TechTarget Tech InDepth

Machine learning: che cos’è e quali sono i vantaggi applicati alla cybersecurity

L’impiego del machine learning nelle applicazioni di cybersecurity per i sistemi di identity and access management sta diventando una prassi sempre più comune. Gli algoritmi si riveleranno davvero la scelta migliore per l’autenticazione e l’autorizzazione degli utenti?

Pubblicato il 04 Lug 2017

cybersecurity-machine-learning-170704174811

Il machine learning è una forma di apprendimento automatico che, attraverso il riconoscimento di pattern e l’uso di particolari algoritmi, si declina in una serie di metodologie diverse che corrispondono alle diverse comunità scientifiche che hanno portato avanti lo sviluppo.

Per capire meglio il significato e il valore del machine learning, va spiegato come facciano parte del machine learning la statistica computazionale, le reti neurali artificiali, il filtraggio adattivo, il data mining così come i sistemi di elaborazione e riconoscimento delle immagini e, in generale, tutti i sistemi che consentono a un computer di apprendere senza essere stato programmato in modo esplicito.

Negli ultimi decenni, programmare algoritmi che permettono di interpretare i dati e fare predizioni su modelli induttivi basati su dei campioni ha spianato la strada al machine learning soprattutto in quei campi dell’informatica nei quali progettare e programmare algoritmi espliciti è impraticabile.

Il machine learning a supporto della cybersecurity

Un caso emblematico è il filtraggio delle email per evitare lo spam, così come l’individuazione delle intrusioni nella rete o l’intercettazione di una violazione dei dati. Con una premessa: nemmeno gli scienziati dei dati più esperti possono stabilire quale algoritmo funzionerà meglio prima di provarlo. Nel machine learning, infatti, non esiste l’algoritmo perfetto e assoluto perché la scelta dipende dalla dimensione dei dati da elaborare, dal tempo che si ha a disposizione e dalla qualità e dalla natura dei dati. Mettiamo il caso che si riscontri un problema di accesso a un’applicazione mission critical e il sistema richieda di dimostrare la validità della propria identità d’accesso: se invece di chiamare gli amministratori di rete o i responsabili IT per ricevere supporto, si dovesse avere a che fare con un algoritmo di machine learning? Secondo gli esperti, nel prossimo futuro, questa eventualità sarà sempre più frequente.

Il molto discusso modello del machine learning, infatti, ha già messo radici nel settore della sicurezza informatica e oggi sta per fare un altro passo in avanti: se infatti sono diversi fornitori che hanno abbracciato questa tecnologia per migliorare il rilevamento di malware e minacce e rimpiazzare la tradizionale rilevazione basata sulle firme, oggi per il machine learning si sta aprendo anche la strada dell’identity and access management.

Perché il machine learning è utile alla sicurezza informatica

Proprio alla luce di queste novità, durante il recente 2017 Cloud Identity Summit, diversi esperti hanno discusso in merito al ruolo che il machine learning avrà nelle applicazioni di cybersecurity per i sistemi di gestione delle identità, valutandone rischi e benefici.

Capire perché il machine learning appare allettante agli occhi di chi si occupa di sicurezza informatica è semplice: l’identity and access management si affida sempre più a un crescente numero di fattori (dalla biometria fisica e comportamentale ai dati di geolocalizzazione) e per elaborare questi ultimi le aziende si avvalgono di algoritmi. Nel prossimo futuro, secondo gli esperti, le interazioni richieste per l’autenticazione e la conferma delle identità in totale sicurezza saranno così tante che non sarà possibile delegare l’intera gestione del sistema ai soli esseri umani. In un’ottica di protezione intelligente, una parte del lavoro sarà necessariamente svolta dalle macchine. La maggior parte delle autenticazioni verranno eseguite dal machine learning, mentre il giudizio umano sarà riservato a casi specifici e particolari.

Per rendere l’idea del volume di attività che i sistemi di gestione delle identità si trovano ad affrontare, basti pensare che Microsoft attualmente conta – ogni giorno! – 115,5 milioni di tentativi di accesso bloccati e 15,8 milioni di tentativi di acquisizione account, come dichiarato nel corso del summit da Alex Simons, direttore del program management presso la Identity Division di Microsoft.

Identity and access management: dall’autenticazione al riconoscimento

Così come Microsoft, anche IBM utilizza già applicazioni di machine learning per le attività di identity and access management. Secondo Eric Maass, direttore cloud IAM strategy presso IBM stiamo per assistere alla fase di trasformazione dall’autenticazione al riconoscimento: a permetterlo, sarà l’applicazione di machine learning legato con meccanismi di autenticazione biometrica. Maass ha dichiarato che la pattern recognition per la biometria fisica e comportamentale sarà in grado di fornire un’autenticazione continua. E il modello sarebbe simile a quello basato sul comportamento umano, dove la fiducia è costruita nel tempo e attraverso numerosi fattori diversi.

Nonostante questa importante entrata in scena delle macchine, gli esperti tengono a sottolineare che il contributo umano non può essere completamente eliminato dalle attività di identity and access management a causa della complessità di questo processo. L’autenticazione è un’operazione complessa proprio perché è difficile dimostrare chi si è realmente a una macchina. È difficile scrivere un elenco infinito di Access Control List  e diversi tipi di politiche di autorizzazione e diritti per definire chi può fare cosa, su quali sistemi, quando, dove e in modo.

I rischi del machine learning nelle applicazioni di cybersecurity

In riferimento ai limiti dell‘intelligenza artificiale visti dal punto di vista della cultura popolare, gli esperti hanno evocato la famosa scena del malfunzionamento di HAL 9000 nel film 2001: Odissea nello spazio in cui il supercomputer arriva persino a origliare il dialogo tra i due astronauti Bowman e Poole. Una scena suggestiva che ancora oggi evoca nel grande pubblico una sorta di sospetto e timore nei riguardi di questa tecnologia applicata alle attività di gestione delle identità e degli accessi.

Gli esperti ritengono che il machine learning diventerà l’opzione prevalente nelle attività di gestione degli accessi, ma che i sistemi di identity and access management attuali potrebbero non essere ancora pronti per questa rivoluzione. Molti sistemi IAM, infatti, si basano su ciò che i relatori hanno definito segnali deboli – come per esempio nomi di utenti, password, domande di sicurezza – che possono essere rubati, indovinati o falsificati, anziché su segnali forti come un modello biometrico legato a una chiave di crittografia. Qual è dunque il problema? I segnali deboli  vengono continuamente aumentati per alzare il livello di sicurezza e gestire tutti questi elementi in fasi di autenticazione sta diventando un calcolo particolarmente complesso: sarebbe opportuno implementare in primo luogo meno segnali ma più forti. Ma l’inghippo per i sistemi IAM sta nel fatto che il machine learning per essere efficace richiede la presenza di un numero maggiore di dati, hanno fatto notare gli esperti. Un esempio? Facebook e Google presentano reti neurali estremamente accurate perché queste aziende dispongono di tanti dati, una piccola start-up locale per esempio non potrebbe disporre di così tante informazioni e quindi non sarebbe in grado di raggiungere un così alto livello di accuratezza.

Data mining e data analytics

Per migliorare il livello di precisione, secondo gli esperti, il data mining diventerà una parte critica per l’identity and access management e il machine learning: i sistemi di gestione degli accessi, invece che affidarsi a profili statici basati su dati fondamentali e immutati, continueranno a estrarre informazioni sugli utenti non solo per autenticarli, ma anche per monitorarne l’accesso e il comportamento nell’ottica di registrare rischi o potenziali minacce.

I relatori del summit hanno sottolineato che, tuttavia, le predictive analytics relative al comportamento degli utenti potrebbero non essere sempre accurate: se le direttive di base per un buon comportamento sono impostate in modo errato, infatti, i sistemi di gestione delle identità impareranno erroneamente e commetteranno errori.

Un altro potenziale problema per l’identity and access management elaborato dal machine learning è rappresentato dall’enorme e potenzialmente infinito accumulo di dati nei sistemi di identity management che renderà estremamente complesse le applicazioni di machine learning nella cybersecurity e più difficili da gestire per i professionisti… umani. Se ammassi di dati relativi, per esempio, ai modelli di digitazione di un utente o ai movimenti del mouse, cominciano ad accumularsi con altre analitiche comportamentali, diventa più difficile farsi largo con chiarezza in questo mare magnum di informazioni. Se ci sono troppe informazioni e quindi troppi calcoli, questi sistemi possono diventare scatole nere in cui non è più possibile avere la certezza di cosa stia realmente accadendo. Se si possono evitare la complessità è meglio, concordano gli esperti: solo perché le macchine possono ottenere ogni bit di dati e mantenerlo per sempre, non significa che debbano farlo. Il cervello umano, in questo, è molto bravo a ottimizzare le informazioni importanti e anche il machine learning dovrebbe poter funzionare così.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati