Qui di seguito vi proponiamo un articolo a cura di Massimiliano Galvagna, Country Manager Italia di Vectra AI, che suggerisce quattro domande da porre ai vendor di cybersecurity per testare la loro esperienza in materia di AI.
Buona lettura.
È bene fare domande. Quando assumiamo un dipendente, gliene facciamo molte: sulle sue capacità e sui traguardi precedenti, ma anche su come pensa di portare valore all’azienda nella sua nuova posizione. Dovremmo applicare la stessa due diligence all’Intelligenza Artificiale. In Italia si stanno esplorando, sperimentando e implementando su scala i casi d’uso di chatbot, machine learning, analisi predittiva, big data e altro ancora. Nel 2021 è stata definita la “Strategia italiana per l’Intelligenza Artificiale”, alla base del programma italiano nell’ambito del Piano Coordinato europeo, e sono state poste le basi per la nascita dell’Istituto Italiano per l’Intelligenza Artificiale (I3A), hub nazionale che avrà lo scopo di coordinare le diverse attività di ricerca e contribuire allo sviluppo dell’intelligenza artificiale. Secondo l’Osservatorio Artificial Intelligence del Politecnico di Milano, il mercato dell’AI in Italia è cresciuto del 27% nel 2021, raggiungendo quota 380 milioni di euro, un valore raddoppiato in appena due anni.
Tuttavia, proprio come i candidati oggi cercano di apparire al meglio sulle proprie pagine social, lo stesso deve fare l’AI. Le sue capacità, i suoi limiti, le sue implicazioni e persino le sue motivazioni sono state discusse nei forum pubblici, spesso con l’effetto di oscurare o esagerare la verità. Lo stesso termine “AI” è spesso usato come termine di paragone – soprattutto nel campo della sicurezza informatica – per tecnologie misteriose e “black-box” che pretendono di essere la panacea di qualsiasi problema dell’azienda. Molte di esse sono costituite da algoritmi euristici (basati su regole e ramificazioni) che, pur mostrando una certa intelligenza superficiale, non sono dotate di AI. Questo uso improprio del termine ha portato a un diffuso fraintendimento e sensazionalismo da parte dei media, come è accaduto di recente quando un membro del team Responsible AI di Google è stato licenziato per aver affermato che il framework di chatbot LaMDA (Language Model for Dialogue Applications) dell’azienda era senziente.
Non ci vuole molto, a quanto pare, perché le persone ricolleghino queste storie a incubi fantascientifici di macchine che sbuffano, si dimettono e/o si ribellano. Tuttavia, è importante capire che l’AI – quella vera e propria che aggiunge valore invece di scatenare un’apocalisse – è soggetta a due diligence come qualsiasi altra tecnologia acquistata. E ciò vale anche per l’AI impiegata nel rilevamento delle minacce informatiche. È fondamentale determinare se i sistemi “AI-powered” stanno facendo ciò che dovrebbero fare. Le soluzioni euristiche sono ottime per segnalare le anomalie, ma non sono in grado di aggiungere un contesto operativo, in cui l’anomalia viene analizzata insieme a risultanze simili nel corso del tempo per valutare la probabilità di un’incursione e classificare la scoperta in modo appropriato.
Se l’AI deve occupare il posto che le spetta nel campo della cybersecurity, le soluzioni devono essere in grado di andare oltre l’identificazione di un vettore o di una metodologia. Dovrebbero essere in grado di dedurre gli obiettivi dei criminali informatici e di anticipare metodi di attacco che non sono ancora stati incontrati. E dovrebbero essere scalabili senza compromettere le prestazioni. Per capire se una soluzione di cybersecurity cosiddetta “AI-fueled”, ovvero alimentata dall’intelligenza artificiale, fa quel che dice, è utile porre al vendor quattro domande essenziali.
- Individua anomalie o va a caccia di minacce?
Una scansione delle anomalie, se non è accompagnata da ulteriori informazioni, non consente piena visibilità ai team di sicurezza. La vera AI attinge a informazioni esterne all’organizzazione di destinazione. I prodotti che si limitano a individuare le anomalie non sono molto utili, perché non tutte le anomalie si rivelano una minaccia e molte minacce autentiche si prendono il tempo necessario per mascherare il proprio comportamento sotto forma di un’azione autorizzata o innocua. Le piattaforme di AI tengono conto di queste questioni, mentre le soluzioni non basate sull’intelligenza artificiale creano problemi aumentando l’ondata di avvisi e facendo gravare l’onere di analizzarli sui team di sicurezza, non riuscendo a individuare le minacce reali. Le soluzioni di AI analizzano i comportamenti e la cronologia per ridurre al minimo il rumore di sottofondo e fornire avvisi più contestuali e che permettono un’azione immediata.
- Quale posizione occupa?
Se l’AI è solo un componente aggiuntivo di una soluzione e viene utilizzata solo per risolvere problemi periferici, potrebbe essere sprecata. L’AI deve controllare i perimetri, ma anche affrontare le sfide fondamentali legate all’esecuzione. Deve essere centrale per la funzionalità e la gestione core di un sistema. In breve, è molto importante il luogo in cui l’AI viene impiegata e dove opera.
- E i progettisti?
Anche un’occhiata superficiale al team che ha progettato la soluzione di AI dice molto sulla stessa. Qual è il loro livello di scienza dei dati? E in materia di ricerca sulla sicurezza? E in psicologia? Nella progettazione di un’AI di valore entrano in gioco molte discipline e competenze diverse e vale la pena ricordare che anche le soluzioni di maggior valore devono essere poste in condizione di produrre quel valore. Per questo motivo, è necessario verificare gli impegni di assistenza del vendor o del system integrator. E chiedersi: aiuteranno l’azienda a ottenere il meglio dal suo investimento?
- Quali promesse fa?
Se una soluzione basata sull’AI viene presentata come una cura per tutti i mali, bisogna essere sospettosi. L’AI non vede tutto e non è nemmeno in grado di fare tutto. L’Italia, come molti altri Paesi in tutto il mondo, ha recentemente vissuto la più grande migrazione tecnologica collettiva della storia. Sono sorte nuove complessità: cloud ibrido, multi-cloud, una proliferazione di reti oscure di terze parti e di endpoint non autorizzati, la crescente popolarità di SaaS e PaaS. L’eccesso di promesse, d’altra parte, non è una tendenza nuova, ma ora che si è intensificata la pressione sul ruolo della cybersecurity, la tentazione di far passare l’AI come la panacea di tutti i mali potrebbe raggiungere il suo massimo storico. La strada migliore da percorrere è quella dell’esperienza, dell’agilità e della disponibilità all’iterazione. Con il tempo, la vera AI migliorerà, mentre le promesse eccessive verranno smentite dalla realtà.
La vera AI: segni distintivi
Se cercate una vera AI, scoprirete presto che ottimizzarla per la difesa informatica è un’arte sottile. Ma una volta che ve ne sarete resi conto, almeno non sarete più preda di vendor che cercano di spacciare una prossima grande scoperta. Inoltre, va ricordato che anche l’articolo autentico ha bisogno di professionisti esperti per ottenere un reale valore. L’ingegno e la capacità di giudizio dell’uomo sono finora imitati in modo imperfetto anche dalle macchine più intelligenti.
Ma un’AI corretta, ben gestita e ben compresa è attualmente lo strumento più efficace per identificare i metodi di minaccia più recenti e astuti, avendo eliminato le anomalie benigne e risparmiato ai team di sicurezza giorni di lavoro. L’AI fittizia ci fa restare indietro rispetto ai criminali informatici e si dimostra un loro alleato. La vera AI può portarci un passo avanti.