ATED-ICT-TICINoQuando l’intelligenza artificiale incontra l’intelligenza umana

LUGANO - L’intelligenza artificiale diventa sempre più importante nell’IT Security, sia per gli hacker sia per chi si occupa di protezione. Su questo gli esperti sono concordi e lo conferma anche l’ultima edizione dello Swisscom Threat Radar: gli attacchi informatici basati sull’AI rappresentano una minaccia crescente per le aziende.

Tuttavia, non è possibile sapere quando, come e dove colpiranno gli hacker. Una ricerca svolta da Trend Micro, provider di soluzioni security, classifica questo tipo di minacce informatiche «in crescita». E in occasione della Black Hat 2018, i ricercatori IBM hanno dimostrato con «DeepLocker» come sia possibile creare dei malware che grazie all’intelligenza artificiale siano in grado di agire senza essere rilevati. Fortunatamente, questo tipo di programmi non sono mai andati oltre lo stadio del proof of concept.

Il modello di business è decisivo per l’AI - Per i loro fini gli hacker ricorrono già oggi a meccanismi di machine learning, seppure a forme relativamente semplici, come riferisce il report di Trend Micro. Gli specialisti in sicurezza hanno identificato un programma di password cracking che usa il machine learning per aumentare l’efficienza degli attacchi brute force contro gli account degli utenti. Questo programma simula le strategie usate dalle persone per modificare le password e renderle più sicure. Anziché provare tutte le combinazioni possibili, prova prima con le varianti più verosimili di password note. Ad esempio «password123» e poi «p@ssword123». L’obiettivo è di trovare la password corretta con meno di tentativi.

Tuttavia, sviluppare un malware capace di sfruttare il machine learning o persino l’intelligenza artificiale è oneroso. Come nel mondo legale dell’economia, anche in quello della cybercriminalità gli investimenti devono rendere. Quindi, se i criminali trovano un modello di business che ricorre all’intelligenza artificiale, sviluppano le relative tecnologie e investono le risorse necessarie.

Il WEF ha sviluppato uno scenario simile in un articolo di approfondimento. Gli attacchi di phishing potrebbero sfruttare il machine learning per inviare in grande quantità e-mail redatte così bene da sembrare autentiche. Per imparare, userebbero le e-mail salvate sul computer della vittima. Questo tipo di attacco potrebbe rendere le persone più vulnerabili al phishing. Dal punto di vista degli hacker: un aumento dell’efficienza.

Il social engineering è un ambito particolarmente interessante in cui impiegare l’intelligenza artificiale, perché molte delle tecnologie necessarie esistono già. Tecnologie deepfake come la clonazione della voce permettono di simulare la voce di un interlocutore conosciuto dalla vittima dell’attacco, in modo da indurla a rivelare informazioni riservate.

L’intelligenza umana conserva la sua importanza - Naturalmente, il machine learning può essere sfruttato anche per difendersi dagli attacchi degli hacker, ad esempio in sistemi per detection & response basati sul comportamento e in piattaforme SIEM/SOAR. In questo caso, però, la sfida è opposta a quella che affrontano gli hacker: non si tratta di individuare i modelli ricorrenti, ma le anomalie. E non tutte le anomalie corrispondono a un attacco. Forse la signora Bernasconi lavora in home office e ha adattato il suo orario di lavoro. In questo caso, è possibile che eccezionalmente una delle sue e-mail sia stata inviata in tarda serata.

È per questo che anche i sistemi «intelligenti» richiedono sempre la presenza di persone che verifichino questi «falsi positivi». Per lo meno nel prossimo futuro, machine learning e intelligenza artificiale non stravolgeranno le basi su cui si basa oggi l’IT Security, ma saranno un aiuto per i pochi specialisti del settore. I Security Operations Center (SOC), quindi, continueranno a essere il cuore dell’infrastruttura di protezione dai cyberattacchi, forse però più spesso sotto forma di managed security service, perché l’intelligenza umana degli specialisti in IT Security continuerà a essere merce rara anche in futuro.