Questo blog è stato originariamente pubblicato su ISACA Now.
In molti settori lavorativi, l'applicazione della tecnologia dell'intelligenza artificiale (IA) sta creando un timore crescente. Kevin Maney di Newsweek ha sintetizzato in modo vivido la trasformazione imminente del mondo del lavoro e le preoccupazioni che essa suscita nel suo recente articolo "Come l'intelligenza artificiale e i robot trasformeranno radicalmente l'economia".
Nella comunità della sicurezza informatica (InfoSec), l'intelligenza artificiale è comunemente vista come una salvezza, un'applicazione tecnologica che consentirà alle aziende di identificare e mitigare più rapidamente le minacce, senza dover assumere altro personale. Il fattore umano è comunemente visto come un ostacolo per le aziende, poiché le competenze e l'esperienza necessarie sono costose e difficili da ottenere.
Di conseguenza, negli ultimi anni molti fornitori hanno riprogettato e rinominato i propri prodotti come dotati di IA, sia per rispondere alle crescenti frustrazioni dei propri clienti, secondo cui combattere ogni nuova minaccia richiede personale aggiuntivo per occuparsi degli strumenti e dei prodotti venduti loro, sia come elemento di differenziazione rispetto agli approcci "tradizionali" per affrontare le minacce che persistono nonostante due decenni di innovazione nel campo del rilevamento.
Il rebranding, il remarketing e l'inserimento di vari termini di moda nel campo della scienza dei dati (intelligenza artificiale, apprendimento automatico, big data, data lake, apprendimento non supervisionato) nelle presentazioni di vendita dei prodotti e nel materiale collaterale hanno fatto sembrare che l'automazione della sicurezza sia la stessa cosa della sicurezza basata sull'intelligenza artificiale.
Siamo ancora agli albori della rivoluzione dell'IA. I fornitori di prodotti e servizi stanno sviluppando i loro motori IA v1.0 e si concentrano principalmente sulla risoluzione di due sfide: setacciare un archivio sempre più vasto di dati sulle minacce alla ricerca di informazioni utili e replicare le funzioni più comuni e basilari degli analisti di sicurezza umani.
Nessuna delle due sfide è particolarmente impegnativa per una piattaforma di IA. Gli approcci statistici al rilevamento delle anomalie, al clustering dei dati e ai processi di etichettatura soddisfano tutti i criteri della prima sfida di sicurezza, mentre gli approcci dei "sistemi esperti" degli anni '70 e '80 tendono ad essere adeguati per la maggior parte della seconda sfida. Ciò che è cambiato è il volume di dati su cui devono basarsi le decisioni e i progressi nei sistemi di apprendimento.
Ciò che sta creando confusione tra molti acquirenti di tecnologie di sicurezza in questo momento è l'uso di parole chiave relative all'intelligenza artificiale in riferimento a prodotti e servizi che in sostanza offrono "automazione".
Molte delle proposte di valore fortemente pubblicizzate riguardano l'automazione di numerose attività manuali che un analista delle minacce o un responsabile della risposta agli incidenti svolgerebbe nelle sue attività quotidiane, come vagliare gli avvisi critici, metterli in correlazione con altri avvisi meno importanti e voci di registro, estrarre pacchetti catturati (PCAP) e registri delle attività dell'host, sovrapporre informazioni sulle minacce esterne e feed di dati e presentare un pacchetto di analisi affinché un analista umano determini le azioni successive. Tutte queste azioni collegate possono ovviamente essere facilmente automatizzate utilizzando linguaggi di scripting, se l'organizzazione fosse propensa a farlo.
L'automazione della gestione degli eventi di sicurezza non richiede l'intelligenza artificiale, almeno non il tipo o il livello di intelligenza artificiale che, secondo le nostre previsioni, causerà una trasformazione globale dell'economia e dell'occupazione.
L'IA v1.0 utilizzata in molti dei prodotti odierni può essere considerata alla stregua dei robot delle catene di montaggio: replica compiti meccanici ripetitivi, senza necessariamente richiedere alcuna "intelligenza" in quanto tale. Tale automazione apporta ovviamente efficienza e coerenza alle indagini e alla risposta agli incidenti, ma di per sé non ha ancora un impatto sulla necessità delle organizzazioni di impiegare analisti umani qualificati.
Man mano che le organizzazioni acquisiscono maggiore dimestichezza nella condivisione e nella raccolta collettiva dei dati, la comunità della sicurezza può prevedere il progresso e l'integrazione di sistemi di apprendimento migliori, che porteranno a un percorso incrementale verso l'IA v1.1, in cui l'automazione dei processi apprende in modo efficiente le peculiarità, le azioni e le decisioni comuni dell'ambiente in cui opera. Un esempio potrebbe essere la valutazione di un pacchetto analitico compilato automaticamente determinando le somiglianze con pacchetti generati e utilizzati in precedenza, assegnando una priorità e indirizzandolo al responsabile umano corretto. Può sembrare un processo di automazione piccolo ma logico, ma richiede un altro livello e una classe di matematica e "intelligenza" per apprendere e mettere a punto un processo decisionale esperto.
A mio avviso, Security AI v2.0 risiede in un motore di intelligenza artificiale che non solo apprende dinamicamente attraverso l'osservazione della classificazione ripetuta delle minacce e delle azioni corrispondenti, ma è anche in grado di identificare correttamente comportamenti sospetti mai visti prima, determinare il contesto della situazione e avviare le azioni più appropriate per conto dell'organizzazione.
Ciò potrebbe includere la capacità non solo di identificare che un nuovo host è stato aggiunto alla rete e sembra avviare una scansione delle porte contro il server Active Directory, ma anche di prevedere se l'azione possa essere parte di un test di penetrazione (pentest) comprendendo il tipico processo di esecuzione dei pentest, i tipici obiettivi dei pentest passati e la cadenza o la programmazione regolare dei pentest all'interno dell'organizzazione. Il motore potrebbe quindi giungere a una conclusione basata su prove concrete, rintracciare e avvisare i titolari dell'azienda dell'attività sospetta e, in attesa di conferma, regolare automaticamente le regole di prevenzione delle minacce e le soglie di allerta per isolare l'attività sospetta e ridurre al minimo i potenziali danni.
Il successo dell'IA applicata alla sicurezza risiede nella capacità di determinare le azioni da intraprendere sulla base di informazioni incomplete e precedentemente non classificate. A quel punto, i ruoli di analista di sicurezza di "primo livello", difficili da mantenere, scompariranno come sono scomparsi negli ultimi due decenni molti lavori alla catena di montaggio nell'industria automobilistica.