Andrew Tsonchev, Director of Technology, Darktrace Industrial, spiega perché la risposta autonoma rappresenti il futuro della cyber difesa dell’IA.
I dibattiti intorno alla cyber difesa dell’IA si sono tradizionalmente concentrati sull’abilità del machine learning avanzato di individuare i primissimi segni di un attacco in corso, incluse minacce sofisticate e mai viste prima. Questo rilevamento delle minacce in tempo reale supera i limiti degli strumenti legacy e riesce a farsi spazio nelle reti complesse, per identificare in maniera accurata le anomalie minacciose, incluse le “incognite sconosciute”. Ma, mentre la capacità di identificare l’intera gamma di minacce nelle fasi nascenti prima che un problema diventi una vera e propria crisi è incredibilmente potente, in sé rappresenta anche un abilitatore fondamentale di provvedimenti di risposta autonoma, i quali mantengono davvero la promessa dell’intelligenza artificiale nella cyber difesa.
Prima dell’avvento della cyber difesa dell’IA, l’ostacolo principale per ottenere una risposta autonoma consisteva nel determinare l’azione esatta necessaria per fermare l’espansione di un attacco, mantenendo allo stesso tempo la parte operativa del business. A causa della loro natura e definizione, gli approcci tradizionali alla cyber security non possono fare il grande salto dall’individuazione alla risposta. Mentre la tecnologia legacy basata su regole e firme può offrire la protezione più basica identificando correttamente gli attacchi più comuni, ma non li può contenere. Se la vostra regola/firma riconosce correttamente che un attacco è in corso, per esempio abbinando un noto indirizzo IP errato utilizzato da una famiglia di malware, cosa potete fare in risposta? Non c’è nulla nella regola o firma che contenga il rimedio.
In passato, i team di sicurezza potevano scegliere tra due opzioni imperfette: da un lato, se la regola o firma combaciava con un “known bad”, si poteva bloccare automaticamente il comportamento che corrispondeva alla regola, ad esempio bloccare le connessioni all’indirizzo IP errato. Il problema con questo approccio è che è di gran lunga troppo fragile e semplicistico – l’attacco potrebbe coinvolgere molto più delle connessioni a quell’IP. Potrebbe includere connessioni ad altri IP, o movimenti laterali interni. La connessione all’IP errato non dà la piena misura del comportamento minaccioso di quel malware, ma è un indicatore solo.
All’altro estremo, la risposta autonoma potrebbe essere pre-programmata per isolare completamente o disattivare un apparecchio compromesso ai primissimi segni di attacco in corso. Tuttavia, nonostante questa azione bloccherebbe probabilmente l’attacco, interromperebbe anche l’attività lavorativa, arrivando potenzialmente anche ad arrestare il funzionamento: immaginate se il dispositivo infetto fosse il computer del CEO.
È qui che l’intelligenza artificiale può affiancare gli esseri umani nella risposta autonoma, agendo come forza moltiplicatrice per i team di sicurezza. Gli algoritmi di IA imparano il normale “pattern of life” per ogni utente e dispositivo sulla rete e utilizzano queste conoscenze per identificare compromessi e minacce in virtù delle loro deviazioni dal “normale”. La tecnologia di machine learning può quindi saltare intuitivamente dall’individuazione alla risposta generando azioni correttive altamente mirate, mitigando le minacce senza esagerazioni.
Diversamente dai metodi tradizionali che si fondano sulla falsa premessa che rincorrere gli attacchi di ieri ci aiuterà a difenderci da quelli di domani, questa nuova classe di tecnologia di IA non fa alcuna ipotesi su come appaia il “cattivo”.
Non cerca di predire o anticipare le minacce future. Non classifica le minacce come bianco o nero, ma invece lascia le disordinate sfumature di grigio che esistono in reti live. Gli algoritmi di IA imparano “al volo” il normale “pattern of life” in un network e possono identificare e porre rimedio all’intera gamma di minacce, dalle sofisticate minacce “low and slow” e movimenti laterali agli attacchi automatici che usano metodi di forza bruta come i ransomware.
Se un team di sicurezza umano è incaricato di investigare le circostanze legate a un attacco in corso con l’obiettivo di identificare l’azione più appropriata da compiere, può elaborare una risposta che miri accuratamente al problema, minimizzando anche qualunque impatto negativo sui profitti. Elaborare ed eseguire queste azioni mirate richiede tempo e impegno, e necessita una comprensione contestuale della minaccia che spesso il team di sicurezza umano non possiede.
La risposta autonoma è il futuro della cyber difesa dell’IA. Libererà le persone dalla giungla della risposta iniziale alle minacce, permettendo loro di impiegare il proprio tempo e sforzo su problemi di maggior livello che hanno bisogno di contributo umano.