L’intelligenza artificiale per la cyber security

L'intelligenza artificiale per la cyber security
Ascolta l'articolo

Intelligenza artificiale: dalla cura delle malattie alle previsioni economiche, passando per la politica, crescono le aspettative. Ma come funziona e quali sono le possibili applicazioni in tema di sicurezza informatica?

L’intelligenza artificiale – AI per brevità – è arrivata recentemente alle prime pagine per avere scoperto un nuovo farmaco, efficace contro vari batteri antibiotico-resistenti. Speriamo che possa presto dare frutti contro il COVID-19, e nel frattempo possiamo chiederci se possa aiutare anche in ambito cybersecurity. Abbiamo tutti la speranza – che ritengo assolutamente ragionevole – di un futuro che l’intelligenza artificiale aiuta a rendere migliore, ma si è creato – come spesso accade – un certo “hype” che non aiuta a capire cosa sia possibile e cosa no. La mia opinione è sicuramente influenzata dal fatto che la mia tesi di laurea, un paio di decenni fa, era appunto sull’uso dell’intelligenza artificiale in ambito medico. Molti ottimi algoritmi funzionano bene e sono assai utili. Sono magari Big Data e magari anche cloud (oggi, se non hai qualche tonnellata di big data nel cloud non sei nessuno). Sono magari anche molto complessi. Ma non sono AI.

Chiamiamo “intelligenza artificiale” un tipo di algoritmo che non viene programmato direttamente con una sequenza determinata di passi, bensì è stato fatto “evolvere”, avendo dei dati d’ingresso fissati e al contempo una pressione (imposta da noi) per farlo arrivare al risultato che ci serve. Non è nulla di inusuale: facciamo lo stesso quando addestriamo un cane a cercare i tartufi. Gli facciamo annusare un tartufo e gli insegniamo che riceverà un premio se ce ne trova degli altri. Come fa a trovarli? Sappiamo che usa il fiuto, ma non ci interessa e ci serve solo che li trovi.

Leggi anche:  La botnet Echobot ha minacciato i dispositivi IoT del 34% delle organizzazioni nel mondo

L’AI funziona bene quando è facile capire quando un risultato va bene, ma non è facile definire con precisione i criteri di successo. Se si riesce a definire con precisione come si fa ad arrivare a un risultato corretto, non serve l’intelligenza artificiale, basta un algoritmo “normale”, anche se la complessità computazionale potrebbe essere molto elevata.

Quindi dove potremmo usare l’AI in cyber security? Se per il mio firewall riesco a scrivere delle regole generali – per esempio “accetto connessioni solo se rispettano il protocollo HTTPS e usano cifrari a elevata robustezza” – l’intelligenza artificiale non serve. La regola generale è facile da scrivere, e posso gestire eventuali casi speciali con un elenco non grande di eccezioni.

Se invece decido che “accetto connessioni solo se le applicazioni trasportate da HTTPS sono affidabili” – allora mi scontro con un problema. Come definisco “affidabile”? È facile intuire che non è possibile definire dei criteri analitici. Quando chiediamo un mutuo, la banca raccoglie molti dati su di noi, ci vuole conoscere, esamina l’investimento e le garanzie, consulta le centrali di rischio, e riserva comunque la decisione finale a delle persone.

Oggi, per decidere se un’applicazione è affidabile, praticamente tutta la tecnologia più diffusa usa delle liste predeterminate, o in alcuni casi, una serie (più o meno complicata) di criteri analitici, incluso eventualmente l’affidarsi a servizi di “reputazione” (che hanno gli stessi pro e contro delle centrali di rischio). Credo sia immediato capire che si tratta sempre di valutazioni parziali.

Occorrerebbe sempre avere una persona per valutare l’insieme dei fattori e prendere una decisione, ma è evidente che ciò non è possibile: diventa quindi interessante l’uso di un algoritmo, che vista la situazione non può che essere una AI. Un’altra applicazione interessante potrebbe essere la rilevazione in “tempo reale” di situazioni pericolose. Infatti, non è possibile definire in modo esaustivo una situazione pericolosa, ma è facile capire quando ne vediamo una. Questo potrebbe avere un impatto importante in tutti i progetti SIEM. Alcuni vendor stanno già mettendo a disposizione della tecnologia in proposito, e non possiamo che auspicarne l’adozione.

Leggi anche:  Sababa Security, nasce il SOC a misura di media azienda

Mauro Cicognini membro del consiglio direttivo CLUSIT