L’intelligenza artificiale aumenterà velocità e precisione nella sicurezza informatica.
Fornito da IBM
Per anni si è discusso dei benefici dell’intelligenza artificiale (IA) per la società, ma solo ora è stato possibile vederne l’impatto quotidiano. Perché ora? Cosa ha permesso che l’IA nel 2023 avesse più impatto rispetto a prima?
In primo luogo, la conoscenza da parte degli utenti delle innovazioni emergenti dell’IA ha consentito che l’argomento e la discussione su di esso si diffondesse enormemente. Dalla scrittura di canzoni alla composizione di immagini in modi prima solo ipotizzati, fino alla stesura di testi di livello universitario, l’IA generativa si è fatta strada nella nostra vita quotidiana. In secondo luogo, abbiamo raggiunto un punto di svolta nella curva di maturità delle innovazioni dell’IA in ambito aziendale e nel settore della sicurezza informatica questo progresso non sarà mai abbastanza rapido.
Insieme, l’IT Consumerization dell’IA e l’avanzamento dei casi d’uso dell’IA per la sicurezza stanno creando il livello di fiducia e di efficacia necessario affinché l’IA inizi ad avere un impatto reale nei centri operativi di sicurezza (SOC). Approfondendo questa evoluzione, vediamo come le tecnologie IA si stanno facendo strada nel lavoro degli analisti di sicurezza informatica.
Progettare la cybersicurezza con velocità e precisione grazie all’IA
Dopo anni di prove e perfezionamenti con gli utenti del mondo reale, insieme ai continui progressi dei modelli di IA, le funzionalità di cybersecurity basate sull’IA non sono più buzzword o semplici funzionalità basate su schemi e regole. La quantità di dati è oggi enorme, così come i segnali e le intuizioni significative. Gli algoritmi sono più maturi e sono in grado di contestualizzare meglio tutte le informazioni che elaborano, dai diversi casi d’uso ai dati grezzi e imparziali. La promessa che abbiamo atteso per tutti questi anni si sta manifestando.
Per i team di cybersecurity, questo si traduce nella capacità di imprimere una svolta alla velocità e alla precisione delle loro difese e forse, finalmente, di ottenere un vantaggio nel caso di crimini informatici. La sicurezza informatica è un settore che dipende intrinsecamente dalla velocità e dalla precisione per essere efficace, entrambe caratteristiche proprie dell’IA. I team di sicurezza devono sapere esattamente dove guardare e cosa cercare. Dipendono dalla capacità di muoversi e agire rapidamente. Tuttavia, velocità e precisione non sono garantite nella cybersecurity, soprattutto a causa di due sfide che affliggono il settore: la carenza di competenze e il grande incremento dei dati dovuto alla complessità delle infrastrutture.
La realtà è che oggi un numero limitato di persone che si occupano di cybersecurity affronta infinite minacce informatiche. Secondo uno studio IBM, i difensori sono in minoranza: il 68% di coloro che rispondono agli incidenti di sicurezza afferma che è comune rispondere a più incidenti contemporaneamente. Inoltre, in un’azienda vengono elaborati più dati che mai, e l’organizzazione è sempre più complessa. L’edge computing, l’Internet delle cose e le esigenze remote stanno trasformando le moderne architetture aziendali, creando labirinti con notevoli punti ciechi per i team di sicurezza. E se questi team non riescono a “vedere”, non possono essere precisi nelle loro azioni di sicurezza.
Le capacità maturate attualmente nel settore dell’IA possono contribuire a risolvere questi ostacoli. Ma per essere efficace, l’IA deve trasmettere fiducia: è quindi fondamentale circondarla di barriere che garantiscano risultati affidabili in termini di sicurezza. Ad esempio, quando si procede a grande velocità per il solo gusto di farlo, il risultato è una velocità incontrollata che porta al caos. Ma quando l’IA è affidabile (cioè i dati con cui addestriamo i modelli sono privi di pregiudizi e i modelli dell’IA sono trasparenti, privi di derive e spiegabili), può procedere a una velocità affidabile. E quando è abbinata all’automazione, può migliorare in modo significativo la nostra posizione di difesa, intervenendo automaticamente nell’intero ciclo di vita del rilevamento, dell’indagine e della risposta agli incidenti, senza ricorrere all’intervento umano.
Il “braccio destro” dei team di cybersecurity
Uno dei casi d’uso più comuni e consolidati nella cybersecurity oggi è il rilevamento delle minacce, con l’intelligenza artificiale che apporta un contesto aggiuntivo da set di dati ampi e disparati o rileva anomalie nei modelli comportamentali degli utenti. Vediamo un esempio. Immaginate che un dipendente faccia erroneamente clic su un’e-mail di phishing, innescando un download dannoso sul suo sistema che consente a un malintenzionato di intrufolarsi nel sistema della vittima e di operare in modo invisibile. Il malintenzionato cerca di eludere tutti gli strumenti di sicurezza in uso nell’ambiente mentre cerca punti deboli che può sfruttare economicamente. Ad esempio, potrebbe essere alla ricerca di password compromesse o di protocolli aperti da sfruttare e distribuire come ransomware, consentendo loro di impadronirsi di sistemi critici come leva contro l’azienda.
Ora aggiungiamo l’intelligenza artificiale a questo scenario prevalente: l’intelligenza artificiale noterà che il comportamento dell’utente che ha cliccato su quell’e-mail è ora fuori dall’ordinario. Ad esempio, rileverà la sua interazione con sistemi con cui non interagisce di solito. Osservando i vari processi, segnali e interazioni che si verificano, l’intelligenza artificiale analizzerà e contestualizzerà questo comportamento, mentre una funzione di sicurezza statica non potrebbe farlo.
Poiché I malintenzionati non possono imitare i comportamenti digitali con la stessa facilità con cui possono imitare caratteristiche statiche, come le credenziali di una persona, il vantaggio comportamentale che l’intelligenza artificiale e l’automazione offrono agli addetti alla security rende queste capacità di sicurezza ancora più potenti.
Ora immaginate questo esempio moltiplicato per cento. O per mille. O per decine e centinaia di migliaia. Perché questo è all’incirca il numero di minacce potenziali che un’azienda deve affrontare in un solo giorno. Se si confrontano questi numeri con i team di 3-5 persone che oggi gestiscono i SOC, in media le probabilità di riuscita dell’attacco sono naturalmente a favore dei malintenzionati. Tuttavia, grazie alle funzionalità di AI che supportano i team SOC attraverso la definizione delle priorità in base al rischio, questi team possono ora concentrarsi sulle minacce reali in mezzo al rumore. Inoltre, l’IA può anche aiutarli a velocizzare le indagini e la risposta, ad esempio analizzando automaticamente i dati nei sistemi per trovare altre prove relative all’incidente o fornendo flussi di lavoro automatizzati per le azioni di risposta.
IBM sta introducendo funzionalità AI come queste in modo nativo nelle sue tecnologie di rilevamento e risposta alle minacce attraverso la QRadar Suite. Uno dei fattori che fa di questo sistema un game changer è che queste capacità chiave di intelligenza artificiale sono ora riunite in un’esperienza analitica unificata che attraversa tutte le tecnologie SOC principali, rendendole più facili da usare nell’intero ciclo di vita degli incidenti. Inoltre, queste capacità di intelligenza artificiale sono state perfezionate al punto da poter essere affidabili e agire automaticamente attraverso una risposta orchestrata, senza l’intervento umano. Ad esempio, il security service team di IBM ha utilizzato queste funzionalità di intelligenza artificiale per automatizzare il 70% degli interventi e accelerare le tempistiche di gestione delle minacce di oltre il 50% entro il primo anno di utilizzo.
La combinazione di IA e automazione consente di ottenere vantaggi tangibili in termini di velocità ed efficienza, di cui i SOC di oggi hanno un disperato bisogno. Dopo essere state messe alla prova per anni, le innovazioni dell’IA possono ottimizzare l’uso del tempo da parte dei malintenzionati attraverso la precisione e l’accelerazione delle azioni. Quanto più l’IA verrà sfruttata nell’ambito della sicurezza, tanto più velocemente aumenterà la capacità di rendimento dei team di sicurezza e la resilienza e la prontezza del settore della cybersecurity ad adattarsi a qualsiasi situazione futura.
Questo contenuto è stato prodotto da IBM. Non è stato scritto dalla redazione di MIT Technology Review.
