Laurence Pitt, Security Strategist di Juniper Networks ci spiega come l’uso di AI, machine learning e automazione può migliorare il livello di sicurezza.
Viviamo in un mondo in cui molte “cose” vengono automatizzate nella nostra vita quotidiana, dai gadget intelligenti che abbiamo in casa, fino all’auto a guida autonoma. Ora e in futuro, sarà difficile trovare qualcosa che non sia adatto a essere automatizzato.
Se spostiamo la conversazione sulle aziende, l’automazione è ancora più diffusa. Dai processi aziendali e dalle applicazioni SaaS (software-as-a-service) alle automazioni di rete e cloud più complesse, tutto fa già parte del business digitale. Allora perché a volte ci sembra che la sicurezza informatica stia ancora cercando di stare al passo?
I criminali informatici stanno già sfruttando l’automazione, che offre loro scalabilità, velocità e ripetibilità, per lanciare campagne di malware e phishing. Di conseguenza, stiamo assistendo al verificarsi sempre più frequente di questi tipi di attacchi sofisticati. Ciò crea una sfida per i team di IT security che possono venire sopraffatti da processi ripetitivi e da noiose indagini su falsi positivi. In parole povere, non ci sono abbastanza risorse o tempo per tenere il passo.
L’automazione della sicurezza può aiutare. Questa tecnologia può ridurre il numero di compiti monotoni che sottraggono tempo prezioso a uno specialista, garantendo comunque che vengano sempre portati a termine in modo completo e accurato, indipendentemente dalla frequenza e dalla quantità. Ciò consente agli specialisti di concentrarsi su altre attività aziendali più strategiche, mantenendo allo stesso tempo la rete in buono stato, sicura e conforme alle specifiche aziendali.
L’automazione è la risposta
L’importanza di utilizzare l’automazione della sicurezza per combattere gli attacchi complessi e persistenti di oggi non sarà mai enfatizzata abbastanza. Un esempio delle minacce che le aziende devono affrontare è il malware che si mimetizza per rimanere in modalità invisibile fino a quando non raggiunge l’obiettivo prescelto. IBM l’ha dimostrato con il suo DeepLocker, integrato nel software di videoconferenza, e attivato solo quando la persona designata è stata vista sulla videocamera.
Anche l’automazione della sicurezza può aiutare in questo senso: si possono creare regole per la sicurezza partendo dal monitoraggio di comportamenti insoliti sulla rete od osservando uno spostamento anomalo di dati, le possibilità sono infinite.
Ecco alcuni punti chiave da tenere a mente, quando stiamo considerando di implementare questa tecnologia:
Ogni giorno, gli analisti di rete ricevono centinaia di alert, la maggior parte dei quali non costituisce un pericolo. Devono comunque stare all’erta per quelle minacce che invece sono serie. Automatizzare questo compito riduce il numero di alert che devono essere esaminati approfonditamente, aumentando l’efficienza degli analisti e riducendo il rischio di perdere un alert importante.
Gli sforzi degli analisti possono essere aggravati dal fatto di eseguire azioni ripetitive. Ogni alert ha tre possibili stati: buono, cattivo o sconosciuto. Questo porta un analista a eseguire le stesse azioni più e più volte, il che aumenta le possibilità di commettere errori. L’automazione utilizza regole basate su esperienze precedenti per determinare se un’azione è necessaria; di conseguenza solo gli alert che richiedono ulteriori investigazioni vengono evidenziati al sistemista.
Quando un alert individua un pericolo, l’analista deve investigare manualmente e capire cosa è successo e quali azioni sono richieste per porre un rimedio. Anche l’alert più complesso richiederà azioni comuni e ripetitive per trovare una soluzione efficace. Questo può includere la messa in quarantena di dispositivi infettati da malware o l’eliminazione di allegati di phishing nelle email. Sebbene l’automazione della sicurezza non possa ancora essere utilizzata per rilevare questi attacchi, può venire usata per eseguire le azioni ripetitive, permettendo all’analista di dedicarsi al compito successivo che richiede la sua completa attenzione.
Tenendo presente che l’automazione della sicurezza può ridurre significativamente la mole di lavoro del team IT, dove entrano in gioco le due parole più di moda oggi in ambito tecnologico, machine learning e AI?
Siamo ancora gli inizi, ma il machine learning e l’AI diventeranno con tutta probabilità strumenti essenziali nella lotta delle imprese contro la criminalità informatica; infatti molti esperti prevedono che queste tecnologie domineranno la sicurezza informatica nel futuro. Esiste una ovvia necessità di migliorare la capacità della sicurezza automatizzata di fornire analisi più chiare, riconoscere comportamenti e modelli, aiutare gli analisti a risolvere i problemi. Insieme, machine learning e AI potrebbero rivelarsi fattori chiave per aiutare a ridurre lo sforzo umano e rendere la sicurezza informatica più veloce, coerente e precisa.
Risposta efficace alle minacce basata sui dati
La sicurezza informatica tradizionale utilizza i dati delle soluzioni di sicurezza per alzare il livello di sicurezza generale, mentre il machine learning si basa sui dati per capire dove una minaccia potrebbe tentare di violare la rete. Utilizzando il machine learning per sfruttare non solo i dati di sicurezza, ma anche i dati di switch e router, il livello di sicurezza viene ulteriormente aumentato. Con la sicurezza integrata dal perimetro della rete all’intera infrastruttura, le minacce ai dati e agli endpoint vengono significativamente ridotte.
Oggi le potenzialità dell’intelligenza artificiale e del machine learning in relazione alla sicurezza informatica non sono sfruttate appieno, ma ciò non significa che non sia il caso di approfondire subito l’argomento per vedere come possono rendere il team dell’IT security più efficace e migliorare la sicurezza generale dei dati.
