Questo blog è stato pubblicato originariamente su ISACA Now.
In molti ambiti lavorativi, l'applicazione della tecnologia dell'intelligenza artificiale (AI) sta suscitando un crescente timore. Kevin Maney di Newsweek ha riassunto in modo vivido l'attesa trasformazione dell'occupazione e le preoccupazioni che suscita nel suo recente articolo "Come l'intelligenza artificiale e i robot trasformeranno radicalmente l'economia".
Nella comunità della sicurezza informatica (InfoSec), l'intelligenza artificiale è comunemente vista come un salvatore, un'applicazione della tecnologia che consentirà alle aziende di identificare e mitigare più rapidamente le minacce, senza dover aggiungere altri esseri umani. Il fattore umano è comunemente visto come un inibitore delle aziende, poiché le competenze e l'esperienza necessarie sono costose e difficili da ottenere.
Di conseguenza, negli ultimi anni, molti fornitori hanno reingegnerizzato e ribattezzato i loro prodotti con l'impiego dell'IA, sia per rispondere alla crescente frustrazione dei loro clienti che, per combattere ogni nuova minaccia, necessitano di personale aggiuntivo che si occupi degli strumenti e dei prodotti che vengono loro venduti, sia come elemento di differenziazione rispetto agli approcci "tradizionali" per affrontare le minacce che persistono nonostante due decenni di innovazioni in materia di rilevamento.
Il rebranding, il remarketing e l'inclusione di varie parole d'ordine della scienza dei dati - intelligenza artificiale, apprendimento automatico, big data, laghi di dati, apprendimento non supervisionato - nei messaggi di vendita dei prodotti e nel materiale collaterale hanno fatto credere che l'automazione della sicurezza sia la stessa cosa della sicurezza dell'intelligenza artificiale.
Siamo ancora agli albori della rivoluzione dell'IA. I fornitori di prodotti e servizi stanno facendo progredire i loro motori di IA v1.0 e sono prevalentemente concentrati sulla risoluzione di due sfide: setacciare una mole crescente di dati sulle minacce alla ricerca di pepite utilizzabili e replicare le funzioni più comuni e basilari dell'analista di sicurezza umano.
Nessuna delle due sfide è particolarmente impegnativa per una piattaforma di IA. Gli approcci statistici al rilevamento delle anomalie, al clustering dei dati e ai processi di etichettatura soddisfano tutti i criteri della prima sfida di sicurezza, mentre gli approcci dei "sistemi esperti" degli anni '70 e '80 tendono a essere adeguati per la maggior parte della seconda sfida. Ciò che è cambiato è il volume di dati su cui si devono basare le decisioni e i progressi dei sistemi di apprendimento.
Ciò che confonde molti acquirenti di tecnologie di sicurezza al momento è l'inclusione di parole d'ordine relative all'intelligenza artificiale in prodotti e servizi che offrono essenzialmente "automazione".
Molte delle proposte di valore fortemente commercializzate hanno a che fare con l'automazione di molte delle attività manuali che un analista delle minacce o un soccorritore di incidenti intraprenderebbe nelle sue attività quotidiane, come il vaglio degli avvisi critici, la correlazione con altri avvisi minori e voci di registro, l'estrazione di catture di pacchetti (PCAP) e registri di attività dell'host, la sovrapposizione di informazioni sulle minacce esterne e feed di dati e la presentazione di un pacchetto di analisi per un analista umano per determinare le azioni successive. Tutte queste azioni collegate possono ovviamente essere facilmente automatizzate utilizzando linguaggi di scripting, se l'organizzazione lo desidera.
L'automazione della gestione degli eventi di sicurezza non richiede l'IA, almeno non il tipo o il livello di IA che, secondo le nostre previsioni, causerà una trasformazione economica e occupazionale globale.
L'IA v1.0 impiegata in molti dei prodotti odierni può essere meglio considerata come un robot da catena di montaggio, in grado di replicare compiti meccanici ripetuti, senza necessariamente richiedere alcuna "intelligenza" in quanto tale. L'automazione porta ovviamente efficienza e coerenza nelle indagini e nella risposta agli incidenti, ma da sola non ha ancora un impatto sulla necessità di impiegare analisti umani qualificati.
Man mano che le organizzazioni si sentono più a loro agio nel condividere e mettere in comune i dati, la comunità della sicurezza può prevedere l'avanzamento e l'incorporazione di sistemi di apprendimento migliori, che portino a un percorso incrementale di AI v1.1, in cui l'automazione dei processi apprenda in modo efficiente le stranezze, le azioni e le decisioni comuni dell'ambiente in cui opera. Un esempio potrebbe essere la valutazione di un pacchetto di analisi compilato automaticamente determinando le somiglianze con i pacchetti generati e gestiti in precedenza, assegnando una priorità e instradando il corretto risponditore umano. Può sembrare un piccolo ma logico processo di automazione, ma richiede un altro livello e un'altra classe di matematica e "intelligenza" per imparare e mettere a punto un processo decisionale esperto.
A mio avviso, la Security AI v2.0 consiste in un motore di intelligenza che non solo impara dinamicamente osservando la classificazione ripetuta delle minacce e le azioni corrispondenti, ma è in grado di identificare correttamente i comportamenti sospetti che non ha mai visto prima, determinare il contesto della situazione e avviare le azioni più appropriate per conto dell'organizzazione.
Ciò potrebbe includere la capacità di non limitarsi a identificare che un nuovo host è stato aggiunto alla rete e sembra lanciare una scansione della porta contro il server active directory, ma di prevedere se l'azione può far parte di un test di penetrazione (pentest) comprendendo il tipico processo di consegna dei pentest, i bersagli tipici dei pentest passati e la cadenza regolare o la programmazione dei pentest all'interno dell'organizzazione. Il motore potrebbe quindi giungere a una conclusione basata su prove, rintracciare e avvisare i proprietari dell'azienda dell'attività sospetta e, in attesa di conferma, regolare automaticamente le regole di prevenzione delle minacce e le soglie di allarme per isolare l'attività sospetta e ridurre al minimo i danni potenziali.
Il successo dell'IA per la sicurezza risiede nel determinare azioni basate su informazioni incomplete e precedentemente non classificate; a quel punto i ruoli di analista di sicurezza "di primo livello", difficili da reperire, scompariranno come molti lavori in catena di montaggio nell'industria automobilistica negli ultimi decenni.