Al giorno d’oggi, la difesa di un perimetro aziendale è una guerra persa: le possibili falle sono troppo numerose e se anche dovessimo coprire tutte le vulnerabilità software, l’ingegneria sociale fornisce sempre un accesso a chi sa quali corde far vibrare.
Per fortuna dei responsabili della sicurezza informatica, i tempi sono maturi per riceve un valido aiuto da tecnologie che fino a 5 anni fa erano relegate nei film di fantascienza: le intelligenze artificiali.
Machine learning, deep learning e (impropriamente) IA non sono termini nuovi nel campo della sicurezza informatica, anzi… i motori di analisi euristica e di riconoscimento dei pattern d’azione dei sistemi di difesa endpoint moderni hanno esplorato il campo già da anni, ma adesso le cose si fanno più interessanti e gli approcci si sono diversificati.
Un esempio lampante di “aiuto di nuova generazione” è Watson for Security di IBM, che si propone come uno strumento avanzato per analisti umani piuttosto che come una piattaforma di difesa autonoma.
«Watson è una piattaforma estremamente potente, – ci dice Domenico Raguseo, responsabile europeo delle technical sales di IBM Security – ma non è uno strumento di sorveglianza. Le sue funzionalità vengono attivate dal responsabile della sicurezza su specifici eventi scelti tra quelli che vengono portati alla sua attenzione dal SIEM». Una volta innescato, Watson mette in correlazione una mole impressionante di dati e fornisce all’analista umano un quadro molto completo e chiaro di quanto avvenuto, facendogli risparmiare settimane di lavoro. L’innovazione di Watson è che si comporta esattamente come l’omonimo dottore nei libri di Conan Doyle: è una spalla efficacissima che lascia poi all’analista Sherlock Holmes la risoluzione del mistero.
Molto diverso, invece, è il compito che Darktrace ha assegnato alla sua piattaforma di intelligenza artificiale. Mentre Watson entra a far parte della struttura software di sicurezza, installandosi in parte sui server dell’azienda, Darktrace è interamente contenuto in un computer a sé stante che viene collegato alla rete esistente. Per le prime ore resta in “ascolto”, in modo da analizzare tutto il traffico imparandone i normali flussi. Quando il suo modello di analisi è pronto, l’IA inizia la sua operazione di sorveglianza, rivelandosi efficacissima nello scovare anomalie. «Il nostro prodotto – dice Corrado Broli, country manager di Darktrace in Italia – è semplicissimo da installare, ma estremamente efficace nel rilevare tutte quelle leggere deviazioni che sono causate da un attacco informatico». Emblematico l’esempio che è stato portato a proposito di un datacenter che stava effettuando un test gratuito. «Il giorno dopo aver collegato il server alla rete,” – racconta Broli – Darktrace ha identificato un router che stava compiendo delle azioni sospette. Quando il responsabile ha visto la segnalazione è trasalito: di quel router lui non conosceva neanche l’esistenza. Seguendo i cavi, ha poi scoperto che era stato nascosto da qualcuno sotto al pavimento per compiere operazioni di spionaggio industriale».
Ma oltre a scovare attacchi e condurre indagini, le intelligenze artificiali giocano un ruolo importante anche nella prevenzione delle intrusioni non autorizzate o della raccolta automatizzata di informazioni sensibili. «I nostri sistemi antibot – dice Alessandro Livrea, regional manager di Akamai – hanno immagazzinato una quantità enorme di dati relativi a come gli utenti digitano le password e a come si comportano quando navigano sui siti web. In questo modo, le nostre intelligenze artificiali possono verificare se chi sta visitando una pagina è un essere umano o un robot». Vengono presi in esame tutta una serie di parametri come il percorso che il mouse compie per andare a cliccare sui pulsanti, i cambiamenti di velocità nella digitazione delle password o la durata dei clic sui link, per evitare che sistemi automatici cerchino di sfruttare credenziali rubate o di attingere a database quali anagrafiche o listini prezzi. «Sempre più” – conclude Livrea – “la sicurezza degli utenti dipenderà da come le intelligenze artificiali sapranno riconoscerli e sempre meno dalle password che verranno inserite».