Context-Aware Detection, hunting e huntress sono le tecnologie che Check Point Software Technologies usa per contrastare gli attacchi informatici usando l’esperienza umana
L’automazione è fondamentale nella lotta per la cyber security, che già impiega da qualche anno strumenti automatici d’attacco. La sfida si sta spostando dal “banale” phishing all’intelligenza artificiale.
I “buoni” non stanno a guardare: Check Point Software Technologies, per esempio, ha approfondito le possibilità di utilizzare l’AI per contrastare le minacce, però combinandola con l’intelligenza umana attraverso tre strumenti: Campaign Hunting, Huntress e Context-Aware Detection.
Lo studio delle campagne di spam, phishing e così via, è una pratica consolidata. Gli esperti che analizzano i software malevoli e gli strumenti di attacco sono capaci di identificare l’origine di tali elementi e riconoscere casi simili, un esempio tipico è l’individuazione di domini registrati dalla stessa persona nello stesso momento, con la stessa terminologia. Anche grazie a questa “meccanizzazione”, gli strumenti di machine learning possono aiutare a raffinare queste ricerche.
In Check Point hanno sviluppato algoritmi che permettono di analizzare milioni di indicatori già noti e cercarne altri simili. In pratica, possono produrre un ulteriore feed di informazioni sulle minacce.
Di fatto, comunicano gli esperti della società d’origine israeliana, oltre il 10% degli attacchi sono bloccati solo grazie alla dalla tecnologia per il Campaign Hunting.
Huntress
A questo si aggiunge Huntress, un motore di ricerca che analizza i file eseguibili al fine di rilevare quelli malevoli. Si tratta di una delle principali sfide per la cyber security, evidenziano presso Check Point, in quanto un eseguibile è “normale” che venga eseguito e, finché non è classificato come pericoloso non è facile che desti sospetti su cosa sta realmente elaborando.
In genere è un rincorrersi tra l’analisi del comportamento del software e le tecniche di elusione che ne mascherano l’azione malevola.
Per questo l’intelligenza artificiale diventa uno strumento prezioso perché consente di analizzare e rilevare i file malevoli grazie alla raffinazione di algoritmi che, con il machine learning, vengono istruiti attraverso milioni di eseguibili non validi già noti.
Huntress, affermano gli esperti di Check Point Software Technologies, può individuare eseguibili maligni con maggiore accuratezza ed efficacia di antivirus e di un’analisi statica. Più precisamente gli stessi esperti sostengono che Il 13% degli eseguibili malevoli rilevati vengono scoperti esclusivamente da tale motore.
CADET
La Context-Aware Detection (CADET), è il terzo strumento che combina intelligenza artificiale e intelligenza umana, analizzando non singoli elementi, ma l’intero contesto.
Per esempio, spiegano gli esperti del vendor, di fronte a un link, lo strumento osserva se questo è stato inserito in una mail, chi lo ha inviato, quando il dominio del link è stato registrato e da chi è stato registrato e così via.
Tutti questi dettagli portano il motore CADET a disegnare un contesto univoco per emettere un verdetto.
Sono strumenti altamente efficaci, ma, come gli stessi esperti di Check Point Software Technologies commentano in un blog, l’intelligenza artificiale da sola non basta. Le tecnologie non sono ancora sufficientemente mature e richiedono una grande quantità di input umani perché siano efficaci, ma la strada è segnata.