Articoli

Perché
_
dovrei
_
aggiungere
_
l’intelligenza
_
artificiale
_
alla
_
mia
_
sicurezza
_
informatica?

Cybersecurity  ·  Trasformazione digitale

L’intelligenza artificiale consente di anticipare e neutralizzare le minacce o gestire gli incidenti di sicurezza informatica in modo più rapido ed efficace. Capace di analizzare grandi quantità di informazioni contestuali, l’intelligenza artificiale riduce l’intervento umano altamente specializzato.

Devo ammettere che quando il 23 marzo 2018 il pulsante di chiamata elettronica o di chiamata di emergenza è stato reso obbligatorio nelle auto, ho tirato un sospiro di sollievo. In caso di incidente, l’auto chiama automaticamente (attivabile manualmente) il 112 e invia posizione, numero di occupanti del veicolo, ecc. A quel punto alcune macchine sapevano già di noi più di noi stessi. Il fatto che il veicolo sia collegato tramite telefono non comporta un rischio aggiuntivo per la sicurezza informatica come potremmo pensare inizialmente; dai, c’è più rischio quando lo lasciamo in officina e il meccanico si collega alla centralina con un computer che magari ha un sistema operativo obsoleto, facilmente vulnerabile da una terza parte, anche se non ce ne siamo accorti.

L’immaginazione ci porta ad anticipare tutto ciò che può venire dopo… Abbiamo fatto lo stesso esercizio fantasioso riguardo a tutte le informazioni che abbiamo nella nostra azienda e senza protezione? Dopotutto, tutte le aziende sono collegate da molto tempo, qual è il risultato di qualcuno che accede al nostro sistema informatico e ha a sua disposizione la formulazione dei nostri prodotti, progetti, dati personali di dipendenti, clienti, fornitori, le nostre informazioni finanziarie o la configurazione di tutti i nostri robot sul piano di produzione? E, soprattutto, conosciamo la probabilità che ciò accada?


Immagini di origine www.smartpanel.com

L’intelligenza artificiale (AI) – in senso lato e senza distinzione tra machine learning, deep learning o reti neurali e, in alcuni casi, semplicemente la gestione dei big data – permette senza dubbio di trasformare in realtà il meglio della società immaginata: veicoli autonomi, riconoscimento facciale che ci aiuta ad identificarci, comprensione del linguaggio per generare assistenti vocali (che stanno diventando importanti quando si effettuano acquisti) o il riconoscimento di immagini utilizzato per identificare oggetti, persone, testi, scene, attività e persino le emozioni! Anche l’analisi automatica dei dati che aiuta nelle diagnosi mediche, ad esempio, avendo una capacità di gran lunga superiore a quella umana nello svolgimento di azioni ripetitive e continuate nel tempo. Tutte le piattaforme online, infatti, fanno già uso di AI: pensiamo a come Google organizza e offre risultati, nei social network più diffusi, nelle piattaforme di vendita per personalizzare l’esperienza di acquisto, che altro non è che segmentare il target di riferimento per progettare campagne e messaggi esclusivi per ogni cliente in base alle sue abitudini e preferenze.

Il contesto

Affinché tutto quanto sopra possa continuare a crescere al ritmo della domanda, gli ambienti cloud sono diventati popolari. Pertanto, la maggior parte delle applicazioni non sono più locali e il DevOps (sviluppo delle operazioni) si unisce all’implementazione dell’Internet of Things (IoT) o nella sua versione per l’industria (IIoT), alla proliferazione dei dispositivi connessi, dai giocattoli agli elettrodomestici a tutti i tipi di sensori industriali e tecnologie abilitanti come il 5G (che aumenta la velocità di comunicazione e diminuisce la latenza), che aumenta l’esposizione ai rischi informatici, da un lato, ed espone le organizzazioni a rischi di terzi dall’altro. In altre parole, non è più sufficiente essere protetti noi stessi, ma dobbiamo esigere la protezione dei nostri partner strategici.

In questo senso, si sta implementando un nuovo concetto nello sviluppo del software, il cosiddetto DevSecOs, che cerca di aumentare la sicurezza dall’inizio della programmazione, evitando i costi successivi identificando le falle di sicurezza una volta che il programma si avvicina alle fasi finali o addirittura già in funzione. Se abbiamo domande sul software che ci è già stato consegnato, o se abbiamo rilevato una vulnerabilità, una buona opzione è assumere un servizio di controllo del codice sorgente o un pentest; un test di intrusione che viene effettuato sia nella sua versione web che nelle app mobili, che rileverà eventuali errori che potrebbe avere.

Fuente imagen www.plutora.com

Gli ambienti cloud, l’IoT e la proliferazione di dispositivi connessi aumentano l’esposizione delle organizzazioni agli attacchi informatici.

La necessità di sicurezza informatica

Pertanto, non sorprende che gli incidenti informatici siano passati nell’Allianz Risk Barometer dalla 15a posizione nel 2013 alla 1a posizione come il rischio aziendale più importante nel 2020, in paesi diversi come Austria, Belgio, Francia, India, Malesia, Sud Africa, Corea del Sud, Svezia, Svizzera, Regno Unito, Stati Uniti o Spagna e per settori come aviazione, servizi finanziari, governo e servizi pubblici, servizi professionali, tecnologia e telecomunicazioni. Il caso dell’aviazione è paradigmatico data la sua complessità, che copre praticamente tutti gli scenari, e perfettamente estrapolabile ad altri settori meno all’avanguardia nella tecnologia. Il colonnello D. Fernando Acero Martín, direttore della difesa informatica nell’aeronautica, ci permette di avere un’idea molto chiara delle cause e dei rischi a cui siamo sottoposti in questo discorso nell’ambito della XIII Conferenza CCN-CERT.

Immagini di origine www.agcs.allianz.com

Anche il 15 Global Risk Report (2020) del World Economic Forum avanza nella linea di collocare gli attacchi informatici in uno degli scenari più preoccupanti come possiamo vedere nell’immagine:

Questa mappa del livello di impatto INCIBE in Spagna corrobora quanto sopra:

Un nuovo modo di intendere la (cyber)sicurezza

L’investimento nell’intelligenza artificiale come servizio, ovvero applicazioni che utilizzano l’IA per migliorare e facilitare la propria attività, passerà da 1.520 milioni di dollari nel 2018 a 10.880 milioni nel 2023 (un tasso di crescita anno su anno del 48,2% durante questo periodo) secondo MarketsandMarkets. Il che ci dà un’idea di quanto sarà appetibile questo mercato per i criminali informatici. Tuttavia, non possiamo ignorare che il 95% degli incidenti di sicurezza informatica sono dovuti a errori umani, secondo il report IBM X-Force Threat Intelligence Index 2018, che indica che siamo un potenziale pericolo per le nostre aziende, poiché un semplice cavo di ricarica USB può generare un disastro nella nostra azienda, e questo, quindi, nella formazione e nella consapevolezza è il primo elemento con cui dobbiamo lavorare nella nostra azienda per migliorare la sicurezza informatica. Il secondo è l’aggiornamento delle nostre tecnologie di protezione.

Incidenti di sicurezza informatica causati da errori umani

Il contributo dell’intelligenza artificiale alla cybersecurity

Sebbene le tecnologie di sicurezza end-point (computer, cellulari, stampanti, sensori, ecc.) in cui i problemi di sicurezza di solito si accumulano o iniziano a convergere, possiamo trovare due diverse categorie. Da un lato abbiamo piattaforme di protezione degli endpoint (EPP) e dall’altro soluzioni di rilevamento e risposta degli endpoint (EDR). Le prime, EPP, ci forniscono soluzioni complete che in genere unificano varie funzioni di sicurezza preventiva, tra cui antivirus, antimalware, firewall personale e protezione dei dati, al fine di impedire che i dispositivi siano influenzati da codici dannosi, tuttavia man mano che le minacce diventano più agili, questo tipo di difesa, che si basa su una libreria statica di minacce note e una forte difesa perimetrale, diventa meno efficace. Pertanto, le soluzioni EDR danno visibilità a ciò che sta accadendo sui computer e offrono la capacità di rilevare, indagare e rispondere ad attività dannose.

Il Magic Quadrant di Gartner, uno dei rapporti più rispettati nel settore della consulenza sulla sicurezza informatica, seleziona i migliori strumenti per la protezione degli endpoint, tra cui CrowdStrike, di cui Sofistic, la divisione di Cuatroochenta per la sicurezza informatica, è implementatore. Gartner ha evidenziato tra i vantaggi di Crowdstrike che il suo servizio Falcon Complete, compatibile con tutti gli ambienti (fisici, virtuali e nel cloud) fornisce rilevamento e risposta completamente gestiti e consulenza sull’impegno per la risposta agli incidenti, offre anche una garanzia di prevenzione di violazione di 1 milione di dollari.

Se vogliamo uno strumento complementare a un EDR dobbiamo guardare ai cosiddetti sistemi di rilevamento e prevenzione delle intrusioni (IDPS) o di analisi del traffico di rete (NTA), soprattutto in un momento in cui l’attività di molte aziende è stata trasferita o è gestita totalmente o parzialmente dal cloud, senza che ciò costituisca un’esternalizzazione o il trasferimento completo della responsabilità della propria sicurezza al provider, che deve occuparsi della sicurezza dell’infrastruttura (IaaS), inclusi server, reti, macchine virtuali e container, mentre il cliente è tenuto a gestire il sistema operativo guest, l’eventuale software applicativo e la configurazione dei controlli di sicurezza nativi, soprattutto quando il cloud provider potrebbe non essere unico, potendo parlare di implementazioni multi-cloud.

In questo contesto, strumenti come Darktrace, di cui Sofistic è un partner Platinum (la massima considerazione) e che è sviluppato sulla base di machine learning e intelligenza artificiale non supervisionati, sono vitali, poiché analizza i flussi di dati in entrata e in uscita delle applicazioni SaaS (Software as a Service) e dei carichi di lavoro cloud, apprendendo il normale modello di vita di ogni utente, dispositivo e contenitore. Inoltre, ha un modulo di risposta all’antigene (che emula il sistema immunitario umano), che utilizza l’IA per adottare azioni specifiche e dirette in risposta alle minacce informatiche ad alta sicurezza, bloccandone la diffusione in tempo reale, inclusa la possibilità di visualizzare le minacce in tempo reale le attività anomale nei carichi di lavoro e, per la categoria Platinum di Sofistic, è collegabile al proprio SOC Atlantis, che dà piena garanzia di protezione.

L’intelligenza artificiale è diventata il principale alleato della difesa informatica. Non possiamo più affidare il futuro della nostra azienda a soluzioni che non siano in grado di reagire automaticamente alle mutevoli e crescenti minacce che affrontiamo in uno scenario di operatività, la rete, che si sta espandendo in modo esponenziale e con essa i suoi rischi.