AI nella cybersecurity: non è tutto oro quello che luccica

Rilevanza ed automazione degli aiuti che gli algoritmi propongono per migliorare la sicurezza sono ridotti da alcuni vincoli. I più forti riguardano dati e modelli.

Il termine AI viene usato spesso come cappello generale per attività diversificate. Tra queste, spesso si dovrebbe specificare ML, machine learning, in particolare per le analisi che si fanno sui dati in ambito di sicurezza. Più correttamente, secondo alcuni, questo settore dovrebbe essere chiamato Infosec.

Quale sia il nome che gli viene dato, gli “algoritmi” nella cybersecurity vengono usati sia come analisi difensiva, sia come attacco. Certo è che gli attackers stanno usando AI, un trend che secondo alcune analisi ha fatto registrare un +700% nel 2021.

La vulgata mediatica parla di frequente uso di intelligenza artificiale e con risultati spesso straordinari: questa apparente verità è stata analizzata e messa in discussione in più panel del Cybertech, in particolare su quello dedicato a questo specifico argomento.

“Il termine AI è divenuto un mantra in ICT”, ha esordito Elisabetta Zuanelli, professoressa a Tor Vergata ed esperta di AI presso le UN, nel presentare il panel relativo all’intelligenza artificiale nella fase difensiva della sicurezza. “Oggi sono tre i problemi principali: i servizi predittivi, l’uso dell’AI da parte degli attackers e la protezione dell’’elevatissima quantità di dati che nutre l’AI”. Certo l’applicazione del ML ai data set nella fase di detection ha molti benefici, come la riduzione dei falsi positivi e l’efficienza di filtraggio nel pattern recognition.

Tanti dati, pochi modelli

Ma si parte sempre dai dati e questo è un problema rilevante: ne raccogliamo quantità sempre più difficili da gestire. “Ma che fine hanno fatto le ontologie di dodici anni fa? – si chiede Zuanelli -. Senza ontologie, i dati sono persi”.

Ed è proprio così. “Se guardiamo in giro e cerchiamo vera AI ne troveremo molto poca”, aveva già osservato in altra sessione Eugenio Santagata, CEO Telsy e recentemente diventato anche Chief Public Affairs & Security Officer in Tim. “Pronunciare l’espressione AI rende tutto smart, ma non è manca la modellazione”.

E la Zuanellli è d’accordo: “la macchina ha i dati e da questi impara ma fa anche errori e senza modelling gli algoritmi non servono a niente”.

“L’intelligenza artificiale ha avuto un effetto sistematico”, aveva spiegato Paolo Ciocca di Consob, “creando una barriera all’ingresso e anche nuove vulnerabilità come ad esempio vanno intesi i bias”.

“La remediation nel passato era rivolta alle vulnerabilità sui device”, ricorda Lorenzo Mazzei, Managing Director di Alfa Group; “ora il modo migliore per distribuire le patch e valutare lo scoring è affidato al machine learning”.

Forse oggi le speranze riposte nell’AI ne rendono la divulgazione più rosea rispetto ad una realtà ancora farraginosa.

Tra gli usi positivi dell’AI si parla molto di automazione: questo miglioramento sembrerebbe ormai acquisito, ma forse non è così. “Il trend è chiaro, ma c’è una eccessiva esaltazione”, ha commentato Santagata;“tutti vorrebbero ridurre tempi e costi, ma i risultati iniziali dell’adozione di queste tecnologie sono molto poveri”.

Veloci sul device, analitici sui dati

Anche la pandemia ha modificato alcuni parametri, “Il cambiamento dei paradigmi di lavoro, non più prevalentemente da postazione fissa, ha cambiato i riferimenti”, sintetizza Marco Rottigni, Technical Director in SentinelOne. “Ora abbiamo le tre V, che sono Volume, Velocity e Variance”. In particolare va sottolineata l’adattività dell’attacco. Come può difendersi l’utente, mantenendo la  business continuity? Quali security operation possono rispondere velocemente e mitigare il rischio?

Certo l’AI aiuta, sia con azioni sul device, sia con sistemi di analisi. Mettere l’AI sul device contrasta molto presto l’attacco e permette di operare con la stessa velocità dell’attaccante. Qui serve una risposta autonoma.

Ma non ci si può limitare ad agire sul device. Le security operations devono avere la possibilità estrarre quanto prima i dati per capire da dove proviene l’infezione, estrarne le caratteristiche, condividere queste informazioni nel settore ed acquisire informazioni complessive di contrasto alle azioni malevoli.

Attenzione alla terminologia

L’immagine complessiva che si ha dell’AI è che “intelligenza artificiale” sia sostanzialmente rimasto un termine marketing, comunque troppo generale per poterlo ritenere un bollino di qualità.

Delle buone operazioni si possono comunque attivare, ma di buone pratiche se ne vedono poche e per valutare ciascuna azione bisogna entrare molto nello specifico.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli