Moreno Carullo, Co-founder, Chief Technical Officer, Nozomi Networks, illustra come la cybersicurezza OT si sta trasformando grazie a tecnologie come AI e ML.
L’intelligenza artificiale (AI) sta vivendo un momento di assoluta popolarità, un periodo in realtà piuttosto lungo. Parliamo di una tecnologia che esiste da decenni e si è continuamente evoluta, ma ora si trova ovunque, all’improvviso. Assistenti digitali come Siri e Alexa e strumenti di AI generativa come ChatGPT, Gemini e Copilot, hanno reso l’AI accessibile a tutti, compresi i cybercriminali. Per i non nativi digitali si tratta di un ritorno al 1991, l’anno in cui Internet si è trasformato da dominio militare/accademico per supertecnici nel World Wide Web. Allora come oggi, le aziende si ingegnano per comprendere le migliori modalità di utilizzo di questa potente tecnologia per potenziare ogni aspetto delle loro attività.
Focus sulla cybersicurezza OT
Nel settore della cybersecurity, è in corso una gara per superare in astuzia i malintenzionati che stanno già utilizzando nuove forme di AI al fine di trovare rapidamente le vulnerabilità e lanciare attacchi più efficaci. La sfida – e l’opportunità – per i Chief Information Security Officer (CISO) e gli analisti dei Security Operations Center (SOC) è capire come utilizzare AI e ML per automatizzare e migliorare i processi di difesa informatica. Per quanto riguarda la protezione delle reti di tecnologia operativa (OT) e Internet of Things (IoT), la sfida è ancora più grande e la posta in gioco ancora maggiore. Ecco una breve introduzione all’AI, alle sue applicazioni per la cybersecurity e ai principali casi d’uso per le infrastrutture critiche e altre organizzazioni industriali.
L’evoluzione dell’intelligenza artificiale
L’AI è un campo della scienza e della tecnologia che si concentra sulla capacità delle macchine di svolgere compiti tipicamente associati all’intelligenza umana. Come l’apprendimento, la risoluzione di problemi e il processo decisionale. Una AI rudimentale esiste fin dagli anni Cinquanta. Anche se quella più sofisticata è diventata realtà negli anni ’80 grazie a un aumento esponenziale della potenza di calcolo. Negli ultimi due decenni, ha ricevuto un ulteriore impulso grazie al cloud computing. Queste innovazioni hanno consentito rapidi progressi nell’analisi e nella capacità di risolvere problemi legati ai big data. Secondo la Defense Advanced Research Projects Agency (DARPA), a partire dagli anni ’50 ci sono state tre ondate storiche di AI:
Conoscenza artigianale(anni ’50-’80). Sistemi basati su criteri in grado di implementare semplici regole logiche per problemi ben definiti, ma incapaci di apprendere o di gestire l’incertezza. Esempi: Sistemi di posizionamento globale in grado di pianificare percorsi ottimali, computer che giocano a scacchi.
Apprendimento statistico (anni ’80 – 2010). ML e reti neurali, o modelli di deep learning che possono apprendere e adattarsi a situazioni diverse se adeguatamente addestrati su grandi insiemi di dati. Esempi: Programmi di riconoscimento facciale e vocale, droni aerei.
Adattamento contestuale (anni 2010 – oggi). AI generativa in grado di comprendere contesti complessi e reali senza addestramento su serie di dati. Utilizzando modelli linguistici di grandi dimensioni (LLM) per creare contenuti ricchi di sfumature, comprese le immagini. Esempi: ChatGPT, DALL-E.
AI e ML trasformano la cybersicurezza OT: le tre ondate
La prima ondata è confinata soprattutto in ambito accademico. La seconda ha cambiato le carte in tavola ed è ancora ampiamente utilizzata in tutti i settori. Nello specifico, il ML impiega quattro gruppi di algoritmi per l’addestramento di grandi insiemi di dati al fine di apprendere modelli e fare previsioni:
Algoritmi di regressione che aiutano a prevedere eventi futuri a partire da dati passati.
Algoritmi di classificazione che aiutano a suddividere i dati in categorie note
Algoritmi di clustering che scoprono nuovi schemi nei dati senza conoscere le categorie
Il machine learning utilizza questi quattro gruppi per addestrare grandi insiemi di dati per apprendere modelli e fare previsioni. Per quanto le capacità della seconda ondata siano impressionanti nel dare un senso a oceani di dati, l’attenzione si è spostata sulla terza ondata e su come sfruttarne la potenza.
Impatto dell’AI sulla sicurezza informatica
Come i creatori di fantascienza hanno da tempo predetto, un’intelligenza superumana può essere usata per il bene o per il male. In ambito informatico, l’AI viene sfruttata sia dagli aggressori che dai difensori per fare ciò che hanno sempre fatto, nel miglior modo possibile. Ecco tre modi in cui viene impiegata:
Attacchi informatici assistiti dall’AI. I malintenzionati hanno rapidamente sfruttato AI e ML per rendere i loro attacchi più veloci e precisi e meno rilevabili. Li usano per trovare e sfruttare le vulnerabilità più facilmente, oltre che per generare malware, creare e-mail di phishing e deepfake.
Minacce che colpiscono sistemi AI. Mentre le organizzazioni adottano sempre più l’intelligenza artificiale per potenziare processi già automatizzati, la vulnerabilità degli stessi sistemi AI è una preoccupazione emergente. Tattiche subdole come il data poisoning, l’iniezione di prompt di modelli linguistici di grandi dimensioni (LLM) o l’evasione dei modelli ML rappresentano una sfida formidabile. Poiché gli attori delle minacce imparano ad abusare della tecnologia progettata per migliorare l’efficienza e l’innovazione.
Per utilizzare un esempio OT/IoT, considerate cosa accadrebbe se un sistema di manutenzione predittiva guidato dall’AI fosse manipolato in un cyberattacco di data poisoning (assistito o meno dall’AI). Gli aggressori potrebbero modificare le letture dei sensori o introdurre nei dati registri di manutenzione ingannevoli. Alimentando il sistema con informazioni false, i malintenzionati potrebbero indurre il modello di intelligenza artificiale a fare previsioni imprecise sulle esigenze di salute e manutenzione. Con conseguenti guasti, aumento dei tempi di inattività e potenziali rischi per la sicurezza.
Il futuro della cybersicurezza OT
Una grande risorsa per capire come gli aggressori sfruttano le vulnerabilità dei sistemi di intelligenza artificiale è MITRE ATLAS (Adversarial Threat Landscape for AI Systems). Questo framework complementare al MITRE ATT&CK si concentra su tattiche e tecniche del mondo reale che gli attori delle minacce utilizzano per colpire i sistemi di intelligenza artificiale. Nel novembre 2023, è stato aggiornato per affrontare le vulnerabilità dei sistemi che incorporano AI generativa e LLM. La vulnerabilità dei sistemi AI solleva un’altra problematica già vista. L’OT è stato a lungo etichettato come “insecure by design”, un difetto difficile da trattare che si è dimostrato complicato da superare. Si può dire lo stesso dell’AI? Stiamo mettendo in sicurezza i sistemi di intelligenza artificiale o ci stiamo preparando a un incubo di retrofitting?
Difesa informatica assistita dall’AI
Per quanto riguarda i difensori, la necessità di analizzare e correlare grandi quantità di dati provenienti da decine di fonti rappresenta un caso d’uso privilegiato per AI e ML. In effetti, ormai, la maggior parte dei fornitori di cybersicurezza ha incorporato l’AI nei propri prodotti in diverse misure. Oggi si può presumere che ML e analisi comportamentale siano all’opera in tutto lo stack di cybersecurity per migliorare la velocità e l’accuratezza di ogni processo, tra cui:
Analisi e correlazione dei big data
Rilevamento delle minacce (anomalie, attacchi, malware)
Identificazione e prioritizzazione delle vulnerabilità
Valutazione e prioritizzazione del rischio
Automazione della risposta agli incidenti
Quali domande è indispensabile porsi
Quando si valutano i fornitori di cybersicurezza e le loro capacità di intelligenza artificiale, è importante capire esattamente cosa si sta ottenendo. La questione non è se incorporano AI e/o ML, ma come lo fanno. Tra le domande da porsi ci sono:
Quali algoritmi sono in uso e dove? (È possibile che considerino tali informazioni proprietarie, ma dovrebbero almeno essere disposti a condividere se e come impiegano algoritmi di regressione, classificazione, clustering e se utilizzano sistemi di AI generativa).
In che modo l’AI aiuterà il team nelle attività quotidiane di sicurezza? (monitoraggio, correlazione, rilevamento, analisi)?
Dove si collocano le capacità emergenti dell’IA nella roadmap?
L’intelligenza artificiale per la la cybersicurezza OT
La cybersicurezza OT assistita dall’intelligenza artificiale richiede maggiori capacità. Come sappiamo c’è molto da proteggere e la posta in gioco in caso di attacco è spesso più elevata. Ci sono sistemi di controllo e processi fisici, con variabili di processo configurabili, tutti potenzialmente sfruttabili. Le organizzazioni che gestiscono infrastrutture critiche e altri ambienti industriali devono ricorrere all’intelligenza artificiale. Così da affrontare ogni fase del ciclo di vita della cybersecurity – identificazione, protezione, rilevamento, risposta e ripristino. Ma con funzionalità aggiuntive per proteggere le reti OT/IoT. I principali casi d’uso includono:
Utilizzo del ML per apprendere il comportamento delle variabili di processo raccolte dal traffico di rete ed evidenziare le anomalie rispetto alle serie temporali di base.
Previsione e intervento su una larghezza di banda anomala rispetto all’attività di rete di base di ciascun sensore.
Coesistere in un mondo AI
AI e ML offrono chiari vantaggi ai team di cybersecurity, aiutandoli a fare incredibilmente di più con meno risorse. È un aspetto molto positivo, considerando la carenza di talenti informatici, soprattutto in settori specializzati come OT e IoT. Ma anche gli avversari stanno raccogliendo i benefici. Con la continua evoluzione della scienza e della tecnologia dell’intelligenza artificiale, anche i metodi di attacco informatico si evolveranno. È difficile dire chi stia vincendo la battaglia in un determinato giorno, ma le organizzazioni devono conoscere le capacità dei loro avversari. Inoltre cercare di superarle se vogliono prevalere in un mondo alimentato dall’intelligenza artificiale.
