In questi ultimi anni, grazie alla disponibilità di un’elevata potenza di calcolo computazionale e di enormi quantità di dati, l’apprendimento automatizzato (machine learning) e l’intelligenza artificiale (IA) sono cresciuti in maniera esponenziale. Essi vengono ampiamente utilizzati, pertanto, in moltissime aziende e in quasi tutti i settori di attività economica. A questo riguardo, appare verosimile, perciò, poter sostenere che a tutt’oggi non ci sia quasi nessun’area di lavoro umano laddove l’apprendimento automatizzato non sia stato ancora utilizzato: anche quando sia richiesta la collaborazione tra intelligenza umana e quella automatizzata degli artefatti digitali.
L’IA si può inquadrare all’interno della più ampia categoria delle tecnologie dell’informazione e di quel processo – oramai in uno stato avanzato, di digitalizzazione di tutte le azioni delle vita quotidiana, in connessione diretta con i dispositivi utilizzati – che produce una quantità di dati i quali sono semplicemente di una magnitudine così elevata che l’essere umano, deputato a occuparsene, non può farvi fronte da solo. Ciò vale evidentemente anche nell’ambito della cybersecurity. Sia che si tratti dei dati relativi al firewall, sia delle attività generiche degli utenti o dell’analisi dei pacchetti di rete, è assai difficile, difatti, per gli analisti umani, effettuare correntemente delle analisi in tempo reale. In questi casi, la velocità, oltre alla quantità di dati da maneggiare, è un altro aspetto di assoluta rilevanza se si è impegnati a mitigare un attacco da parte di attori malevoli.
In alcuni casi, le vulnerabilità sono latenti nei sistemi informatici per moltissimo tempo prima che esse vengano scoperte dai cyber criminali e sfruttate a fini malevoli. Ad esempio, WannaCry, tra i più conosciuti ransomware cryptoworm, apparso nel 2017, si basava su una vulnerabilità in vecchie versioni di Microsoft Windows, almeno a partire da quelle datate 2001. In quel caso, ci vollero sedici anni prima che una vulnerabilità latente venisse trasformata in una cyber arma distruttiva, capace di colpire più di 200.000 computer in 150 Paesi con danni totali, secondo le stime effettuate, che vanno da centinaia di milioni a miliardi di dollari.
Nel campo della sicurezza informatica, una sorta di intelligenza congiunta uomo-macchina (Human-Machine Intelligence, HMI) è una soluzione, oggigiorno, sempre più praticabile all’interno delle organizzazioni aziendali. Essa si è dimostrata in grado di ottimizzare alcune funzioni di decision-making che devono essere svolte in tempo reale così come di aumentare strategicamente i flussi di lavoro per massimizzare le prestazioni umane all’interno dei Security Operations Center (SOC). Quest’ultimo è un’unità centralizzata che si occupa delle problematiche di sicurezza, a livello organizzativo e tecnico, ma è soprattutto un ambiente virtuale, costituito perlopiù da informazioni digitali in streaming, sul quale può operare una HMI. Si tratta, difatti, di dati intelligenti e adattivi, interamente generati e contenuti all’interno di sistemi di macchine computazionali, sui quali operano anche i decisori umani.
Il SOC è caratterizzato, pertanto, da un ambiente di dati digitali, in tempo reale, che potrebbe beneficiare di un supporto decisionale di tipo HMI. Del resto, pochissime informazioni relative alla sicurezza informatica possono essere ottenute da un essere umano attraverso la raccolta di informazioni al di fuori dell’ecosistema degli artefatti digitali. Detto in altri termini, l’esperienza umana di tipo decisionale, relativa a dei dati informatici generati in un SOC e dunque costitutivamente digitali, è già interamente costruita e modellata sull’interfaccia uomo-macchina.
In generale, quindi, trattandosi di basi di dati riconducibili ai big data si è in presenza di tutte e tre le tradizionali caratteristiche che li contraddistinguono, vale a dire le tre v del volume, velocità e varietà, in quanto anche quest’ultima è presente nei datasets relativi alla sicurezza informatica per le varie tipologie di dati informatici interessati. Per tutte queste ragioni, la difesa dagli attacchi cibernetici viene sempre più delegata agli artefatti digitali, con vari gradi di interazione tra esseri umani e IA, seppur finora ciò è avvenuto quasi sempre sotto la supervisione degli analisti umani deputati alla threat intelligence, operanti in un SOC.
È plausibile ipotizzare, tuttavia, non solo che si possano implementare delle soluzioni più complesse di interazione HMI, così come brevemente delineate, quanto piuttosto che il mondo digitale prossimo venturo, che sempre più si prospetta, è proprio quello laddove l’IA dovrebbe entrare in scena e prendere il ruolo di protagonista principale. Si avrebbe quindi uno scenario, almeno in tesi, in cui sia i difendenti che gli attaccanti sarebbero delle potentissime IA dotate di modalità rapidissime e affidabili, in termini di applicazione di tattiche e tecniche di cybersecurity, messe a punto tramite un sofisticato apprendimento automatizzato. In questo scenario, l’IA potrebbe essere utilizzata sia per prendere delle corrette decisioni nelle fasi di difesa che di attacco.
In tale contesto prossimo venturo, verosimilmente, non si dovranno aspettare sedici anni per correggere un bug che può permettere l’attivazione di un exploit zero-day. La nuova velocità di esecuzione delle azioni informatiche porrebbe i sistemi informatici in un’inedita situazione in cui vi sarebbero continuamente una sorta di exploit “zero-second” e le IA sarebbero impegnate sia nell’attacco che nella difesa degli stessi.
Quest’ultimo scenario è ancora in molti casi futuribile e, pertanto, ciò su cui si può continuare a lavorare, oggigiorno, è su uno scenario di collaborazione basato su un paradigma HMI perché esso si dimostra essere largamente praticabile, permette di far uso delle conoscenze scientifiche e delle tecniche tecnologiche più avanzate e soprattutto consente di ottimizzare le possibilità di difesa attuale dagli attacchi di attori malevoli.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
