Intelligenza Artificiale e Cyber Security: tre campi di applicazione

Nel 2017, WannaCry e NotPeya hanno evidenziato il potenziale devastante del cyber crimine. In particolare, WannaCry ha paralizzato centinaia di sistemi informatici e NotPeya ha inflitto perdite significative, raggiungendo la cifra di oltre 300 milioni di dollari per le aziende coinvolte. A livello globale, il cyber crimine causa perdite enormi alle aziende, con una media per organizzazione che, secondo l’IBM Cost of a Data Breach Report 2023, nel 2023 è stato di 4,45 milioni di dollari, il 15% in più rispetto al 2020. Negli anni successivi, la situazione non è migliorata: l’ultimo rapporto del Clusit mostra come, confrontando il numero di attacchi rilevati nel primo semestre 2018 con quelli del 2023 la crescita è stata dell’86% (da 745 a 1.382). Questi dati delineano un quadro caratterizzato da attacchi sempre più frequenti, impattanti e sofisticati nei metodi utilizzati.

> Leggi anche: 5 nuove minacce alla sicurezza informatica nel 2024

L’avvento dell’Intelligenza Artificiale nella sfera della cyber security ha catalizzato un crescente interesse sia nel settore pubblico, sia in quello privato. Tuttavia, con l’innovazione sorgono anche le sfide. L’IA, se da un lato può individuare vulnerabilità insospettate nell’ambiente informatico, facilitando potenzialmente l’escalation degli attacchi, dall’altro offre un potenziale straordinario per migliorare le difese aziendali. Questa tecnologia, se impiegata in modo appropriato, può rappresentare un baluardo fondamentale per la protezione del perimetro aziendale.

In questo articolo presentiamo tre casi in cui l’IA può migliorare la postura della sicurezza informatica e ci soffermeremo anche sulle implicazioni etiche di ognuno.

> Scopri il corso Artificial Intelligence Governance e Cyber Security

Rilevamento Malware & Resilienza dei sistemi

Esaminiamo le principali categorie di tecniche di rilevamento del malware e come l’intelligenza artificiale, unita agli algoritmi di machine learning, può migliorare la loro efficacia.

  • Il rilevamento basato sulla firma si concentra su pattern specifici: è efficace contro i malware noti, ma limitato contro minacce sconosciute. L’IA, applicata a questo metodo, mira a migliorare l’efficienza attraverso l’addestramento di algoritmi di apprendimento automatico per identificare anche le varianti più evolute di malware.
  • I metodi basati sull’analisi delle anomalie individuano sia malware noti, sia sconosciuti, applicando tecniche di classificazione alle attività del sistema. Sebbene offrano una visione più ampia, richiedono una comprensione approfondita del normale funzionamento del sistema, che può essere sostenuta dall’IA per una classificazione più accurata.
  • L’euristica, infine, trae notevoli vantaggi dall’IA, utilizzando algoritmi di machine learning per adattarsi all’evolversi delle minacce e migliorare la precisione nella predizione del malware.

> Leggi anche: Malware e Malware Analysis: tipologie e strumenti Open Source

Chiaramente questa applicazione non si limita ai malware, ma abbraccia quasi ogni tipologia di minacce e anomalie: gli strumenti di rilevamento, sempre più integrati con l’IA, sfruttano i dati storici delle minacce per addestrare i sistemi dei riconoscimento di pattern. Alcuni di questi strumenti gestiscono le priorità delle minacce in base al rischio e possono isolare porzioni di sistema infettate per investigazioni future.

Tuttavia, per avere i dati su cui addestrarsi, questi strumenti devono necessariamente avere accesso a file, email, dispositivi e dati di traffico. In questo contesto, l’IA può monitorare il comportamento degli utenti e generare profili biometrici, ad esempio attraverso il rilevamento dei movimenti del mouse. Questo solleva un’importante questione sulla privacy degli utenti: se, da una parte, l’IA migliora la resilienza dei sistemi informatici, dall’altra richiede una raccolta estensiva di dati e monitoraggio costante del sistema, sollevando dubbi sull’esposizione degli utenti a rischi non necessari e sulla possibile creazione di un ambiente di sorveglianza massiva.

Prevenzione attacchi Phishing & Blocco domini malevoli

Le email di phishing e di spam vengono tipicamente utilizzate per veicolare malware, rubare credenziali di accesso e commettere frodi finanziarie. L’intelligenza artificiale sfrutta il machine learning e la classificazione supervisionata per individuare e fermare in tempo reale le e-mail spam, analizzando dati come oggetto, allegati e contenuti.

In particolare, le email di phishing (o gli sms), sono utilizzate per veicolare attacchi malware attraverso link maligni, richiedendo l’integrazione di queste tecniche con la capacità di bloccare domini malevoli. I professionisti si affidano all’IA per identificare e bloccare l’accesso a siti sospetti associati a malware, phishing e ransomware attraverso analisi DNS.

Il rilevamento dei siti pericolosi si basa sull’addestramento di algoritmi di machine learning attraverso una vasta collezione di caratteristiche web maligne e non. Queste caratteristiche possono essere divise in quattro categorie principali: design, dominio, URL e ibride.
Particolarmente efficaci sono le caratteristiche basate sul nome dominio, utilizzate per rilevare siti web maligni tramite modelli di machine learning supervisionato e deep learning. Questi modelli esaminano le caratteristiche del nome di dominio, come le stringhe URL, le informazioni linguistiche, contestuali e statistiche.
Alcuni professionisti combinano caratteristiche ibride per individuare botnet o siti di phishing, sfruttando caratteristiche strutturali del nome di dominio e risposte DNS.

Sul piano etico, questa applicazione dell’Intelligenza Artificiale pone due problemi di correttezza ed equità (fairness). Prima di tutto, gli algoritmi di IA potrebbero interpretare erroneamente come pericolose alcune email o siti web che non lo sono (falsi positivi), bloccando contenuti legittimi e limitando potenzialmente la libertà di informazione. In secondo luogo, ricordiamo che l’accuratezza di un algoritmo di machine learning, dipende dall’accuratezza e dalla qualità dei dati utilizzati per addestrarlo: l’algoritmo potrebbe quindi anche esibire un comportamento discriminatorio nel rilevamento di siti web o email malevole, basandosi su modelli di dati pregressi che riflettono i pregiudizi umani.

> Leggi anche: Principi e sfide dell’etica applicata all’Intelligenza Artificiale 

Gestione delle identità e autenticazione

La gestione delle identità, l’autenticazione e il controllo degli accessi sono strategie essenziali di cyber security per limitare l’accesso agli asset e alle relative strutture solo agli utenti, processi o dispositivi autorizzati, limitatamente alle attività consentite.
L’IA può essere impiegata per la gestione e la protezione dell’accesso fisico e remoto utilizzando l’autenticazione intelligente dell’utente, l’autenticazione intelligente del dispositivo, il controllo degli accessi automatizzato tramite autorizzazioni e permessi di accesso, per prevenire l’accesso non autorizzato e le sue conseguenze.

> Scopri il catalogo dedicato all’Intelligenza Artificiale e al Machine Learning 

L’autenticazione degli utenti supportata dall’IA (smart authentication) può migliorare il processo di autenticazione grazie all’utilizzo della biometria fisica o comportamentale o all’autenticazione multi-fattore, che sostituiscono nomi utente, password e token testuali facilmente compromettibili.

  • La biometria fisica, invece, si riferisce alle caratteristiche fisiche innate degli utenti come le impronte digitali, l’iride o la forma del viso (ad esempio il riconoscimento facciale).
  • La biometria comportamentale identifica e misura modelli univoci nelle attività umane, offrendo una sicurezza continua e user-friendly: l’ abbiamo vista prima con il rilevamento dei malware e delle email di phishing. Tra i modelli, l’autenticazione basata sull’andatura (gait authentication), emerge come un metodo trasparente e non invasivo su dispositivi mobili, raccogliendo dati mentre l’utente cammina per verificare ciclicamente l’autenticità.

L’autenticazione intelligente dei dispositivi si fonda sulle credenziali o sul comportamento di rete, garantendo sicurezza nelle comunicazioni da macchina a macchina. Questa modalità trova ampio impiego in ambito IoT, per identificare e autenticare i sensori per assicurare la protezione dei sistemi cyber-fisici.

Tuttavia, anche l’integrazione dell’IA con i sistemi di autenticazione solleva questioni etiche cruciali. Gli algoritmi potrebbero interpretare erroneamente i dati, limitando l’accesso a informazioni legittime, personali o sensibili. Inoltre, come in precedenza, la raccolta e l’analisi di dati sensibili per l’autenticazione possono sollevare preoccupazioni sulla privacy e sulla potenziale discriminazione basata su modelli di dati pregressi.

È in ogni caso chiaro che l’IA, come la cyber security, è un argomento culturale, prima di essere tecnologico. Le organizzazioni, per poter sfruttare le numerose potenziali applicazioni dell’IA e garantire la sicurezza informatica, devono affrontare sfide relative alle persone, ai processi e alla tecnologia.
È fondamentale capire come ottimizzare l’utilizzo dell’IA, considerandola come un costrutto umano che richiede l’analisi e la valutazione delle scienze umane: questo implica l’applicazione di un approccio etico e olistico nello sviluppo delle intelligenze artificiali, essenziale per creare un ambiente digitale sicuro e sostenibile.

Fonti:

Alobaidi, H., Clarke, N., Li, F., & Alruban, A. (2022). Real-world smartphone-based gait recognition. Computers & Security, 113, 102557. Disponibile su: https://www.sciencedirect.com/science/article/pii/S0167404821003813. Ultimo accesso: 11/12/2023

Faruk, M. J. H., Shahriar, H., Valero, M., Barsha, F. L., Sobhan, S., Khan, M. A., … & Wu, F. (2021). Malware detection and prevention using artificial intelligence techniques. In 2021 IEEE International Conference on Big Data (Big Data) (pp. 5369-5377). IEEE. Disponibile su: https://arxiv.org/ftp/arxiv/papers/2206/2206.12770.pdf Ultimo accesso: 11/12/2023

Taddeo, M. (2019). Three ethical challenges of applications of artificial intelligence in cybersecurity. Minds and Machines29, 187-191. Disponibile su: https://www.researchgate.net/profile/Mariarosaria-Taddeo/publication/333580685_Three_Ethical_Challenges_of_Applications_of_Artificial_Intelligence_in_Cybersecurity/links/5cf9449f4585157d1597ff91/Three-Ethical-Challenges-of-Applications-of-Artificial-Intelligence-in-Cybersecurity.pdf Ultimo accesso: 11/12/2023

Wiafe, I., Koranteng, F. N., Obeng, E. N., Assyne, N., Wiafe, A., & Gulliver, S. R. (2020). Artificial intelligence for cybersecurity: a systematic mapping of literature. IEEE Access, 8, 146598-146612. Disponibile su: https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=9152956. Ultimo accesso: 11/12/2023