Home Prodotti Sicurezza Machine learning come strumento di base per la sicurezza

Machine learning come strumento di base per la sicurezza

Al suo livello più semplice, il machine learning è definito come “la capacità per un computer di imparare senza essere esplicitamente programmato“, usando tecniche matematiche attraverso enormi set di dati, gli algoritmi di apprendimento della macchina costruiscono essenzialmente modelli di comportamento e usano questi modelli come base per fare previsioni future basate su nuovi dati di input.

Netflix offre una nuova serie basata sulla storia della visualizzazione precedente. Quali sono le applicazioni di machine learning per la sicurezza dell’informazione? In linea di principio, il machine learning può aiutare le aziende ad analizzare meglio le minacce e a rispondere agli attacchi e agli incidenti di sicurezza.

Potrebbe anche aiutare ad automatizzare un maggior numero di compiti precedentemente svolti da squadre di sicurezza talvolta poco qualificate. Gli analisti di Abi Research stimano che il machine learning nella cibersicurezza aumenterà la spesa in grandi dati, intelligenza artificiale e analitica a 96 miliardi di dollari entro il 2021.

Google sta usando il machine learning per analizzare le minacce contro gli endpoint mobili in esecuzione su Android – così come l’identificazione e la rimozione di malware da telefoni infetti – mentre Amazon ha acquisito una startup di intelligenza artificiale e lanciato Macie, un servizio che utilizza il machine learning per scoprire, ordinare e classificare i dati memorizzati sul servizio di storage cloud S3.

Il machine learning è embedded

Contemporaneamente, i fornitori di sicurezza aziendali stanno lavorando per incorporare l’apprendimento automatico nei prodotti vecchi e nuovi, soprattutto nel tentativo di migliorare il rilevamento dei malware. La maggior parte delle principali aziende nel campo della sicurezza sono passate da un sistema puramente “basato sulla firma” di alcuni anni fa utilizzato per rilevare il malware, a un sistema di apprendimento automatico che cerca di interpretare azioni ed eventi e impara da una varietà di fonti ciò che è sicuro e ciò che non lo è.

È ancora un campo nascente, ma è chiaramente la strada da percorrere in futuro. Anche se questa trasformazione non avverrà da un giorno all’ altro, il machine learning sta già emergendo in alcune aree.

Machine learning per la sicurezza

Utilizzo del machine learning per rilevare attività dannose e arrestare gli attacchi. Gli algoritmi di machine learning aiuteranno le aziende a rilevare più rapidamente le attività dannose e a fermare gli attacchi prima di iniziare. In un casinò in Nord America gli algoritmi hanno rilevato un attacco di esfiltrazione dei dati che ha utilizzato un magazzino collegato come ingresso nella rete. E quando c’è stato l’attacco di Wannacry gli algoritmi hanno individuato un attacco in pochi secondi nella rete di un’agenzia Nhs, e la minaccia è stata mitigata senza alcun danno.

L’analisi degli endpoint mobili. L’apprendimento delle macchine viene già utilizzato ìsui dispositivi mobili, ma finora la maggior parte di questa attività è stata utilizzata per guidare esperienze vocali con Siri di Apple e Alexa di Amazon. Eppure c’è anche una richiesta di sicurezza. Google sta utilizzando il machine learning per analizzare le minacce contro gli endpoint mobili, mentre l’azienda sta vedendo un’opportunità per proteggere il crescente numero di bring-your-own e scegliere i propri dispositivi mobili.

Utilizzo del machine learning per migliorare le analisi
Al centro dell’apprendimento automatico in materia di sicurezza, c’è la convinzione che aiuti gli analisti umani in tutti gli aspetti del lavoro, tra cui il rilevamento di attacchi dannosi, l’analisi della rete, la protezione degli endpoint e la valutazione della vulnerabilità. Nel 2016, il Computer science and artificial intelligence lab del Mit ha sviluppato un sistema chiamato AI2, una piattaforma di sicurezza adattiva per l’apprendimento automatico che ha aiutato gli analisti a trovare questi aghi nel pagliaio. Esaminando milioni di accessi ogni giorno, il sistema è stato in grado di filtrare i dati e trasmetterli all’analista umano, riducendo gli allarmi a circa 100 al giorno. L’esperimento ha dimostrato che il tasso di rilevamento degli attacchi è salito all’85% con una diminuzione di cinque volte superiore in falsi positivi.

Machine learning per automatizzare le attività di sicurezza ripetitive.
Il vero vantaggio del machine learning è che potrebbe automatizzare le attività ripetitive, consentendo al personale di concentrarsi su attività più importanti. Booz Allen Hamilton è andato lungo questa strada, utilizzando strumenti Ia per allocare in modo più efficiente le risorse umane di sicurezza in modo che i lavoratori potrebbero concentrarsi sugli attacchi più critici.

Chiudere le vulnerabilità zero-day. Un team dell’Arizona state university ha utilizzato il mahine learning per monitorare il traffico sul deepweb e identificare i dati relativi agli exploit zero-day. Grazie a questo tipo di intuizioni, le organizzazioni potrebbero potenzialmente chiudere le vulnerabilità e fermare gli exploit patch prima che si traducano in una violazione dei dati.

Falsi positivi. Anche i sistemi di machine learning, però, segnalano a volte falsi positivi, mentre alcuni analisti hanno parlato apertamente di come il machine learning nella security possa rappresentare una soluzione di “scatola nera”, dove i ciso non sono del tutto sicuri di ciò che c’è “sotto il cappuccio” e sono quindi costretti a porre la loro fiducia e responsabilità sulle spalle del venditore – e delle macchine.

La maggior parte delle invenzioni di machine learning pubblicizzate, infatti, non stanno realmente facendo alcun apprendimento sul lavoro all’interno dell’ ambiente del cliente ma lavorano su modelli addestrati su campioni di malware nel cloud di un fornitore e scaricati nelle aziende clienti come firme antivirus. Inoltre, su questi campioni di dati di formazione – necessari affinché gli algoritmi imparino i loro modelli prima di essere messi in uso nel mondo “reale” – c’ è il suggerimento che i dati scadenti e l’implementazione si tradurranno in risultati ancora più scarsi.

Il machine learning è buono nella misura in cui lo sono le informazioni di input che vengono fornite. Quindi, se gli algoritmi di apprendimento macchina non sono ben progettati, i risultati non saranno molto utili. Avere algoritmi che lavorano su set di dati di formazione in laboratorio è una cosa, ma una delle maggiori sfide intorno alla difesa informatica di apprendimento macchina è farlo funzionare su scala in reti live, complesse.