Quando l’intelligenza artificiale aiuta la sicurezza

Con gli attacchi ransomware di quest'anno, la risposta delle aziende alle minacce informatiche deve essere molto più rapida e fare uso di intelligenza artificiale per automatizzare i compiti e individuare meglio i comportamenti pericolosi.

In un contesto di cybersecurity, l'intelligenza artificiale è un software che percepisce il suo ambiente abbastanza bene da identificare gli eventi e agire contro uno scopo predefinito.

L'Intelligenza artificiale è particolarmente efficace nel riconoscere i modelli e le anomalie al loro interno, il che lo rende uno strumento eccellente per rilevare le minacce. Il machine learning viene spesso utilizzato con l'Intelligenza artificiale.

È un software che può "imparare" da solo sulla base dell'input umano e dei risultati delle azioni intraprese. Insieme all'Ia, l'apprendimento meccanico può diventare uno strumento per prevedere i risultati sulla base degli eventi passati.

Intelligenza artificiale per la cybersecurity

Barclays Africa sta iniziando a utilizzare l'intelligenza artificiale e l'apprendimento automatico per individuare le minacce alla cybersicurezza e rispondere. Ad esempio, la tecnologia viene utilizzata per cercare indicatori di compromesso in tutta la rete aziendale, sia nei locali sia nel cloud. Poiché il panorama globale delle minacce sta progredendo abbastanza rapidamente, sia in termini di capacità sia di collaborazione da parte dell'aggressore, vanno utilizzati strumenti e tecnologie avanzati per anticipare la minaccia.

La banca però non è sola. Cadence Design Systems monitora continuamente le minacce per difendere la sua proprietà intellettuale. Tra 250 e 500 gigabit di flussi di dati relativi alla sicurezza in oltre 30.000 dispositivi endpoint e 8.200 utenti al giorno - e ci sono solo 15 analisti della sicurezza per osservarli. Questa è solo una parte dei dati, dice Sreeni Kancharla, il Ciso (chief information security officer) dell'azienda, ed è necessario avere il machine learning e l'intelligenza artificiale in modo da poter restringere i problemi reali e mitigarli.

Cadence utilizza queste tecnologie per monitorare il comportamento degli utenti e delle entità e per il controllo degli accessi, attraverso i prodotti di HPE Aruba Networks. Kancharla dice che l'aspetto di apprendimento non supervisionato della piattaforma era particolarmente interessante.

Una persona per la sicurezza

Anche le aziende più piccole devono far fronte alla sfida di un sovraccarico di dati sulla sicurezza. Daqri è un'azienda di Los Angeles che produce occhiali e caschi in realtà aumentata per l'architettura e la produzione.

Ha 300 dipendenti e un centro operativo di sicurezza composto da una sola persona. La sfida di affrontare e rispondere agli eventi legati alla sicurezza è molto impegnativa dal punto di vista del lavoro, dice Minuk Kim, senior director dell' azienda responsabile della tecnologia dell' informazione e della sicurezza. L'azienda utilizza gli strumenti di Vectra Networks per monitorare il traffico dai circa 1.200 dispositivi presenti nel suo ambiente.

Guardando il traffico di rete, è possibile vedere se qualcuno sta eseguendo scansioni della porta o saltando da host a host o trasferendo grandi sezioni di dati attraverso un metodo non convenzionale. L'azienda raccoglie tutti questi dati, li analizza e li alimenta in un modello di apprendimento profondo. Se si riesce a ridurre il tempo necessario per rivedere tutti questi incidenti, si migliora drasticamente la capacità di sapere cosa sta accadendo nella rete, e quando si verifica una violazione critica, è possibile identificare e rispondere rapidamente e ridurre al minimo i danni.

I tempi medi di risposta

L'intelligenza artificiale e l'apprendimento delle macchine stanno facendo una differenza significativa in quanto le aziende sono in grado di rispondere rapidamente alle minacce, secondo Nemertes Research, che ha recentemente condotto uno studio sulla sicurezza globale, e il tempo medio impiegato da un'azienda per individuare un attacco e rispondere è stato di 39 giorni, ma alcune aziende sono state in grado di farlo in ore. La velocità era correlata all'automazione, e non è possibile automatizzare queste risposte senza usare l'intelligenza artificiale e l'apprendimento della macchina.

Il tempo mediano per il rilevamento è di un'ora. Le aziende che ottengono prestazioni elevate lo fanno solitamente in meno di 10 minuti, mentre le aziende che ottengono risultati più bassi impiegano giorni e settimane.

L'apprendimento e l'analisi delle macchine possono portare questo tempo a zero, ed è per questo che le aziende ad alte prestazioni sono così veloci. Allo stesso modo, quando si analizzano le minacce, il tempo mediano è di tre ore. Le aziende ad alte prestazioni impiegano solo pochi minuti, altre richiedono giorni o settimane. L'analisi delle minacce comportamentali è già stata implementata dal 21% delle aziende intervistate, dice, e un altro 12% afferma che la avrebbe messa in atto entro la fine del 2017.

I vantaggi del cloud

Fatta tramite cloud, l'intelligenza artificiale può aiutare gli strumenti ad adattarsi rapidamente alle esigenze di un'azienda senza una formazione iniziale significativa. Un altro vantaggio è che è più facile per i fornitori migliorare i loro prodotti sulla base dei feedback provenienti dall'intera base clienti. In caso di phishing email o attacchi di rete, le nuove minacce possono essere identificate quando si presentano per la prima volta in altri fusi orari, dando alle aziende ore di preavviso. Ciò richiede un livello di fiducia nel fornitore.

E mentre i fornitori accumulano grandi insiemi di dati, i loro sistemi possono anche imparare a individuare molto presto le indicazioni di nuove minacce. Alert Logic raccoglie circa mezzo milione di incidenti ogni trimestre per i suoi 4.000 clienti, circa la metà dei quali sono SQL Injection.

Con il machine learning il fornitore non solo è in grado di elaborare gli eventi in modo più rapido, ma anche di correlarli nel tempo e nella geografia. Alcuni attacchi richiedono più di un paio d'ore, a volte giorni, settimane e in alcuni casi mesi. Non solo stanno impiegando molto tempo per eseguire, ma vengono anche da diverse parti di Internet. Penso che si tratta di incidenti che avremmo perso prima di aver implementato il machine learning.

I passi successivi dell'Intelligenza artificiale

Gli attuali sistemi di apprendimento automatico stanno ottenendo buoni risultati nell'individuare eventi insoliti in grandi volumi di dati e nell' effettuare analisi e risposte di routine. Il passo successivo è quello di usare l'intelligenza artificiale per affrontare problemi più spinosi.

Ad esempio, l'esposizione al cyber risk in tempo reale di un'azienda dipende da un gran numero di fattori. Questi includono porte insicure, messaggi di posta elettronica di phishing in arrivo, numero di conti privilegiati e password insicure, quantità di dati sensibili non criptati e se sono attualmente oggetto di attacchi da parte di uno Stato nazionale.

Avere un' immagine accurata dei rischi aiuterebbe un'azienda a dispiegare le risorse nel modo più efficiente possibile e a creare una serie di metriche per le prestazioni di cybersecurity diverse da quelle che riguardano la violazione o meno dell' azienda.

Balbix ha 24 diversi tipi di algoritmi di Intelligenza artificiale e produce un modello bottom-up, una mappa del "calore del rischio" che copre ogni aspetto dell'ambiente, cliccabile in modo da poter andare in profondità giù e vedere perché qualcosa è rosso. È prescrittiva, quindi dice che se alcune cose si possono fare e quindi fa diventare il colore del rischio prima giallo e alla fine verde. Le domande che si possono fare:"Qual è la cosa più importante che posso fare adesso? o "Qual è il mio rischio di phishing? Qual è il mio rischio da WannaCry?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here