Arbor Networks, machine learning e il futuro della sicurezza

Arbor Networks, machine learning e il futuro della sicurezza

Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks, ci parla del crescente contributo del machine learning al mondo della security.

Una delle attività più abitudinarie che facciamo al mattino è quella di verificare le previsioni atmosferiche per la giornata in corso o per le successive. Quella delle previsioni meteorologiche è una scienza piuttosto precisa che elabora enormi quantità di dati avvalendosi di algoritmi complessi; si tratta però di operazioni astratte molto lontane dalla quotidianità. Il meteo si è evoluto al punto tale da permetterci di valutare i rischi che possiamo trovarci ad affrontare senza doverci preoccupare dei dati e delle tecniche di analisi sottostanti;  in ambito di sicurezza ci troviamo esattamente nella situazione opposta.

Con l’evoluzione delle minacce e con l’aumentare della complessità delle reti e dei servizi disponibili, le aziende hanno messo in campo architetture di sicurezza composte da più strati che fanno affidamento sulle best practice. Inoltre, hanno ideato svariate tecnologie che mirano a contrastare le nuove minacce e – in quanto ad architetture di sicurezza – possono far riferimento ad un numero sempre maggiore di fornitori. La tecnologia così adottata è riuscita e riuscirà a bloccare una parte notevole delle minacce cui siamo sottoposti, ma non è in grado di fermarle tutte, come sottolineato dal crescente numero di interruzioni di rete dovute a DDoS e di violazioni di dati che si verificano su scala globale.

Minando la disponibilità dei servizi e sottraendo dati, i pirati informatici guadagnano denaro; di conseguenza, continueranno a ideare strumenti e tecniche sempre nuovi che consentano loro di conseguire i propri obiettivi e ottenere vantaggi economici. Per riuscire ad accedere alle nostre reti, gli autori degli attacchi adottano tecniche sempre più furtive, ad esempio avvalendosi di credenziali rubate: incursioni come queste non possono essere intercettate dalle tradizionali soluzioni di sicurezza.

Si è, dunque, registrato un boom di strumenti volti a individuare questi attacchi più occulti che sfruttano tecniche di apprendimento automatico e/o basate sul comportamento capaci di rilevare attività sospette o dolose. L’apprendimento automatico (ML, machine learning) è estremamente interessante e grazie a questo è possibile scoprire modelli e notare minacce che altrimenti risulterebbero difficilmente individuabili. Spesso si sottolinea che l’essere umano è bravo a rilevare modelli, e questo è vero, ma battiamo le palpebre, ci annoiamo, possediamo una finestra di memoria finita e non solo. Sebbene riescano a scorgere modelli che l’essere umano non è in grado di notare, gli algoritmi dell’apprendimento automatico non rappresentano (ancora) la risposta a tutti i nostri problemi.

Il primo passo verso la sicurezza consiste nell’individuazione delle attività sospette e nella generazione di eventi; il secondo, invece, impone di intervenire su quanto rilevato. La maggior parte dei sistemi di ML attuali mette a disposizione eventi senza però specificare il contesto, informazione di cui gli analisti hanno bisogno per comprendere immediatamente il problema in corso; inoltre, in presenza di problemi di sicurezza, al giorno d’oggi si preferisce intervenire bloccando. In altre parole, come altre tecnologie in passato, il ML fornisce una quantità di dati superiore ma non una maggiore visibilità dei rischi. Ovviamente, si tratta di fattori completamente diversi.  

Per comprendere meglio il problema è possibile osservare la differenza tra un foglio di calcolo e un grafico. Se ci viene proposto un foglio di calcolo contenente una serie di colonne di dati e ci viene chiesto di indicare le tendenze, la prima cosa da fare è disegnare un grafico. Grazie a esso è infatti possibile comprendere intuitivamente i dati e, di fatto, si ottiene la visibilità. Metaforicamente, in ambito di sicurezza, è stato creato un enorme foglio di calcolo a cui si continua ad aggiungere colonne, senza però inserire le funzionalità grafiche che permettono di comprendere cosa succede.

Si cerca di spacciare la presenza di numerosi eventi relativi alla sicurezza come buona visibilità ma, come è noto, praticamente tutti gli addetti alla sicurezza sono sommersi dalla marea di informazioni che ricevono.  Giorno dopo giorno, gli analisti della sicurezza sono costretti a cercare di capire su cosa concentrare l’attenzione e dove si celano le minacce effettive.  La difficoltà non è data dalla presenza di più livelli di sicurezza garantiti da prodotti di diversi produttori, ma risiede nel fatto che nella maggior parte dei casi non si dispone di strumenti che permettano di raccogliere e organizzare tutti i “dati” (eventi) disponibili per ottenere un quadro effettivo delle minacce. In altre parole, le (scarse) risorse per la sicurezza di fatto sprecano gran parte del tempo alla ricerca di falsi positivi e spostandosi tra prodotti malamente integrati anziché tra flussi di lavoro incentrati sul problema.

Gli operatori del settore hanno il compito di ovviare a questa situazione. Persino i prodotti e le soluzioni pubblicizzati come facili da utilizzare tendono a esserlo per gli analisti della sicurezza specializzati. Le aziende più piccole e le PMI sono soggette agli stessi rischi e possiedono dati altrettanto ambiti dai pirati informatici, ma non dispongono delle risorse necessarie per farvi fronte. Questo scenario non è probabilmente destinato a cambiare visto che la carenza di competenze nel settore non sembra poter essere risolvibile nel breve periodo.

Sebbene l’orizzonte appaia molto cupo, non tutto è negativo. In occasione delle principali conferenze in ambito di sicurezza svoltesi quest’anno, come l’RSA, Cisco Live e non solo, sembra essere emersa una crescente accettazione di quanto appena esposto e del fatto che gli operatori del settore abbiano l’obbligo di fornire due risposte: in primo luogo, soluzioni di sicurezza che rendano possibili flussi di lavoro unificati che fanno leva sui dati provenienti dalle attività di rete e oltre, che offrano una reale visibilità delle minacce e permettano agli analisti della sicurezza di concentrare tempo ed energie laddove necessario; in secondo luogo, soluzioni di sicurezza che possano essere facilmente gestite dai provider dei servizi di sicurezza stessi, consentendo così alle organizzazioni più piccole di accedere alle capacità difensive migliori in circolazione.

Le minacce da affrontare sono in continua evoluzione; allo stesso modo, la rivoluzione digitale, così come i sistemi cloud, determinano enormi trasformazioni nelle architetture dei servizi e delle reti. Le aziende considerano la prontezza un ingrediente imprescindibile per il futuro, grazie al quale incrementare le entrate, accrescere la competitività, tagliare i costi, ridurre il time-to-market e minimizzare il rischio, il tutto contemporaneamente. La sicurezza deve essere intesa come un elemento di promozione – e non un ostacolo –  per favorire idee e strategie aziendali nuove: se questo traguardo sarà conseguito tutti potranno sperare in un futuro migliore.