoint più efficace. Con la mole di nuove minacce introdotte, i team di security da soli non sono in grado di sostenerne il volume e le macchine da sole non possono dare risposte creative. I team uomo-macchina rendono più efficace la sicurezza degli endpoint senza impattare sulle prestazioni o sull’esperienza dell’utente.
“Quando implementiamo il machine learning in modo più approfondito nelle nostre difese informatiche, dobbiamo riconoscere che gli esseri umani sono bravi a fare certe cose e le macchine sono brave a farne altre – commenta Ferdinando Torazzi, Regional Director, Italy and Greece di McAfee -. I migliori risultati verranno dall’integrazione dei due mondi. Le macchine sono perfette per elaborare grandi quantità di dati e per eseguire operazioni che richiedono grande impegno di risorse. Gli esseri umani sono dotati di intelligenza strategica e possono comprendere il modo in cui un attacco potrebbe agire anche se non lo hanno mai visto prima”.
La cibersicurezza è molto diversa da altri campi che utilizzano big data, analytics e machine learning, perché si ha a che fare con avversari che cercano di fare reverse engineering dei modelli tecnologici e di eludere le capacità degli esperti di sicurezza. Le tecnologie di sicurezza come i filtri anti-spam, le scansioni di virus e il sandboxing sono ancora parte delle piattaforme di protezione, ma il loro interesse da parte del mercato si è un po’raffreddato dal momento che i criminali informatici hanno cominciato a perfezionare le loro tecniche per eludere queste tecnologie.
Sulla base delle informazioni ricevute, gli addetti alla sicurezza IT di fronte a un attacco possono anticipare le nuove tecniche di evasione, exploit e altre tattiche in modi che i modelli di rilevamento basati sul passato non riescono a fare. Una delle aree principali in cui questo si applica è la ricostruzione degli attacchi, dove la tecnologia valuta ciò che è accaduto all’interno dell’ambiente informatico e poi un essere umano lavora alla ricostruzione dello scenario.
Anche l’impegno per orchestrare le risposte agli incidenti di sicurezza può trarre enormi vantaggi dal machine learning, in particolare quando è necessario un insieme complesso di azioni per risolvere un incidente cibernetico. Alcune di queste azioni potrebbero avere conseguenze molto gravi per le reti. La presenza un essere umano nel ciclo non solo aiuta a guidare le fasi del processo di orchestrazione, ma valuta anche se le azioni richieste sono appropriate per il livello di rischio in questione.
“La collaborazione tra uomo e macchina aggiunge qualcosa in più alla valutazione attuata dalla tecnologia di sicurezza, immettendo nuove informazioni all’analisi di intelligence delle minacce, alla ricostruzione degli attacchi e all’orchestrazione della risposta agli incidenti informatici: un quid dato dall’intelletto, che solo un essere umano può dare – conclude Torazzi -. Ciò può dare i risultati migliori in tutti gli aspetti della sicurezza informatica. E oggi, più che mai, nella sicurezza informatica avere migliori risultati è ciò che fa la differenza”.
Il report di 451 Research afferma che l’apprendimento automatico si manifesterà ottimizzando l’esperienza dei professionisti di cyber security, segnando automaticamente il comportamento sospetto e rendendo disponibili automaticamente dati d’indagine e risposta di alto valore. In questo modo, i team della sicurezza IT avranno la possibilità di disattivare rapidamente gli avvisi e accelerare le soluzioni atte a bloccare le nuove minacce.