Intelligenza Artificiale e CyberSecurity: come acquisire la consapevolezza del contesto
Andrea Pazienza, Innovation Specialist Exprivia
La consapevolezza del contesto, meglio nota col termine inglese situational awareness, riguarda l'acquisizione di una chiara e corretta identificazione di quanto è accaduto, di quanto sta accadendo e di quanto potrà accadere nell'immediato futuro. In particolare, nell'ambito della cybersecurity, riguarda l'essere in grado di identificare attività minacciose e possibili vulnerabilità in un dato contesto, in modo che possano essere attivamente difesi i dati, le informazioni e i processi, individuando eventuali mitigazioni.
Un sistema di Early Warning (EWS) fornisce un meccanismo per contribuire all'incremento della cyber situational awareness attraverso un approccio olistico:
- l'adozione di informazioni provenienti da diverse discipline, ad esempio l'intelligenza umana (HUMINT), l'intelligenza geo-spaziale (GEOINT), l'intelligenza artificiale (AI) e l'intelligenza open source (OSINT), possono essere combinate con un sensore di informazioni cyberspaziali (ad esempio, avvisi sul sistema di rilevamento delle intrusioni) per migliorare la consapevolezza cibernetica del contesto globale;
- i concetti e le strategie per raggiungere la consapevolezza cibernetica del contesto richiedono processi dedicati, tecnologie abilitanti e organizzazioni collaborative.
L'attività di classificazione di eventi malevoli serve per identificare falsi positivi, allarmi veri ma che non necessariamente sono collegati ad un attacco. Obiettivo di un sistema di Early Warning è quello di semplificare il lavoro di un Security Analyst nella identicazione di falsi positivi e dedicare maggiore tempo agli attacchi reali.
In tale framework, l'intelligenza artificiale ha un ruolo fondamentale: il sistema utilizzato per rilevare le minacce può essere ancora più preciso se dotato di moduli intelligenti progettati secondo le più moderne tecniche di Natural Language Processing (NLP) e Machine Learning (ML).
Nell'ecosistema digitale (incluso internet) è possibile trovare diverse sorgenti di informazioni strutturate (ad esempio CSIRT, database di threat intelligence) o non strutturate (social network, blog, bollettini, report, libri, manuali operativi) sulla sicurezza. Un'attività molto onerosa per un Security Analyst è quella di integrare informazioni strutturate e non, comprendere cosa è affidabile e cosa no, e creare quindi le informazioni necessarie alla identificazione dei falsi positivi. L'NLP è una tecnologia utile per ridurre l'impegno umano e consente la costruzione di sistemi che analizzano e strutturano il testo delle informazioni non strutturate, mettendo in evidenza solo le informazioni utili. Nella NLP l'attività che si concentra sull'estrazione di entità rilevanti è chiamata estrazione di informazioni (Information Extraction, IE). La capacità comprensiva e generativa dell'NLP, sia per il parlato che per il testo, lo rendono quindi uno strumento importante nelle mani di tutti i tipi di attori della sicurezza informatica.
Con il Machine Learning, i sistemi di rilevamento delle intrusioni possono essere dotati di moduli intelligenti basati su approcci di apprendimento statistico e intelligenza computazionale per affrontare il compito inferenziale del ragionamento in condizioni di incertezza. Il ragionamento con incertezza è, infatti, uno dei principali sottocampi della ricerca nell'AI, che ci consente di fornire:
- una spiegazione semantica sull'origine e la natura dell'incertezza;
- un modo per rappresentare l'incertezza in un linguaggio formale;
- un insieme di regole di inferenza che derivano conclusioni incerte (sebbene ben giustificate), raggiungendo, quindi, una consapevolezza cibernetica del contesto.
Anche l'interpretabilità e l'affidabilità dei modelli di AI hanno un ruolo di rilevo, in quanto l'abilità di spiegare il motivo del rilevamento costituisce una parte importante per il raggiungimento della consapevolezza cibernetica del contesto. L'utente potrebbe quindi fare una scelta più consapevole di qualsiasi azione difensiva da intraprendere. Tuttavia, la maggior parte dei sistemi di eXplainable AI (XAI) sono progettati per utenti esperti in ML, in grado di comprendere l'output restituito da tali sistemi attraverso generalmente una tabella o una visualizzazione grafica predefinita e statica che non può essere manipolata dall'utente.
Siamo quindi in un momento storico in cui la disponibilità di dati permette di gestire la volatilità nei comportamenti degli attaccanti con tecniche nuove che richiedono la capacità di individuare fonti, gestirle e soprattutto analizzarle in modo da poter segnalare tempestivamente situazioni di allarme e pericolo. In questo scenario una delle strategie più adeguate a gestire la nuova complessità è supportare l'intelligenza umana degli analisti di sicurezza aumentandola. In questo nuovo campo di battaglia immerso in dati e informazioni dentro le quali si possono trovare importanti supporti, Exprivia ha creato una “arma strategica” di nuova generazione, l'EWS, che tramite tecniche di Visual e data Analytics e utilizzando tecniche di NLP di ultima generazione punta a garantire all'analista un importante strumento di supporto.