Palo Alto Networks: la sicurezza passa dall’AI, ma quale?

Palo Alto Networks: la sicurezza passa dall’AI, ma quale?

Oramai divenuta un termine di uso comune, l’AI viene utilizzata anche per quello che riguarda la sicurezza. Secondo Greg Day, VP and Chief Security Officer for Europe, Middle East, Africa di Palo Alto Networks, però si rischia di fare confusione.

Spesso mi viene chiesto di valutare se Palo Alto Networks opera meglio e più facilmente di altri e altrettanto di frequente qualcuno lancia parole chiave come intelligenza artificiale o machine learning per valutare quanto siamo aggiornati su queste tecnologie emergenti.
Voi lo siete?
L’intelligenza artificiale può essere un termine che crea confusione. È diventato un punto di riferimento generale per varie metodologie e tecnologie. In ambito sicurezza, ci sono almeno tre casi di utilizzo per cui le aziende devono comprendere se stanno davvero usando l’AI e, ancora più importante, quali sono le aspettative che possono riporre in questa tecnologia.

Big Data Analytics
Il primo caso sono i big data analytics, che utilizzano analisi statistiche del traffico – di siti Internet, email o altri dati di rete – per prevedere eventuali anomalie che potrebbero indicare minacce alle sicurezza, come i virus. Questo metodo analizza differenti formati di dati, ad esempio per un messaggio di posta, ne valuta l’origine, il percorso effettuato, l’oggetto utilizzato, per stabilire il suo potenziale livello di rischio.
Tuttavia, il processo è piuttosto elementare e spesso identifica falsi positivi, classificando come pericoloso anche il traffico legittimo. Per evitarlo, le minacce potenziali vengono trasferite ad analisti in carne e ossa che hanno il compito di valutarle. Non si tratta più di intelligenza artificiale pura, se le decisioni dipendono in larga parte dagli esseri umani.

Machine Learning controllato
Una forma più avanzata di intelligenza artificiale è il machine learning, ovvero quando un algoritmo categorizza i dati in gruppi distinti. Il machine learning controllato viene applicato quando l’algoritmo è indirizzato a suddividere le informazioni in categorie. Ad esempio, alimentandolo con immagini di gatti e cani perché impari a riconoscerli in futuro. Se dotati di sufficienti dati sui messaggi potenzialmente riconducibili a codici pericolosi, gli algoritmi di apprendimento possono imparare a distinguere tra minacce reali e traffico legittimo.

Il machine learning supervisionato è come l'analisi dei big data all’ennesima potenza. Può prendere decisioni accurate molto più velocemente degli umani. Oggi le minacce sono centinaia, perciò più elementi si riescono ad analizzare e correlare contemporaneamente, più il rilevamento sarà ottimale.
Perché è così importante? Gli specialisti di sicurezza si attiveranno solo quando saranno certi di aver identificato il problema correttamente. Essere in grado di utilizzare il machine learning per riconoscere le minacce cyber con maggiore sicurezza è fondamentale se si desidera intraprendere azioni automatizzate senza rallentamenti dovuti all’attesa di autorizzazione da parte di persone specializzate.

Machine Learning non controllato
Una forma ancora più pura di AI è l’apprendimento non controllato. In questo caso un algoritmo analizza i dati e trova i propri insight senza essere istruito. Ad esempio, analizzando le immagini online, imparerà da solo quali sono le zebre e quali le mucche. Questo processo però richiede tempo. Lasciare un algoritmo “libero” di imparare i dati di sicurezza potrebbe richiedere anni per avere riscontri validi. Ciò detto, gli insight che crea potrebbero essere rivoluzionari, ad esempio potrebbe identificare autonomamente alcune linee di codice associate a virus o attacchi.

Una semplice analogia
C'è un altro modo di considerare l'intelligenza artificiale, che potrebbe essere più facile da comprendere, tramite un’analogia con la cucina. Paragoniamo i big data analytics alla preparazione di un piatto di pasta al pomodoro. Sono solo due semplici ingredienti, ma bisogna assicurarsi di dosarli al meglio per avere un piatto eccellente. Gli analytics necessitano di esempi in cui il rapporto non sia bilanciato, per segnalare l’anomalia in modo tale che uno chef umano possa correggere la ricetta.
Il machine learning non supervisionato consente di ampliare l'elenco degli ingredienti. È come preparare un buon curry con molte variazioni di spezie.

Più ingredienti ci sono, maggiore è il numero di combinazioni. Il machine learning si comporta come uno chef nella media: esegue migliaia di esperimenti per ottenere la migliore miscela di peperoncino e lime, per raggiungere il sapore perfetto.
Non è vincolato dalle percezioni esistenti e questa è la sua forza, ma allo stesso tempo può richiedere molte iterazioni per ripetere una ricetta desiderata. I risultati possono richiedere molto tempo ed essere eterogenei ma l’aspetto positivo è che si potrebbe trovare qualcosa di sorprendente che il cervello umano non avrebbe mai concepito.
La prossima volta che qualcuno vi chiede informazioni sull'AI o vi propone un'ottima soluzione di sicurezza, è bene valutare se risponde realmente alle esigenze aziendali interne. Bisognerà valutare la quantità di dati prodotti e il loro valore. Potreste aver bisogno di un piatto di pasta al pomodoro o forse di un curry. Oppure di un gusto completamente nuovo.
L’intelligenza artificiale può offrire nuovi livelli di sicurezza IT per semplificare le operazioni. La sfida è decidere cosa sia più appropriato per il proprio business.