Proofpoint, la cybersecurity può contare sull’AI oppure no?

Proofpoint, la cybersecurity può contare sull’AI oppure no?

La domanda ha voluto porsela anche Martin Mackay, SVP, EMEA at Proofpoint, che si è chiesto se questa è una cura per tutti i mali oppure un rischio.

Da qualche tempo intelligenza artificiale e machine learning stanno creando una certa confusione nelle community di sicurezza informatica. Ci si domanda se possano davvero essere considerate una panacea, come molti nel settore sostengono, o se siano solo nuovi strumenti che vanno ad arricchire un arsenale già molto ampio. Lo scorso anno Gartner ha indicato l’Intelligenza Artificiale tra i dieci trend tecnologici principali per data e analytics per il 2019, mentre all’inizio di quest’anno Forbes l’ha definita come il “futuro della Cybersecurity”.

Questi pareri stanno rapidamente guadagnando terreno anche tra i professionisti della sicurezza IT.

Uno studio di Capgemini Research Institute, che ha coinvolto oltre 850 dirigenti di alto livello nel campo della cybersecurity e delle operation IT, ha rilevato che:

  1. Circa due terzi dei manager ritengono di non essere in grado di identificare le minacce senza l’Intelligenza Artificiale
  2. Tre aziende su cinque affermano che l’Intelligenza Artificiale ha migliorato l’accuratezza e l’efficienza degli analisti cyber.
  3. Circa tre quarti delle aziende stanno testando i casi d’uso dell’AI.

Chiaramente l’AI ha il suo ruolo in una solida strategia di protezione. Ma stiamo forse sovrastimando il suo potenziale? Cosa dobbiamo aspettarci da AI e ML? L’AI e i campi di ML associati, Natural Language Processing e Robotic Process Automation possono essere parole chiave dell’industria moderna, ma non sono certamente nuove nel mondo della sicurezza IT.

Il filtro antispam è il primo esempio comune di machine learning in questo ambito, risalente ai primi anni 2000. Nel tempo, il livello di analisi effettuato da questi strumenti è migliorato, passando dal filtering di alcune parole alla scansione di URL, domini, allegati e altro ancora.

Sono gli ultimi sviluppi dell’AI ad attirare l’attenzione del settore. E a ragione, perché sta facendo grandi passi avanti, contribuendo alla protezione da svariate minacce tra cui il rilevamento di frodi, malware, intrusioni, valutazione del rischio e analisi del comportamento utente/macchina.

Tutto ciò dimostra che quando ci chiediamo se dobbiamo crederci non stiamo mettendo in discussione il valore dell’AI o del ML come strumento di difesa della sicurezza informatica, ma ci stiamo chiedendo se considerarli davvero un beneficio.

È indubbio che l’AI non offre una soluzione completa. Può essere in grado di effettuare analisi più approfondite in tempi molto più rapidi rispetto agli esseri umani, ma siamo molto lontani dal renderla la prima, ultima e unica linea di difesa.

È importante vederla come strumento di supporto ai team di sicurezza e non come metodo per sostituire l’intervento umano - come avviene quando capacità umane e macchine vengono applicate insieme per far sì che la protezione sia più robusta.

Un recente studio del Massachusetts Institute of Technology (MIT) ha rilevato che una combinazione di competenze umane e sistemi di machine learning - ciò che si definisce "machine learning supervisionato" - è molto più efficace degli esseri umani o del solo ML. Il modello supervisionato ha funzionato 10 volte meglio del machine learning semplice.

Uomo e macchina: lavorare a fianco dell’AI
Lo studio del MIT analizza il modo in cui l’AI si inserisce nella protezione IT. È uno strumento potente quando si tratta di individuare e fermare una serie di attacchi cyber, ma da sola non basta. Ha un grande potenziale per identificare le minacce comuni, ma può difendere efficacemente dalle minacce moderne solo con l’aiuto dell’uomo. Ad esempio, un sistema di machine learning può identificare e neutralizzare una minaccia contenuta in un link o in un allegato pericoloso, ma è molto meno efficace nel proteggere da attacchi di ingegneria sociale come il Business Email Compromise (BEC).
Nonostante tutti i suoi progressi, il ML non è ancora un mezzo ottimale per analizzare le sfumature e le idiosincrasie del comportamento umano - che possono portare a non individuare le minacce mancate e a un alto tasso di falsi positivi.

Perché è importante? Il motivo è che gli aggressori oggi hanno spostato il loro obiettivo, da infrastrutture e rete alle persone: inconsapevolmente i dipendenti rimangono il punto più vulnerabile per l’azienda e un approccio alla sicurezza focalizzato sulle persone è fondamentale.

Se AI e ML non devono essere considerati un sostituto delle competenze umane, non bisogna aspettarsi neanche che sostituiscano le attuali tecnologie di cybersecurity. Al di fuori dell’ML, tecniche come l’analisi statica, l’analisi comportamentale dinamica e l’analisi dei protocolli continueranno ad avere il loro ruolo.

Una buona protezione deve essere la più ampia possibile. Ciò significa creare una cultura della sicurezza attraverso la formazione e fornire ai dipendenti tecniche e strumenti di protezione efficaci.

Quindi, dobbiamo credere all’hype? Per quanto riguarda il fatto che l’IA sia uno strumento potente che può rafforzare le nostre difese informatiche - sì. Ma come unica soluzione ai problemi che stiamo affrontando? Assolutamente no.