La cybersecurity, oggi, non può più essere considerata una disciplina applicata a set di tecnologie utili a tutelare gli asset immateriali e a garantire il corretto funzionamento dei processi di un’impresa. È un approccio che deve coinvolgere tutte le attività dell’organizzazione, oltre la sfera informatica, permeando superfici, applicazioni e cultura aziendali. La tecnologia diventa così un di cui, uno strumento al servizio della conoscenza. È infatti necessario, prima di poter cominciare a parlare di sicurezza, sapere esattamente quali sono gli ambiti da prendere in considerazione, sia in termini di rischi e minacce, sia, soprattutto, rispetto a cosa è indispensabile monitorare e proteggere. La complessità dell’ecosistema chiamato azienda impone una mappatura continua, dinamica, intelligente degli elementi che lo compongono, con la capacità di intervenire puntualmente nel momento stesso in cui si rileva un’anomalia.
È infatti del tutto inutile mettere in luce una perdita di dati mesi dopo che è avvenuta, così come scoprire un attacco Ddos (Distributed Denial of Service): nel momento in cui diventa effettivo serve solo a limitare i danni, che – specialmente in caso di fermo macchine in un contesto industriale – possono risultare pesantissimi.
Occorre adottare, quindi, una prospettiva bidirezionale e convergente, che tenga conto sia dell’evoluzione dei malware e delle strategie – opportunistiche o mirate – degli attaccanti, sia delle trasformazioni che subisce l’azienda sul piano tecnologico e su quello organizzativo. Lo sguardo umano non è sufficiente per estendere questa visuale sull’intera superficie dell’impresa, ed è per questo che garantire la sicurezza a 360 gradi oggi significa ricorrere alla Cyber threat intelligence, che contempla soluzioni, pratiche e tecnologie supportate da accurate analisi dei dati generati dai comportamenti dell’avversario e dai processi interni. Una scelta obbligata, se si considera che hacker e cyber criminali continuano a rafforzare le proprie competenze nell’ambito dell’intelligenza artificiale applicate ai software malevoli.
Reagire rapidamente in uno scenario sempre più complesso
“Sono due i termini da mettere in campo: intelligence e counter intelligence”, precisa Andrea Ferrazzi, Direttore del Security Competence Center e CISO di Maticmind. “Non esiste una sola Cyber threat intelligence, ma diversi modelli procedurali, ognuno con un proprio approccio peculiare, ma tutti col medesimo fine: sfruttare le informazioni disponibili, mettendole a fattor comune per fare prevenzione. Ciascuno di questi modelli va a controllare specifici comportamenti di gruppi di attaccanti per identificare tattiche e tecniche, in modo da arricchire il livello di consapevolezza dell’azienda, aiutando l’intera struttura a conoscere il proprio nemico grazie, per l’appunto, a un feed di intelligence. Si tratta di indicatori dinamici, che devono essere aggiornati continuamente: sei mesi sono sufficienti perché diventino del tutto obsoleti. Il superamento dei modelli di cybersecurity, basati su un paradigma statico, risulta essenziale per creare la cultura d’impresa necessaria a fermare gli attacchi prima ancora che avvengano”.
L’AI al servizio della sicurezza informatica
Come detto, esistono diverse piattaforme dedicate in grado di svolgere questo tipo di task. “Il programma di Fortinet può contare su una base estesa, e in continua crescita, di apparati: oltre cinque milioni in tutto il mondo”, spiega Cesare Radaelli, Sr Director Channel Account del Vendor specializzato in soluzioni di sicurezza. Fortinet ha dato vita a una collaborazione strategica con Maticmind per portare sul mercato italiano, calando nella realtà delle imprese locali, le evidenze che i suoi Fortinet Labs continuano a produrre nell’ambito dell’analisi delle minacce informatiche a livello globale. “Minacce che diventano sempre più sofisticate, facendo leva anche su elementi di intelligenza artificiale, utilizzata da vere e proprie organizzazioni criminali che fanno investimenti massivi per preparare attacchi mirati ed estremamente raffinati. Sono casi limitati, per il momento, ma grazie all’ AI queste strutture pirata riescono a elevare rapidamente le loro capacità, e quindi la loro pericolosità per le imprese”. Radaelli sottolinea che in questo senso non esistono settori più o meno privilegiati. “Se un’organizzazione criminale decide che vuole attaccare un determinato target, la tecnologia diventa solo un fattore abilitante, l’adozione di piattaforme di intelligenza artificiale una scelta propedeutica. Ed è, d’altra parte, lo stesso approccio con cui sfruttiamo noi la tecnologia. L’AI viene applicata in due ambiti: da una parte al servizio dei laboratori di ricerca, per amplificare la capacità di scoperta, di riconoscimento, di analisi delle minacce e quindi di reazione attraverso le soluzioni. L’altro ambito è quello del potenziamento dei prodotti destinati al mercato. Per esempio: Fortiweb usa l’intelligenza artificiale per sviluppare meccanismi di autoapprendimento e contrastare gli attacchi in modo sempre più raffinato ed efficace nel momento in cui si utilizzano applicazioni via web”.
Verso sistemi in grado di evolversi autonomamente
La capacità di evolversi e adeguarsi ai cambiamenti, comprendendoli, è il cardine di qualsiasi presidio basato sull’intelligenza artificiale. “Le soluzioni devono essere in grado di comprendere anche il malware più articolato, in funzione del comportamento dei software e delle anomalie riscontrate nei processi e nei sistemi”, aggiunge Ferrazzi di Maticmind. “Riconoscere un pattern in base a un determinato comportamento predefinito non basta più, occorre individuare comportamenti sospetti rispetto a situazioni dinamiche: gli algoritmi devono adattarsi a sistemi le cui regole sono in costante evoluzione. Facendo un esempio: se, all’interno di uno stadio gremito, impostiamo un sistema automatico per riconoscere un’eccezione rispetto a quella che il sistema considera la regola, un algoritmo avanzato sarà in grado non solo di individuare, tra tutte le persone che guardano la partita, gli individui che danno le spalle al campo, ma anche di segnalare quelli che guardano la partita nel caso in cui tutti gli altri fossero voltati. E non è banale per una macchina. Infine”, conclude Ferrazzi, “bisogna sempre ricordare che l’uomo rimane al centro di tutto. L’automazione, specialmente nel riconoscimento di comportamenti sospetti e possibili minacce, è un aiuto insostituibile vista la crescente complessità degli ecosistemi aziendali e degli attacchi informatici. La Cyber threat intelligence, però, è solo uno strumento al servizio degli utenti, che devono sfruttare visibilità e capacità predittiva offerta dalle piattaforme di nuova generazione per attuare strategie di prevenzione e controllo”.