Cyber Security e intelligenza artificiale (AI) stanno diventando un binomio indissolubile nella lotta alle minacce informatiche, agli attacchi hacker e ai disservizi che in generale possono affliggere l’ecosistema IT di un’azienda. Se fino a non molto tempo fa ricorrere all’AI significava infatti mettere un po’ di distanza tra le tecniche di difesa e quelle di attacco, assicurandosi un certo vantaggio soprattutto rispetto alle iniziative opportunistiche; oggi sfruttare a pieno potenziale piattaforme avanzate vuol dire contrastare efficacemente una cyber criminalità che è sempre più versata nell’utilizzo degli algoritmi di Machine learning e dei kit basati sull’intelligenza artificiale facilmente reperibili nel dark web.
“In molti casi non si tratta di malware sofisticati, ma di software comunque in grado di “bucare” il perimetro delle aziende che si limitano a un approccio tradizionale alla cyber security. Se invece si considerano i gruppi di criminali maggiormente strutturati, vere e proprie organizzazioni con budget dedicati e obiettivi specifici, la situazione si fa notevolmente più complessa: gli strumenti utilizzati in questi casi mettono gli hacker in condizione di sferrare attacchi raffinati, e richiedono contromisure adatte, in grado di rispondere colpo su colpo a operazioni complesse, in molti casi orchestrate per l’appunto con l’ausilio di applicazioni di intelligenza artificiale”, spiega Cosimo Rizzo, Head of Sales Solution di NovaNext, system integrator e security advisor che fornisce alle imprese servizi di Managed Cyber Security attraverso la business unit dedicata CyberNext.
Who's Who
Cosimo Rizzo
Come cambia lo scenario della sicurezza IT: quali imprese rischiano cosa
Non tutte le imprese, naturalmente, sono nel mirino di questo tipo di organizzazioni criminali. Se fino a pochissimo tempo fa quelle a maggior rischio erano le grandi aziende di servizi (specie in ambito finanziario o nel settore delle utilities) oggi a essere colpiti sono soprattutto i business ad alto tasso di innovazione o le imprese che detengono grandi volumi di informazioni sensibili, che una volta sottratte possono essere cedute indebitamente al mercato: i dati sono – non bisogna mai stancarsi di ripeterlo – il nuovo oro nero, e soprattutto quelli personali fanno sempre più gola ai cyber criminali. È per questo che in realtà nemmeno le piccole imprese possono sentirsi al sicuro: non è tanto questione di se, quanto piuttosto di quando si verificherà un data breach. Anche perché, spiega l’esperto, “tra le iniziative opportunistiche si segnala un numero sempre maggiore di tentativi di intromissione indiscriminati, che puntano a introdurre nei network aziendali software cryptolocker, in grado cioè di “tenere in ostaggio” dataset essenziali per il funzionamento delle operazioni, o a sferrare attacchi Ddos (Distributed denial of service), attraverso i quali i cyber criminali riescono a immobilizzare i sistemi informatici della vittima”. In entrambi casi, nel momento in cui l’iniziativa va a buon fine, vengono richiesti dei riscatti in denaro che purtroppo non rappresentano l’unico vulnus per le imprese colpite. Fermi macchina, disservizi causati ai clienti e danni di reputazione in genere pesano sul conto economico molto più del mero esborso necessario a tornare alla piena funzionalità dei sistemi.
A conferma di quanto detto, basti citare rapidamente i dati dell’ultimo rapporto Clusit, secondo cui in Italia il cybercrime, in termini di attacchi, è cresciuto nel primo semestre del 2019 dell’8,3% rispetto al primo semestre 2018. Desta per l’appunto un certo allarme il fatto che a guidare la classifica delle tipologie di imprese più colpite sia la categoria Multiple Targets, pari al 21% del totale, in aumento del 16,3% rispetto al 2018. In altre parole, si moltiplicano le iniziative portate avanti in parallelo dallo stesso gruppo di attaccanti contro organizzazioni appartenenti a categorie differenti. Il rapporto punta poi i riflettori sul settore della Sanità, che con 97 attacchi registrati da gennaio a giugno 2019, ha subito un aumento del 31% rispetto al primo semestre 2018. Seguono la Grande Distribuzione Organizzata e il Retail, con un incremento degli attacchi del 40%, mentre diminuiscono quelli nei confronti delle categorie Government (-17,5%) e Banking (-35,4%). Sul piano delle tecniche di infiltrazione, i dati analizzati dai ricercatori Clusit ribadiscono che per raggiungere molti dei loro obiettivi gli attaccanti possono ormai fare affidamento sull’efficacia di malware semplice, prodotto industrialmente a costi decrescenti, e su tecniche di Phishing e Social Engineering.
L’estensione del perimetro aziendale tra smart working e IoT
D’altra parte, i cyber criminali hanno sempre più occasioni per penetrare i sistemi informatici delle imprese. I rischi aumentano esponenzialmente, a prescindere dalle dimensioni e dalla complessità dell’organizzazione, con l’estensione del perimetro aziendale dovuto ai programmi di smart working, realtà sempre più consolidata anche in Italia, e all’affermazione delle tecnologie Internet of Things al servizio del business. Al crescere del numero di access point, infatti, bisogna moltiplicare gli sforzi per presidiare reti, device e applicazioni: dagli strumenti per la collaboration e la produttività da remoto, passando agli oggetti connessi – come telecamere di sorveglianza, macchinari dotati di sensori e smart product – le vulnerabilità si fanno imprevedibili, anche perché si vengono a formare ecosistemi dai confini sempre meno facilmente circoscrivibili, persino per le stesse imprese. Senza contare che attraverso le tecniche di Social Engineering e le piattaforme di intelligenza artificiale, i cyber criminali stanno diventando estremamente abili nel progettare e camuffare trappole logiche – si pensi al phishing – che inducono gli utenti a fare un passo falso, rivelando credenziali o dati sensibili utili a fare breccia nel sistema. Ecco perché la formazione in questo campo è fondamendale.
È evidente che un approccio statico alla difesa degli asset aziendali risulta fallimentare in un contesto del genere: le risposte ai tentativi di intrusione devono essere dinamiche, devono saper riconoscere il tipo di attacco sferrato, identificando contromisure efficaci, adattando la struttura per minimizzare i danni e allo stesso tempo informando in modo dettagliato gli amministratori di sistema e gli utenti su quanto sta accadendo. Adottare soluzioni di intelligenza artificiale per reingegnerizzare l’approccio alla Cyber Security è, attualmente, la strategia migliore per affrontare questa sfida.
Il ruolo dell’intelligenza artificiale nella cyber security
Non è infatti un caso che nel già citato Rapporto Clusit 2019 sia stato per la prima volta dedicato un intero capitolo al ruolo che è destinata a ricoprire l’Intelligenza artificiale nelle soluzioni di Cyber Security. E non stupisce che a livello mondiale, secondo le previsioni di Marketsandmarkets, l’impiego di tecnologie di AI per la sicurezza informatica conoscerà un vero e proprio exploit: il giro d’affari del settore passerà dal valore di 8,8 miliardi di dollari registrato nel 2019 ai 38,2 miliardi del 2026, con un tasso di crescita medio, anno su anno, del 23,3%. I principali driver per l’espansione del mercato sono come anticipato la crescente adozione dell’IoT e il numero sempre maggiore di dispositivi connessi (non sempre nativamente ottimizzati per garantire una data protection ottimale) insieme al timore legato alle vulnerabilità delle reti Wi-Fi. Tutti elementi che sosteranno la domanda soluzioni di Cyber Security Cloud based specialmente tra le PMI.
Marketsandmarkets sottolinea che le piccole e medie imprese sono relativamente più sensibili agli attacchi informatici rispetto alle grandi imprese a causa delle infrastrutture di sicurezza fisiologicamente meno performanti. Ecco perché, per la Cyber Security alimentata dall’intelligenza artificiale, tenderanno a convergere su soluzioni in Cloud. Le piattaforme Cloud based consentono di proteggere le applicazioni e le reti Web e mobili tra le organizzazioni in maniera centralizzata, sia durante le fasi di sviluppo, che in quelle di produzione e implementazione. L’approccio SaaS risulta più semplice ed efficiente della modalità di distribuzione locale in quanto offre maggiore flessibilità e scalabilità. Ma si tratta di un circolo vizioso: la diffusione di soluzioni di sicurezza in Cloud favorirà lo sviluppo di applicazioni basate sull’intelligenza artificiale.
Secondo gli analisti di Marketsandmarkets, una delle principali applicazioni dell’AI nell’ambito della sicurezza informatica sarà la gestione dell’identità e degli accessi, proprio per rispondere colpo su colpo ai tentativi degli attaccanti di sfruttare l’errore umano per intromettersi nei database aziendali.
“L’analisi in tempo reale degli accessi basata su tecnologie di intelligenza artificiale fa leva sulla capacità dei sistemi di apprendere in modo automatico – studiando lo storico degli accessi a piattaforme e applicazioni e in funzione delle policy aziendali – come si evolvono i comportamenti degli utenti e le minacce esterne. Una soluzione di Cyber Security coadiuvata da un motore di Machine learning può quindi rilevare qualsiasi attività insolita all’interno dell’ecosistema e segnalare in real time le difformità riscontrate, con un approccio dinamico e in continua evoluzione”, spiega Rizzo. L’approccio è per molte imprese così innovativo da risultare disruptive.
Ma la sua efficacia lo renderà, nel giro di pochissimo tempo, uno standard di mercato.
