L’ascesa culturale ed economica di ChatGPT negli ultimi mesi ha portato a un crescente interesse per l’AI generativa nel suo complesso, e ciò riguarda anche la cybersecurity. Non tutti gli esperti, però, concordano sul fatto che ciò porterà vantaggi sia in fatto di marketing che di tecnologia emergente.
ChatGPT, sviluppato e pubblicato dalla società di ricerca OpenAI, è considerato un modello linguistico di grandi dimensioni (LLM), utilizzato per generare testo. Gli LLM appartengono a una branca emergente dell’intelligenza artificiale in cui i modelli servono per creare contenuti come immagini, audio o testo attraverso quantità massicce di dati di addestramento. Un esempio è il generatore di immagini Dall-E di OpenAI.
L’immensa popolarità di ChatGPT è stata senza dubbio favorita dall’investimento multimiliardario annunciato da Microsoft in OpenAI lo scorso autunno, che ha portato all’integrazione del chatbot con il motore di ricerca Bing. Sulla scia di questo investimento, negli ultimi sei mesi sono entrati sul mercato numerosi prodotti “AI-powered”. Per esempio, l’AI generativa è stata il tema non ufficiale della RSA Conference 2023 di aprile, dato che molti provider hanno presentato offerte proprio basate sull’AI.
Diversi fornitori di cybersicurezza presenti alla conferenza hanno dichiarato di utilizzare intelligenza artificiale e machine learning da anni. Tali tecnologie sono state integrate in varie forme per decenni e alcuni fornitori hanno creato set di dati avanzati per anni.
Ora l’AI generativa è in aumento, anche se gli esperti sono divisi su cosa la renda così popolare. Alcuni sostengono che sia una questione di marketing più che di reali progressi tecnologici. Altri invece affermano che l’AI generativa come ChatGPT sta portando a un momento di svolta.
L’AI generativa nella sicurezza informatica
Si può chiedere direttamente a ChatGPT come le professioni di cybersicurezza utilizzano ChatGPT. Il chatbot risponde con diversi esempi, come i documenti di formazione sulle policy di sicurezza e sulla consapevolezza della sicurezza, le valutazioni delle vulnerabilità, che comprendono l’esecuzione di scansioni, l’interpretazione dei report e la proposta di rimedi; la ricerca di minacce, che comprende l’analisi dei log, l’identificazione di schemi e il rilevamento di indicatori di compromissione e l’analisi dell’intelligence sulle minacce, come la semplificazione dei report fino ai dati rilevanti e la raccolta rapida di informazioni dagli avvisi di sicurezza e dai forum online.
“È importante notare che, sebbene ChatGPT possa fornire un’assistenza preziosa, i professionisti della sicurezza informatica devono comportarsi con cautela e mettere in gioco le proprie competenze” si legge nella risposta del chatbot. “Dovrebbero valutare criticamente le informazioni fornite da ChatGPT e verificarne l’accuratezza, utilizzando fonti affidabili e pratiche di sicurezza consolidate”.
Alla domanda “Che ne pensi dell’AI generativa nel suo complesso?”, ChatGPT menziona diversi casi d’uso aggiuntivi, come l’analisi del malware, la generazione e il cracking di password e il red teaming (creazione di e-mail di phishing realistiche e “generazione di traffico d’attacco sintetico”).
Sebbene negli ultimi mesi siano state lanciate numerose soluzioni che coinvolgono l’AI generativa, due delle più note appartengono ai giganti tecnologici Google e IBM.
IBM ha lanciato QRadar Suite, che abbina le nuove versioni dei prodotti di sicurezza QRadar di IBM a un’interfaccia basata sull’intelligenza artificiale generativa. Google ha annunciato Google Cloud Security AI Workbench. Entrambi i servizi utilizzano l’intelligenza artificiale generativa per servizi quali la ricerca automatica delle minacce e la prioritizzazione degli avvisi di violazione, anche se ci sono delle differenze.
Le applicazioni dell’AI generativa nella cybersecurity sono ampie, anche se in questa fase iniziale non è chiaro quanto sarà efficace questa tecnologia. Chris Steffen, vicepresidente della ricerca, della sicurezza e della gestione del rischio presso la società di analisi Enterprise Management Associates, spiega che, se un’organizzazione non orientata alla sicurezza ricevesse una segnalazione di vulnerabilità per una falla rilevante, un chatbot potrebbe tradurre i dati tecnici della segnalazione per un dirigente a monte che potrebbe non avere le stesse conoscenze di sicurezza del CISO dell’organizzazione.
John Olstik, analista dell’Enterprise Strategy Group di TechTarget, definisce ChatGPT una “app di aiuto” che chi analizza minacce può utilizzare per chiedere informazioni su specifici criminali o su tattiche, tecniche e procedure utilizzate. Sostiene che può anche scrivere regole di rilevamento o fare reverse engineering del malware.
Vladislav Tushkanov, lead data scientist di Kaspersky Lab, dichiara che, nonostante i numerosi vantaggi, le attuali limitazioni tecniche fanno sì che molti esperti e venditori siano in fase di sperimentazione con strumenti come ChatGPT. Almeno al momento, “l’impatto non sembra essere elevato”. “I LLM soffrono ancora di molte limitazioni, come la loro propensione ad avere allucinazioni e a esprimere con sicurezza informazioni completamente false” spiega Tushkanov. “Per questo motivo, è troppo presto per sfruttare gli LLM per compiti reali di cybersicurezza che richiedono precisione, velocità e affidabilità. Tuttavia, possono essere utilizzati per riassumere i dati e presentarli in modo più pratico. Anche in futuro potremo vedere altre soluzioni di questo tipo”.
Ketaki Borade, analista senior per la sicurezza delle infrastrutture presso la società di analisi Omdia, afferma che l’AI generativa sta “trovando il suo posto” nell’automazione dei processi, ma non sta sostituendo completamente il lavoro umano. “A un certo punto, la verifica da parte dell’uomo è ancora necessaria anche negli strumenti automatizzati dall’AI” afferma.
La tecnologia reale contro il marketing
Steffen ritiene che “il 50%-60%” del clamore suscitato dall’AI generativa sia basato sul marketing, mentre solo “il 15%-20%” dei fornitori sta utilizzando la tecnologia per fare cose interessanti. “Vedo tutti questi progressi come progressi iterativi. Non li considero rivoluzionari” spiega. “Non credo che qualcuno possa realisticamente affermare che l’AI non si sia insinuata nello spazio della sicurezza, fin dall’inizio”. Nonostante l’orientamento al marketing, secondo l’esperto la spinta che viene data all’AI sta aiutando le organizzazioni a utilizzare questi strumenti emergenti “con maggiore sicurezza per poter dormire la notte”.
“Penso che sia importante che i nostri leader della sicurezza dicano che è giusto fidarsi di alcune di queste tecnologie AI – continua Steffen – è fondamentale iniziare ad affidare alcuni di questi compiti all’AI quando è appropriato e, ovviamente, con una revisione umana. Credo che questa sia la giusta direzione”.
John Dwyer, responsabile della ricerca di IBM X-Force, ritiene che l’accelerazione dell’AI rifletta l’accettazione del posto occupato dall’AI all’interno dell’azienda più che una specifica innovazione tecnologica. Olstik afferma che c’è un “enorme slancio” dietro l’apprendimento automatico e i concetti correlati, come l’analisi comportamentale, e che questo non potrà che continuare.
“Con l’AI generativa nei prodotti, stiamo davvero parlando di casi d’uso futuri” afferma Olstik. “I professionisti della sicurezza sono scettici per natura e molti adotteranno un approccio cauto. Ma è probabile che i team saranno presto sommersi da prodotti e funzionalità. La chiave per ora è la governance dell’AI, le policy, l’applicazione delle policy e il monitoraggio. In altre parole, i CISO dovrebbero collaborare con gli altri manager per mettere in atto gli opportuni guardrail prima che lo tsunami si abbatta su di loro”.
Borade spiega che la tecnologia è ancora in fase sperimentale, ma raccomanda ai vendor di rifiutare l’impulso di “stare a guardare”. Secondo Borade, dovrebbero lavorare subito per la sicurezza dell’intelligenza artificiale, perché “è solo una questione di chi arriva prima”.
Definire il ruolo dell’AI nella sicurezza
Secondo Steffen le aziende che abbracceranno l’AI generativa emergeranno come innovatrici.
“Non vedo ChatGPT come un elemento negativo. Penso che i fornitori che stanno cercando di aumentare l’uso delle varie tecnologie AI saranno leader nel lungo periodo. E le aziende che si avvalgono di questi fornitori e che implementano queste tecnologie saranno leader nei loro settori specifici”.
L’ascesa dell’AI include anche opportunità per gli autori delle minacce che, per esempio, hanno utilizzato i deep fake nelle attività di spearfishing, per impersonare una celebrità. Gli esperti di Kaspersky hanno trovato una grande varietà di offerte sulla darknet per creare video su richiesta. Per quanto riguarda i chatbot e i modelli di generazione di testo, esiste un potenziale di uso improprio, come il phishing di e-mail o la creazione di codice maligno, ma per ora ciò non ha cambiato di molto il panorama delle minacce.
Secondo il CTO della ricerca applicata di Sophos, Chester Wisniewski, il motivo per cui c’è così tanto clamore dietro l’AI generativa è che, mentre si discute molto su come viene utilizzata dagli attori delle minacce, “ci sono così tanti vantaggi e opportunità” per i difensori. “Sono molto meno preoccupato per le conseguenze dannose e molto più interessato a ciò che fanno i buoni” spiega. “Questa tecnologia non è facile da addestrare. Non è economica da realizzare. Non è qualcosa di cui i criminali si preoccuperanno perché quello che stanno facendo funziona già”.
L’intelligenza artificiale potrebbe essere parte di questa soluzione. “Dobbiamo fare qualcosa di meglio, perché è chiaro che, come settore, non stiamo proteggendo abbastanza bene le persone ma stiamo cercando di trovare un modo migliore e molto probabilmente lo troveremo utilizzando questa tecnologia”.