L’intelligenza artificiale sta senza dubbio polarizzando l’attenzione del mondo digitale. E se l’impressione generale è che questo in alcuni casi possa avvenire a sproposito, con il solo intento di cavalcare un trend, il caso della cybersecurity è molto diverso. Perché, sia dal punto di vista dei difensori sia da quello degli attaccanti, i sistemi di intelligenza artificiale generativa trovano già oggi numerosi campi di applicazione, destinati ad aumentare in futuro.
AI e cybersecurity: gli attaccanti sono in vantaggio?
Per capire meglio quanto accade in questo particolare contesto, abbiamo intervistato Andrea Boggio, Associate Director, Alliance Partnership Development, Cyber Resilience di Kyndryl Italia, proprio per quanto riguarda gli impatti dell’AI Generativa sulla cybersecurity e, soprattutto, come questa possa essere sfruttata con successo anche da parte dei difensori. Come sappiamo, lo scenario della Cybersecurity vive costantemente in un clima di rincorsa tecnologica. Gli attaccanti, cybercriminali in particolare, sono estremamente agili e tempestivi nello sfruttare l’innovazione tecnologica a loro vantaggio. Con i difensori che si trovano a dover applicare la stessa tempestività ai propri perimetri. Questo porta a un continuo aumento degli sforzi economici: si stima che il costo del cybercrime raggiungerà i 10,5 trilioni di dollari entro il 2025. In questo scenario, un utilizzo difensivo dell’IA diventerà vitale per aiutare le aziende ad individuare, prevedere e prevenire i cyberattacchi ma anche, come vedremo, a prevenire i costi. Scopriamo da Boggio come evolveranno le difese nei prossimi anni.
L’uso difensivo dell’intelligenza artificiale nella cybersecurity
Andrea Boggio ricorda che prima di tutto occorre fare una distinzione fra prodotti e servizi. “Oggi l’IA interviene principalmente sui prodotti. Migliora la capacità di detection della minaccia cyber. Quelle che chiamiamo genericamente Intelligenze Artificiali, che nel dettaglio sono reti neurali multistrato hanno la capacità di identificare criticità emergenti. Per semplificare, possiamo dire che sono abilissime nel trovare il proverbiale ago nel pagliaio.” Soprattutto, sono in grado di operare molto bene anche in modalità blackbox: i dati in input possono produrre risultati senza che sia possibile comprendere come il sistema sia giunto alla propria conclusione, ponendo anche interrogativi di natura etica.
“In questa modalità Narrow, specialistica – continua Boggio – aiutano moltissimo a isolare la minaccia: pensiamo per esempio all’applicazione del framework NIST, nella parte del rilevamento della minaccia”. Grazie a questi strumenti è possibile aumentare in modo considerevole la capacità di detection, di osservazione e di rilevamento. Capacità che cresce progressivamente con l’aumento della quantità di dati a cui gli algoritmi possono accedere. Boggio ci ricorda che “I progressi dell’IA sono direttamente esponenziali con la possibilità di accedere a volumi di dati giganteschi. Con l’aumentare della quantità di dati, aumenta il grado di efficienza delle reti neurali multistrato, anche in ottica previsionale.”
Potenziamento dell’efficienza operativa
In termini generali, si dice spesso che l’utilità dell’intelligenza artificiale oggi è principalmente permettere alle persone di occuparsi delle attività a più alto valore aggiunto. Boggio conferma questa idea anche per quanto riguarda la cybersecurity. “Grazie all’IA, in Kyndryl siamo riusciti ad aumentare la capacità di detection, riducendo l’apporto umano. Possiamo incrementare la capacità di osservazione, che viene lavorata in tempo macchina anziché in tempo umano. Nel frattempo, i tecnici e gli analisti intervengono sulle attività più a valore, quali, ad esempio, threat intelligence, threat hunting, training avanzato o simulazione evoluta di scenari di attacco”.
Ma non è solo nella rapidità ed efficacia di detection che l’Intelligenza Artificiale fornisce un importante supporto alla cyber defence. Spostandoci nel campo delle più note applicazioni LLM (Large Language Models), le IA generative offrono un’altra importante serie di vantaggi.
“Per esempio, è possibile interagire con i sistemi di sicurezza attraverso chatbot che trasformano le indicazioni in linguaggio naturale in istruzioni” – spiega Boggio – “Ma anche utilizzarle per la produzione di report, oppure, in quella che chiamiamo modalità oracolare, per ottenere dai sistemi ragguagli e indicazioni puntuali”. In pratica, l’uso dell’intelligenza artificiale potenzia e semplifica i processi di sicurezza a monte dell’intervento umano grazie al miglioramento della detection e a valle con la semplificazione della creazione di rapporti e dell’interazione con i sistemi.
AI e professionisti per la squadra perfetta
L’idea, sempre più diffusa anche nella pratica, è quella di assistere un analista di sicurezza con strumenti basati su AI. “Abbiamo alcuni casi d’uso in cui questa modalità ha impattato positivamente sugli incidenti” – racconta Boggio, ottimista sul futuro – “Istruendo i modelli nel modo corretto è possibile farli evolvere e migliorare molto rapidamente. Ci aspettiamo importanti miglioramenti nel corso dei prossimi 3-5 anni”. Alla base del bisogno di istruire queste reti neurali nel modo migliore c’è anche la tendenza, da parte della maggior parte dei vendor, di creare i propri data lake utilizzando le telemetrie degli strumenti installati presso i clienti. In questo caso, il vantaggio è duplice: da un lato i vendor hanno a disposizione sempre più dati per l’addestramento, dall’altro le aziende clienti possono avvantaggiarsi di ulteriori telemetrie per i raffronti in caso di attività sospette. “Questo permette di ridurre i costi in altri contesti della Security”, ricorda Boggio.
Come evolve il rischio nell’epoca dell’IA
Sfortunatamente, l’Intelligenza Artificiale è, come tutti gli strumenti, a disposizione anche dell’eCrime, che ha già iniziato a utilizzarla. “Abbiamo già diverse indicazioni che arrivano dal settore sul modo in cui i bad actors utilizzano l’IA generativa per migliorare i propri attacchi” – spiega Boggio. Uno scenario in cui la stesura più accurata dei testi delle mail di phishing non è che la punta dell’iceberg.
“La stessa capacità moltiplicativa che l’IA ha per i difensori si riscontra anche per gli attaccanti” – sostiene Boggio – “Per esempio, grazie all’analisi, è possibile fare microtargeting per gli attacchi di spear phishing, con la scala, la velocità e l’automatismo tipici dell’Intelligenza artificiale”. Il rischio in questo senso riguarda ogni settore: con i chatbot e le Bot persone è possibile per esempio creare una catena di disinformazione praticamente infinita. Una minaccia rilevantissima dal punto di vista geopolitico, come ricorda Boggio.
“I settori che si basano maggiormente sui dati, come quello bancario, sono contemporaneamente i più esposti” sottolinea Boggio. “Gli asset digitali possono essere intercettati e utilizzati per creare identità sintetiche da usare in campagne di registrazione di dati inesistenti finalizzate, per esempio, a creare abbastanza rumore di fondo da confondere le telemetrie. È possibile, e abbiamo già avuto qualche esempio, alimentare informazioni create ad arte che spostano l’attenzione su elementi poco rilevanti e inficiare così le fonti di threat intelligence, inquinando i dati che contribuiscono ai profili di analisi”.
Ma non solo: L’AI generativa può essere usata anche, per esempio, per creare in modo relativamente semplice malware polimorfi, che richiedono maggiori tempi per le contromisure. Ma come ci si difende da questa potenza di fuoco?
I paradigmi della difesa
Secondo Boggio, ci sono alcune considerazioni universalmente valide, quando di parla di sicurezza difensiva. Possiamo riassumerle in tre punti:
- Si parte sempre in svantaggio
- Basta fallire una volta
- La situazione è sempre asimmetrica a vantaggio degli attaccanti
“Quello che dobbiamo fare è ‘prepararci per il peggio sperando per il meglio’. Farsi trovare pronti, addestrandosi in maniera puntuale, anche simulando attacchi, come fanno la maggior parte dei nostri clienti più maturi.” Così Boggio, che sottolinea: “In Kyndryl siamo fortemente orientati al blue team, alla difesa, e per questo investiamo molto nelle tecnologie di detection. Grazie all’IA abbiamo la capacità di rilevare le minacce in modo molto più puntuale rispetto alla gestione umana. Ricordiamo che nel cuore del processo di gestione degli incidenti, bisogna Rispondere, in molti casi con tempistiche contrattualizzate. L’IA fa presupporre un miglioramento in questo senso”.
Avendo a disposizione un proprio dataset su cui istruire una funzione di copilota per assistere il SOC, si possono ridurre i tempi di risposta e arricchire la base di conoscenza degli incidenti. “Con l’aumento di rilevamento di segnali deboli e proprietà emergenti, aumenta nostra capacità di spostarci verso un modello previsionale” conclude Boggio.