Una panoramica dettagliata sulle applicazioni dell’AI per la cybersecurity e i principali casi d'uso per le infrastrutture critiche e altre organizzazioni industriali.
L'Intelligenza Artificiale sta vivendo un momento di assoluta popolarità, un periodo in realtà piuttosto lungo. Parliamo di una tecnologia che esiste da decenni e si è continuamente evoluta, ma ora si trova ovunque, all’improvviso. Assistenti digitali come Siri e Alexa e strumenti di AI generativa come ChatGPT, Gemini e Copilot, hanno reso l'AI accessibile a tutti, compresi i cybercriminali.
Per i non nativi digitali si tratta di un ritorno al 1991, l'anno in cui Internet si è trasformato da dominio militare/accademico per supertecnici nel World Wide Web. Allora come oggi, le aziende si ingegnano per comprendere al meglio le migliori modalità di utilizzo di questa potente tecnologia per potenziare ogni aspetto delle loro attività.
Nel settore della cybersecurity, è in corso una gara per superare in astuzia i malintenzionati che stanno già utilizzando nuove forme di AI al fine di trovare rapidamente le vulnerabilità e lanciare attacchi più efficaci. La sfida - e l'opportunità - per i CISO e gli analisti dei SOC è capire come utilizzare AI e machine learning per automatizzare e migliorare i processi di difesa informatica.
Per quanto riguarda la protezione delle reti OT e IoT, la sfida è ancora più grande e la posta in gioco ancora maggiore. Ecco una breve introduzione all'AI, alle sue applicazioni per la cybersecurity e ai principali casi d'uso per le infrastrutture critiche e altre organizzazioni industriali.
Moreno Carullo, Co-founder, Chief Technical Officer, Nozomi Networks
L'AI è un campo della scienza e della tecnologia che si concentra sulla capacità delle macchine di svolgere compiti tipicamente associati all'intelligenza umana, come l'apprendimento, la risoluzione di problemi e il processo decisionale. Una AI rudimentale esiste fin dagli anni Cinquanta, anche se quella più sofisticata è diventata realtà negli anni '80 grazie a un aumento esponenziale della potenza di calcolo. Negli ultimi due decenni ha ricevuto un ulteriore impulso grazie al cloud computing. Queste innovazioni hanno consentito rapidi progressi nell'analisi e nella capacità di risolvere problemi legati ai big data.
Secondo la Defense Advanced Research Projects Agency (DARPA), a partire dagli anni '50 ci sono state tre ondate storiche di AI:
La prima ondata è stata confinata soprattutto in ambito accademico. La seconda ha cambiato le carte in tavola ed è ancora ampiamente utilizzata in tutti i settori. Nello specifico, il ML impiega quattro gruppi di algoritmi per l'addestramento di grandi insiemi di dati al fine di apprendere modelli e fare previsioni:
Il machine learning utilizza questi quattro gruppi per addestrare grandi insiemi di dati per apprendere modelli e fare previsioni.
Per quanto le capacità della seconda ondata siano impressionanti nel dare un senso a oceani di dati, l'attenzione si è spostata sulla terza ondata e su come sfruttarne la potenza.
Come i creatori di fantascienza hanno da tempo predetto, un'intelligenza superumana può essere usata per il bene o per il male. In ambito informatico, l'AI viene sfruttata sia dagli aggressori che dai difensori per fare ciò che hanno sempre fatto, nel miglior modo possibile. Ecco tre modi in cui viene impiegata:
I malintenzionati hanno rapidamente sfruttato AI e ML per rendere i loro attacchi più veloci e precisi e meno rilevabili. Li usano per trovare e sfruttare le vulnerabilità più facilmente, oltre che per generare malware, creare e-mail di phishing e deepfake.
Mentre le organizzazioni adottano sempre più l'intelligenza artificiale per potenziare processi già automatizzati, la vulnerabilità degli stessi sistemi AI è una preoccupazione emergente. Tattiche subdole come il data poisoning, l'iniezione di prompt di modelli linguistici di grandi dimensioni (LLM) o l'evasione dei modelli ML rappresentano una sfida formidabile, poiché gli attori delle minacce imparano ad abusare della tecnologia progettata per migliorare l'efficienza e l'innovazione.
Per utilizzare un esempio OT/IoT, considerate cosa accadrebbe se un sistema di manutenzione predittiva guidato dall'AI fosse manipolato in un cyberattacco di data poisoning (assistito o meno dall'AI). Gli aggressori potrebbero modificare le letture dei sensori o introdurre nei dati registri di manutenzione ingannevoli. Alimentando il sistema con informazioni false, i malintenzionati potrebbero indurre il modello di intelligenza artificiale a fare previsioni imprecise sulle esigenze di salute e manutenzione, con conseguenti guasti, aumento dei tempi di inattività e potenziali rischi per la sicurezza.
Una grande risorsa per capire come gli aggressori sfruttano le vulnerabilità dei sistemi di intelligenza artificiale è MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems). Questo framework complementare al MITRE ATT&CK® si concentra su tattiche e tecniche del mondo reale che gli attori delle minacce utilizzano per colpire i sistemi di intelligenza artificiale. Nel novembre 2023, è stato aggiornato per affrontare le vulnerabilità dei sistemi che incorporano AI generativa e LLM.
La vulnerabilità dei sistemi AI solleva un'altra problematica già vista. L'OT è stato a lungo etichettato come “insecure by design”, un difetto difficile da trattare che si è dimostrato complicato da superare. Si può dire lo stesso dell'AI? Stiamo mettendo in sicurezza i sistemi di intelligenza artificiale o ci stiamo preparando a un incubo di retrofitting?
Per quanto riguarda i difensori, la necessità di analizzare e correlare grandi quantità di dati provenienti da decine di fonti rappresenta un caso d'uso privilegiato per AI e ML. In effetti, ormai, la maggior parte dei fornitori di cybersicurezza ha incorporato l'AI nei propri prodotti in diverse misure. Oggi si può presumere che ML e analisi comportamentale siano all'opera in tutto lo stack di cybersecurity per migliorare la velocità e l'accuratezza di ogni processo, tra cui:
Quando si valutano i fornitori di cybersicurezza e le loro capacità di intelligenza artificiale, è importante capire esattamente cosa si sta ottenendo. La questione non è se incorporano AI e/o ML, ma come lo fanno. Tra le domande da porsi ci sono:
La cybersicurezza OT assistita dall'intelligenza artificiale richiede maggiori capacità poiché, come sappiamo, c'è molto da proteggere e la posta in gioco in caso di attacco è spesso più elevata. Ci sono sistemi di controllo e processi fisici, con variabili di processo configurabili, tutti potenzialmente sfruttabili. Le organizzazioni che gestiscono infrastrutture critiche e altri ambienti industriali devono ricorrere all'intelligenza artificiale per affrontare ogni fase del ciclo di vita della cybersecurity - identificazione, protezione, rilevamento, risposta e ripristino - ma con funzionalità aggiuntive per proteggere le reti OT/IoT. I principali casi d'uso includono:
AI e ML offrono chiari vantaggi ai team di cybersecurity, aiutandoli a fare incredibilmente di più con meno risorse. È un aspetto molto positivo, considerando la carenza di talenti informatici, soprattutto in settori specializzati come OT e IoT. Ma anche gli avversari stanno raccogliendo i benefici. Con la continua evoluzione della scienza e della tecnologia dell'intelligenza artificiale, anche i metodi di attacco informatico si evolveranno. È difficile dire chi stia vincendo la battaglia in un determinato giorno, ma le organizzazioni devono conoscere le capacità dei loro avversari e cercare di superarle se vogliono prevalere in un mondo alimentato dall'intelligenza artificiale.
Moreno Carullo è Co-founder e Chief Technical Officer di Nozomi Networks