Qualche mese fa Microsoft ha pubblicato un post in cui raccontava come sta sfruttando l’apprendimento automatico all’interno dell’Azure Security Center: l’azienda, in particolare, utilizza il machine learning nel Cloud per migliorare il rilevamento delle minacce e semplificare la gestione della sicurezza. Mark Russinovich, CTO di Azure, durante l’ultima RSA Conference ha descritto gli sforzi che l’azienda sta impiegando sul fronte dell’apprendimento automatico, fornendo maggiori dettagli in merito alle quantità impressionanti di dati sulla sicurezza elaborati dall’a società di Redmond su base giornaliera e mensile.
Comprendere il machine learning
Data l’attenzione che il settore della sicurezza dimostra oggi nel confronti del machine learning, secondo Shackleford, fondatore e consulente di Voodoo Security, è importante che i professionisti del settore comprendano a fondo questo aspetto, capiscano in che modo gli ambienti Cloud possono consentire un migliore apprendimento automatico e in che modo migliorare, in generale, il livello di sicurezza delle informazioni. In poche parole, l’apprendimento automatico si concentra sul riconoscimento di pattern, eventi comportamentali e analisi delle informazioni per consentire ai computer di “imparare” o modificare le istruzioni di elaborazione e di comportamento del software senza essere esplicitamente programmati per farlo.
Nel campo della sicurezza informatica, questo si tradurrà in una analisi dei dati su larga scala e in un’elaborazione degli eventi di sicurezza, con il principale obiettivo di ottenere una migliore comprensione dei comportamenti di sicurezza e stabilire delle baseline di riferimento per rendere più efficaci la categorizzazione e la prioritizzazione degli eventi potenzialmente dannosi e delle tattiche di intervento. Nel prossimo futuro, probabilmente sempre più fornitori di Cloud legheranno le proprie capacità di apprendimento automatico alle prestazioni di sicurezza: per questo è giunto il tempo che i team di security imparino a comprendere davvero il machine learning nel Cloud e il ruolo che questo avrà nella gestione della sicurezza dei dati.
In che modo il Coud migliora l’apprendimento automatico
Secondo gli esperti, gli ambienti Cloud suscitano molte speranze in merito alla costruzione e allo sfruttamento delle capacità del machine learning. Per elaborare e analizzare efficacemente milioni o addirittura miliardi di eventi – ed estrarne utili informazioni sulla sicurezza – le security analysis e gli algoritmi di correlazione dovranno operare sulla massiccia scala che l’infrastruttura cloud-based è in grado di fornire. Per sviluppare un vero e proprio ambiente di apprendimento automatico basato sul Cloud, le aziende avranno bisogno di elaborare enormi quantità di informazioni; sviluppare e mantenere in-house motori di analisi di questa portata potrebbe avere costi proibitivi.
La maggior parte dei principali fornitori di Cloud hanno costruito e utilizzato un gran numero di sistemi con complesse interfacce query e report sovrapposti su di loro per fornire l’apprendimento automatico nel Cloud. Google Cloud Machine Learning Platform, ad esempio, è una piattaforma che permette di realizzare applicazioni di machine learning sfruttando dei modelli prestabiliti e la grande mole di dati forniti da Google: è stata utilizzata per le fotografie, il riconoscimento vocale e l’e-mail content matching e dallo scorso marzo è aperta a tutti gli sviluppatori. Amazon Machine Learning offre procedure guidate visuali e strumenti di generazione di query a cui si può accedere tramite le API per miliardi di previsioni quotidiane. Oltre alla piattaforma di Microsoft, ci sono molti altri fornitori che offrono diverse opzioni di machine learning tra cui IBM Watson e Haven OnDemand di Hewlett Packard Enterprise.
L’apprendimento automatico secondo Microsoft
Fino a oggi, Microsoft è l’unico grande fornitore che reclamizza attivamente le prestazioni di sicurezza della propria piattaforma di apprendimento automatico. La chiave per l’apprendimento automatico nel Cloud per la sicurezza è avere più dati e numerosi data set diversi che rappresentino possibili scenari di incidenti e risultati da cui gli algoritmi possano imparare e su cui si possano basare per generare previsioni. Al momento Microsoft si sta focalizzando principalmente sull’autenticazione e sull’accesso di dati ed eventi generati attraverso i suoi forti legami con gli utenti di Active Directory e i servizi di identità Microsoft-centrici (cercando di rilevare usi anomali di account e privilegi).
Inoltre l’azienda si sta concentrando su casi d’uso specifici del Cloud come l’abuso di API Azure e attività location-based che potrebbero essere dannose per gli account specifici. È probabile che altri fornitori seguano questo esempio, anche se non potranno contare sulla profondità di enterprise integration che Microsoft ha per via dei suoi legami con i dati Active Directory.