Il numero in costante aumento di attacchi informatici riusciti dimostra quanto spesso gli aggressori raggiungano i loro obiettivi nonostante le moderne soluzioni di prevenzione. Di conseguenza, l'attenzione è sempre più rivolta alle tecnologie che servono a scoprire rapidamente gli attacchi in corso - NDR (Network Detection & Response). Intelligenza artificiale - AI - e machine learning - i sistemi basati su ML svolgono un ruolo importante qui.
Tuttavia, poiché questi termini sono spesso confusi e l'argomento "AI & ML" è ancora un libro chiuso per molte aziende, Andreas Riepen, Head of Central and Eastern Europe di Vectra AI, arriva in fondo a tre domande fondamentali.
Panacea o arma puntata contro le aziende?
Uno dei miti più pervasivi deriva direttamente dalle posizioni estreme assunte nel dibattito sull'efficacia di AI e ML come soluzioni di sicurezza informatica. A un estremo c'è l'argomentazione secondo cui AI e ML sono la panacea per tutti i problemi legati alla sicurezza informatica. All'estremo opposto c'è l'argomentazione secondo cui AI e ML non svolgono alcun ruolo nella sicurezza informatica. Sfortunatamente, la verità effettiva è molto meno accattivante e meno facilmente citata dai dipartimenti di marketing. Il nocciolo della questione è che AI e ML di per sé non sono una panacea per il tuo Security Operations Center (SOC). Rinunciare ad AI e ML, tuttavia, lascerebbe il tuo SOC a brancolare nel buio su un'ampia gamma di attacchi attuali e futuri. È facile capire perché è così.
Le soluzioni che non sfruttano AI o ML non possono tenere il passo con il panorama in continua evoluzione delle tecniche e degli strumenti degli aggressori. Un altro problema (potenzialmente più serio) è il fatto che ci sono alcuni compiti che non possono essere svolti solo dagli esseri umani. Ad esempio, gli esseri umani non sono in grado di esaminare una serie temporale di flussi di traffico di rete crittografati per prevedere quale di essi potrebbe contenere un canale di comando e controllo nascosto. Questo tipo di attività richiede soluzioni AI e ML che vadano oltre le capacità umane.
Le soluzioni AI e ML devono essere migliori
D'altra parte, le soluzioni che utilizzano solo tecniche generali di AI e ML, sviluppate senza contesto di sicurezza e specificità di dominio, tendono semplicemente a cercare anomalie statistiche in un ambiente. È probabile che queste stesse anomalie siano abbastanza comuni, sebbene sia molto improbabile che qualcuna di esse sia maligna. Ciò comporta un aumento dell'attenzione e dei costi operativi e distrae dai comportamenti effettivi degli aggressori, che sono spesso progettati per apparire innocui. Fidarsi ciecamente delle soluzioni di sicurezza informatica basate su costrutti generici di AI e ML è come cercare un ago in un pagliaio aggiungendo prima altro fieno.
Un altro mito che continua a perpetuarsi è l'idea che l'IA offensiva rappresenti la più grande minaccia per un ambiente. Sebbene esistano nuove minacce derivanti dall'uso dell'IA nel cyberspazio (ad esempio l'utilizzo dell'IA per generare testi umani credibili per campagne di phishing e la creazione di falsi, come avevamo previsto alcuni anni fa), l'idea che i sistemi basati sull'IA siano attualmente utilizzati per fini -to-end è semplicemente distaccato dalla realtà. Chiunque venda un prodotto di sicurezza al cliente sulla base del presupposto che gli aggressori di intelligenza artificiale sono la loro minaccia principale, piuttosto che aggressori umani determinati e creativi, potrebbe anche avere una soluzione alternativa che stanno cercando di venderti.
Deficit umani nelle attività di sicurezza informatica
Le organizzazioni vedono l'IA come un'opportunità per eliminare completamente il deficit umano nelle attività di sicurezza informatica. È realistico? La risposta a questa domanda dipende in gran parte da come si interpreta la parola fix. La carenza di esperti di sicurezza informatica e i rischi che ne derivano sono fuori discussione. Questa carenza dovrebbe causare una preoccupazione profonda e duratura tra coloro che sono coinvolti nella sicurezza nazionale e nella pianificazione economica. Poiché le nostre vite dipendono sempre più da sistemi digitali e connessi, dobbiamo affrontare il fatto che creiamo nuove superfici di attacco molto più velocemente di quanto formiamo esperti per proteggere questi sistemi.
Con questo in mente, è necessario sottolineare che AI e ML possono svolgere un ruolo chiaro nel disinnescare la situazione. Alla fine ci sono due ragioni per cui questo è il caso: in primo luogo, AI e ML possono essere utilizzati per riprodurre alcuni aspetti del comportamento umano. In secondo luogo, AI e ML possono essere utilizzati per andare oltre ciò di cui sono capaci gli esseri umani. Nel primo caso è possibile automatizzare parti del flusso di lavoro dei professionisti della sicurezza. Nel secondo caso, AI e ML possono essere utilizzati per attirare l'attenzione degli esperti sulle minacce effettive invece di concentrarsi su comportamenti superficiali e innocui.
In definitiva, non c'è via d'uscita dalla carenza di esperti di sicurezza informatica. Più persone devono essere formate in questo settore. Tuttavia, AI e ML svolgeranno un ruolo cruciale nell'aiutare gli esperti a trovare e porre rimedio alle minacce.
Cosa si dovrebbe sapere sulle differenze tra AI e ML nei sistemi di sicurezza?
La distinzione tra AI e ML è probabilmente diventata così confusa che cercare di separare davvero i due termini non è più molto utile. Una strada molto più importante e fruttuosa per le aziende è chiedersi se il tipo di tecnologia in una data soluzione stia facendo cose che un essere umano da solo non potrebbe fare. Risparmia tempo per un analista umano? O distrae dagli attacchi reali che l'analista spera di scoprire? Impantanarsi sul fatto che si tratti o meno di AI o ML è come preoccuparsi se i sottomarini galleggiano o meno. Alla fine, dipende dal fatto che la soluzione funzioni o meno.
Altro su Vectra.ai
A proposito di Vetra Vectra è un fornitore leader di rilevamento e risposta alle minacce per le imprese ibride e multi-cloud. La piattaforma Vectra utilizza l'intelligenza artificiale per rilevare rapidamente le minacce nel cloud pubblico, nelle applicazioni di identità e SaaS e nei data center. Solo Vectra ottimizza l'intelligenza artificiale per riconoscere i metodi degli aggressori - i TTP (tattiche, tecniche e processi) che sono alla base di tutti gli attacchi - piuttosto che semplicemente allertare su "diversi".