Il settore della sicurezza ha fatto un ottimo lavoro nel creare rumore e aspettative intorno al tema del “Machine Learning” o “Intelligenza Artificiale”.
Le industrie del settore sostengono che il problema stia nelle regole, troppi attacchi non identificati e troppi falsi allarmi e pertanto le tecnologie di Machine Learning rappresentano la soluzione a queste tipologie di problemi.
PatternEx, ad esempio, sta lavorando su questa tematica. Umani e computer devono collaborare per identificare i modelli di cyber attacco che sono in evoluzione nascosti fra i nostri dati. Il segreto è comprendere come le macchine e gli esseri umani possano collaborare e istruirsi a vicenda per combattere in modo efficace le minacce emergenti.
Il Machine Learning funziona senza regole e può intercettare attacchi che sfuggono all’analisi tradizionale. Ma cosa risolve? Quali sono i compromessi?
Per spiegare questo in dettaglio, è utile organizzare l’universo del Machine Learning in tre distinte tipologie utilizzate nel settore della sicurezza:
- Unsupervised Machine Learning
- Static Supervised Learning
- Active Supervised Learning
Unsupervised Machine Learning
La maggior parte di ciò che sentiamo essere pubblicizzato come “rilevamento avanzato delle minacce” è l’apprendimento automatico senza supervisione o semplicemente il rilevamento di anomalie. Questo approccio è ampiamente usato in molti domini per organizzare i dati e trovare valori anomali in quei dati. Nella sicurezza informatica, l’Unsupervised Machine Learning analizza il log o il pacchetto dati e cerca di trovare valori anomali nei dati. Ciò ha senso perché la stragrande maggioranza dei comportamenti online è legittima e i comportamenti dannosi potrebbero essere anomali.
Sfortunatamente, le relazioni tra le imprese e i loro dipendenti, partner, fornitori e clienti sono estremamente complesse. I comportamenti variano ampiamente e ciò che sembra essere un’anomalia potrebbe invece rivelare della normale attività.
Ad esempio, potresti venire a sapere che c’è una sottrazione di dati in Ucraina per poi scoprire che c’è un appaltatore legittimo che lavora lì per una divisione diversa.
La promessa dell’Unsupervised Learning è attenuata da una sfumatura importante che illustra il difetto logico in questo approccio: la definizione di “anomalia”nonèladefinizionedi“malevolo”.Confondendoidue si finisce per trattare moltissimi falsi positivi.
Static Supervised Learning
A differenza del l’Unsupervised Machine Learning, lo Static Supervised Learning riceve gli input dagli esseri umani per creare modelli. Pensiamo ai modelli di Supervised Learning come a sistemi che “pensano” come gli umani e apprendono nel corso del tempo. I data scientists raccolgono feedback dall’uomo, poi formano un modello con quel feedback, impiegandolo poi in produzione. Questo processo di apprendimento spesso richiede mesi o addirittura anni a seconda di quando e dove vengono integrati i nuovi feedback umani.
Questo tipo di modello funziona in ambienti statici in cui ciò che stiamo cercando di prevedere non ha grosse variazioni. Ma “statico” non descrive il mondo della sicurezza informatica. La realtà legata al mondo della Cybersecurity è caratterizzato da dinamismo: una realtà nella quale l’attaccante modifica continuamente i suoi comportamenti per riuscire ad attaccare il sistema. Realtà nella quale gli attaccanti cambiano tecniche e comportamenti molto più velocemente di quanto i modelli di apprendimento supervisionati possano essere preparati.
Come è possibile, pertanto, aggiornare i modelli in tempo reale?
Active Supervised Learning
Per portare l’intelligenza artificiale nel dominio della cybersecurity, l’Active Supervised Learning risulta essere l’approccio ottimale. L’apprendimento attivo è un modo per formare modelli di Supervised Learning in tempo reale, senza procedere con milioni di esempi che devono alimentare le macchine per la formazione.
L’Active Supervised Learning offre la promessa di un apprendimento supervisionato con un periodo di training delle macchine veramente ridotto.
Il sistema coinvolge continuamente gli analisti per imparare da loro e creare nuovi modelli di Supervised Learning. Chiamiamo questi modelli Virtual Analyst perché sono in grado di distinguere tra schemi di comportamento malevoli e normali con grande precisione, come un analista umano.
Il termine Virtual Analyst implica anche che dobbiamo pensare a come integrarli nei nostri processi di sicurezza. Dispiegati correttamente, possono fornire enormi benefici ad un’organizzazione per migliorare la sua capacità di difesa e possono agire, inoltre, come sistemi di early warning.