L’intelligenza artificiale (IA) è uno degli strumenti più all’avanguardia nella corsa agli armamenti per la sicurezza informatica. Oggi i criminali informatici si servono dell’IA per accelerare la frequenza degli attacchi e sferrare campagne quanto mai complesse, in parte grazie all’uso dell’automazione ottimizzata con l’IA. All’adozione delle tecnologie IA da parte dei nostri avversari fa da contraltare la comparsa di soluzioni di sicurezza informatica fondate sull’IA e concepite per fornire una protezione rapida, accurata ed efficace dagli attacchi informatici.
In questo white paper si osserva come WatchGuard utilizzi l’intelligenza artificiale nel suo portafoglio di soluzioni per la sicurezza di rete per automatizzare i processi di sicurezza e aumentare la capacità delle aziende di reagire alle minacce emergenti.
L’intelligenza artificiale nella corsa agli armamenti per la difesa informatica
Gli approcci tradizionali alla protezione si basano quasi totalmente su processi manuali e criteri preconfigurati
per bloccare gli attacchi, senza però prevenire la natura in costante evoluzione delle minacce. Firme e criteri
diventano obsoleti in breve tempo; se vengono utilizzati da soli, possono creare lacune significative nella sicurezza e sovraccaricare i team con compiti amministrativi, distraendoli dai principali obiettivi aziendali. Non ci si può aspettare che un peggioramento del problema, perché i criminali informatici adottano approcci sempre più sofisticati, come l’impiego dell’intelligenza artificiale, per aggirare i sistemi di sicurezza.
La forza dell’intelligenza artificiale è la capacità di elaborare grandi quantità di dati complessi ed
eseguire compiti altamente ripetitivi che normalmente richiederebbero l’impegno di una persona o, più
probabilmente, di molte persone. L’automazione di processi generalmente manuali consente ai malintenzionati, in special modo ai criminali informatici, di rendere più mirati gli attacchi ed espanderne la portata, accelerando in modo esponenziale la velocità di creazione di nuovi malware.
L’IA apporta un notevole vantaggio anche a livello di protezione, in quanto consente di risparmiare tempo,
correlare più dati, accelerare il processo decisionale, ridurre al minimo l’errore umano e prevedere i trend futuri delle minacce, migliorando nettamente la capacità di garantire protezione. Purtroppo, i motori di sicurezza basati davvero sull’IA sono sempre stati troppo costosi per le piccole e medie imprese; senza queste tecnologie le PMI sono esposte ad attacchi che potrebbero evitare con una soluzione di questo tipo.
WatchGuard: sicurezza ottimizzata con l’IA per le piccole e medie imprese moderne
WatchGuard ha preso l’impegno di fornire alle piccole e medie imprese le tecnologie di sicurezza
necessarie per condurre l’attività senza problemi e siamo profondamente convinti che l’IA sia uno strumento
essenziale nella corsa agli armamenti per la difesa informatica delle organizzazioni di ogni dimensione, non solo le più grandi. WatchGuard ha investito molto per integrare l’IA nel proprio portafoglio di soluzioni per la sicurezza di rete, promuovendo lo sviluppo all’interno dell’azienda e stringendo rapporti di partnership con esponenti leader del settore. Oggi l’intelligenza artificiale presente nel portafoglio di servizi di sicurezza WatchGuard funge da moltiplicatore di forze che consente l’automazione dei processi e migliora straordinariamente la nostra capacità di prevenire, rilevare e rispondere alle minacce.
IntelligentAV: prevenzione degli attacchi con la protezione predittiva
Un ostacolo importante alla prevenzione del malware è il tempo che intercorre tra l’individuazione di un ceppo di malware e l’applicazione di firme, euristica e modelli comportamentali alle misure di difesa. Possono passare settimane dalla rilevazione di un ceppo di malware alla creazione di una firma, il che significa che le organizzazioni che si affidano esclusivamente alle tecniche preventive restano esposte alle minacce più recenti. È stato dimostrato che l’uso di sistemi di IA nel rilevamento del malware consente di prevedere in che modo si presenteranno le minacce future, eliminando così il divario tra il momento del rilevamento e quello di applicazione della difesa.
IntelligentAV, basato su un fondamento di IA di Cylane, utilizza l’intelligenza artificiale per:
- Sviluppare profili di file dannosi e innocui. Questi profili includono comportamenti e
caratteristiche dei file per fornire un quadro completo della potenziale minaccia. - Valutare la potenziale minaccia. IntelligentAV identifica le minacce prendendo in considerazione
oltre 2 milioni di elementi di un file, senza aprire o eseguire il malware. - Bloccare il malware senza firme. Se IntelligentAV identifica una minaccia, il malware viene
bloccato automaticamente, impedendo al payload dannoso di accedere alla rete.
APT Blocker: uso dell’IA per rilevare attacchi molto elusivi
Alcuni ceppi di malware altamente elusivo hanno creato scompiglio nelle aziende di tutto il mondo. Sono stati concepiti per eludere le difese con un comportamento polimorfo, grazie al quale ogni singolo malware si presenta in modo unico in endpoint diversi. Molte delle difese all’avanguardia da cui oggi dipendono le aziende si basano su un processo di monitoraggio del comportamento: vanno alla ricerca dei processi e delle azioni eseguiti da un software che potrebbero essere indicativi di un comportamento dannoso. Purtroppo, l’IA offre agli aggressori nuovi metodi per evitare il rilevamento da parte dei metodi comportamentali, con la creazione di malware intelligente capace di analizzare un ambiente e restare inattivo fino a quando non colpisce uno specifico obiettivo. Questa situazione diventa un vero problema quando le aziende tentano di rilevare malware che potrebbe avere eluso le difese.
WatchGuard APT Blocker è un innovativo sandbox su cloud che durante il processo di analisi dettagliata sfrutta
l’intelligenza artificiale per eseguire un esame completo dei file. Di norma un esame di questo tipo richiederebbe un team di analisti della sicurezza esperti che osservino centinaia di migliaia di caratteristiche comportamentali per stabilire il possibile intento doloso.
APT Blocker, basato sulla piattaforma Lastline, utilizza l’IA con apprendimento automatico durante il processo di analisi dettagliata per:
- Rilevare malware elusivo incoraggiando la detonazione tramite l’emulazione dell’intero
sistema. APT Blocker utilizza l’emulazione dell’intero sistema per consentire al sandbox di interagire
con il malware sospetto. Quando il malware manda una chiamata al sistema operativo, il sandbox può restituire vari risultati e valutare la reazione del malware oppure può provocare l’esecuzione di moduli di codice diversi. - Analizzare il codice inattivo, identificare i relativi attributi e valutarlo prima che venga eseguito. Utilizzando l’IA, APT Blocker analizza codice potenzialmente dannoso ma non ancora eseguito e lo
inserisce nel contesto dell’attacco finora sospetto. APT Blocker inoltre confronta questo codice con i
risultati di altre indagini per prevederne il comportamento. - Sviluppare livelli base e rilevare le anomalie. Con l’IA, APT Blocker identifica livelli base del
comportamento di reti ed endpoint e se ne serve per rilevare eventuali anomalie che potrebbero
indicare la presenza di malware. - Determinare se un file è dannoso o innocuo in base a un’analisi finale di modelli di
comportamento. La decisione finale in merito alla dannosità di un file spetta al motore di intelligenza
artificiale ottimizzato di APT Blocker, che offre informazioni precise e tempestive sulla minaccia in
modo che si possa agire immediatamente per proteggere l’attività.
ThreatSync: risposte celeri con triage automatico e classificazione attendibile delle minacce
L’eliminazione tempestiva dei ceppi di malware richiede la capacità di individuare gli indicatori dannosi quando si presentano e di identificare i file associati a tali comportamenti, in modo da poterli mettere in quarantena. Da sempre gli amministratori IT fanno affidamento sull’analisi dei registri per trovare le anomalie potenzialmente indicative dei rischi per la sicurezza. Gli attacchi sono però diventati più complessi e frequenti e questa prassi è sempre più faticosa. Gli strumenti di analisi dei registri e le soluzioni SIEM hanno contribuito a rendere più efficiente il processo, ma sono tecnologie troppo complesse, confondono gli utenti con falsi positivi e sono troppo costose per le organizzazioni più piccole. Pur potendo disporre di tali strumenti, l’analisi dei dati richiede tempo prezioso perché la valutazione di ogni singolo dato è un processo fondamentalmente manuale.
ThreatSync utilizza l’IA per:
- Facilitare il processo di triage delle minacce. ThreatSync analizza automaticamente i file classificati
all’inizio come sospetti per stabilire se contengono caratteristiche indicative di un intento doloso. - Accelerare i tempi di risposta. Grazie al processo di triage automatico, ThreatSync elabora
valutazioni più rapide e accurate delle minacce, che possono essere utilizzate per avviare
automaticamente il processo di correzione.
Quando le minacce vengono identificate, APT Blocker genera subito una valutazione, consentendo a ThreatSync di rispondere automaticamente per isolare l’host infetto, mettere in quarantena i file, eliminare i valori dal registro di sistema e sopprimere i processi dannosi. In sostanza, l’IA interagisce con ThreatSync e APT Blocker per svolgere il ruolo di un analista della sicurezza esperto, 24 ore al giorno, 7 giorni alla settimana, tutti i giorni dell’anno.
Il futuro dell’IA nella piattaforma WatchGuard
IntelligentAV, APT Blocker e ThreatSync apportano alla Total Security Suite di WatchGuard potenti metodologie di sicurezza basate sui dati e sull’apprendimento automatico; si evolvono continuamente a partire da un flusso costante di nuovi dati e feedback che vengono aggiunti all’addestramento, migliorando la copertura complessiva della protezione. In qualità di leader nel settore della sicurezza, WatchGuard continua a cercare nuove modalità per integrare l’IA nei propri prodotti e servizi. Con il progressivo sviluppo delle implementazioni di IA nell’ambito della sicurezza, la tecnologia connetterà tutte le piattaforme di WatchGuard per fornire una visione complessiva e dettagliata secondo modalità semplici e fruibili, abilitando una difesa all’avanguardia contro gli attacchi futuri.
https://www.watchguard.com/it/wgrd-resource-center/white-paper/lintelligenza-artificiale-it