Menu

Machine Learning e Cybersecurity

16 Febbraio 2021
Nessun Commento
machine learning e cybersecurity

Machine learning: una maledizione o una benedizione per la sicurezza IT?

L’Intelligenza Artificiale (IA) e Machine Learning (ML) sono tra gli argomenti più discussi nella sicurezza informatica. Alcune persone sperano in una liberazione dai malware, altri temono cyberattacchi più sofisticati. Entrambe le parti hanno ragione.

L’Intelligenza Artificiale non è Machine Learning

L’espressione “Intelligenza artificiale”, o più correttamente “Machine Learning”, è sulla bocca di tutti da ormai molto tempo. Ma solo poche persone hanno veramente capito il vero potenziale. Solo una cosa è certa: siamo ancora molto lontani dallo sviluppo di un’intelligenza artificiale che vediamo nei grandi schermi.

I termini Intelligenza Artificiale e Machine Learning sono spesso e incorrettamente usati come sinonimi. L’IA è l’idea che una macchina possa imparare ed agire indipendentemente e in modo intelligente senza l’intervento dell’uomo ed esclusivamente in base agli imput provenienti dall’ambiente. Con l’aiuto degli algoritmi per il processo dei dati, il Machine Learning è capace di gestire certi compiti in modo indipendente. La soluzione si basa sull’abilità del computer di identificare velocemente le strutture e le anomalie in una grande quantità di dati e arrivare ai punti essenziali del problema (generazione di modelli). Tuttavia, il ML viene per lo più scambiato come la base centrale dell’IA.

Il Machine Learning assicura più sicurezza IT

Il Machine Learning e uno dei suoi metodi, il Deep Learning, sono tecnicamente maturi e sono stati parte del mondo della sicurezza informatica per decenni. Comunque, entrambi hanno ricevuto maggiore attenzione solo negli ultimi anni. Loro aiutano a scoprire casi di frode e ad analizzare attività criminali. In questo modo, contribuiscono in modo significativo nel trovare nuove soluzioni a problemi esistenti.
Il trend del Machine Learning non è solo arrivato nelle menti si coloro che prendono decisioni, ma è diventata da tempo realtà. Uno studio di OnePoll per conto di ESET ha mostrato che:

  • L’82% degli intervistati credono che la loro azienda utilizzi già un prodotto per la sicurezza IT con componenti del ML.
  • L’80% degli intervistati crede anche che il ML aiuterà loro o la loro azienda a reagire in modo più veloce ai pericoli nel futuro.
  • Il 76% degli intervistati non credono che il ML aiuterà a compensare una mancanza di uno staff adeguatamente addestrato sulla sicurezza IT nella loro azienda.

Anche i criminali utilizzano “IA e ML”

Si è sparsa voce riguardo ai benefici del ML nell’industria del cyber-crimine. Sempre più hacker lo stanno utilizzando per trovare e sfruttare potenziali vittime o per rubare dati importanti. Allo stesso tempo, il ML riesce ad identificare lacune e debolezze prima che possano essere risolte. Ultimo ma non ultimo, i criminali utilizzano gli algoritmi del ML per proteggere le loro infrastrutture IT (e.g. botnet).
Le aziende che usano il Machine Learning su larga scala diventano particolarmente attraenti agli occhi degli hacker. Contaminando i set di dati di imput, per esempio, loro assicurano che i sistemi che effettivamente lavorano bene producono risultati incorretti e immagini della situazione dei dati che non corrispondono alla realtà. Caos, malfunzionamenti e danni a volte irreparabili sono il risultato.

Malware guidati da un motore del ML: Emotet

Un esempio pratico che è alla base del ML è il virus Emotet, che sta attualmente circolando. Questo viene usato per altre applicazioni non volute, ad esempio Banking Trojans per scaricarlo automaticamente sul computer della vittima. Grazie al ML, Emotet è capace di selezionare le sue vittime targetizzandole. Allo stesso tempo, è sorprendentemente bravo a non permettere ai ricercatori, ai localizzatori di botnet e agli honeypot di scoprirlo.

Per i loro attacchi, Emotet colleziona dati di telemetria da potenziali vittime e li manda agli hacker dei server C&C per le analisi. In compenso, lui riceve comandi o moduli binari dal server. Basato su questi dati, il software seleziona solo quei moduli che corrispondono al suo compito. È anche capace di distinguere gli umani dalle macchine virtuali e gli ambienti automatizzati usati da ricercatori e investigatori.
L’abilità di Emotet di imparare la differenza tra processi legittimi e artificiali è particolarmente sorprendente. Questi ultimi vengono inizialmente accettati, ma finiranno nella blacklist in poche ore. Mentre le vittime “reali” mandano i dati dal computer, il codice dannoso nel computer / bot nella blacklist cade in una specie di modalità silenziosa e ferma qualsiasi attività dannosa.

Questi processi non sarebbero possibili senza automazione. Gli hacker dietro a Emotet dovrebbero usare enormi risorse per controllare i virus. Gli esperti ESET pertanto presuppongono che Emotet lavori con gli algoritmi del Machine Learning – il comportamento del virus potrebbe essere implementato con una frazione delle risorse e molto più velocemente.
Anche gli hacker non possono fare magie – nemmeno con l’aiuto del Machine Learning. Anche le applicazioni dannose anno dei limiti. Lo si può vedere nell’esempio del worm Stuxnet, che penetrava anche nei network sicuri e riusciva ed espandersi velocemente. Comunque, è stato questo comportamento aggressivo che ha portato gli esperti della sicurezza a venire a conoscenza del virus, analizzare il suo funzionamento ed essere in grado di rafforzare le soluzioni protettive di conseguenza.

Una situazione simile potrebbe verificarsi per i virus basati sul ML. Con un incremento del numero di attacchi avvenuti con successo, tali organismi nocivi diventano sempre più evidenti e possono essere resi innocui più facilmente.

Machine Learning e IoT

Fin dall’inizio, l’internet delle cose (IoT) è stato un target popolare per gli hacker. Da quel momento, il numero dei router, videocamere di sorveglianza e altri dispositivi intelligenti sono incrementati velocemente. In diversi casi, comunque, questi dispositivi sono estremamente non sicuri e spesso possono essere spiati con i mezzi più semplici o altrimenti usurpati. Password preimpostate, non sicure o punti deboli conosciuti da anni sono tipici.
Con l’aiuto degli algoritmi del ML, gli hacker sono ancor meglio capaci di trarre profitto da questi problemi, per esempio possono:

  • Trovare vulnerabilità precedentemente non conosciute nei dispositivi IoT e collezionare tonnellate di dati riguardanti i comportamenti del traffico e degli utenti, che possono essere utilizzati per allenare algoritmi per migliorare i meccanismi di camouflage.
  • Imparare i comportamenti e i processi standard di un certo virus rivale per rimuoverlo o usarlo per i loro scopi.
  • Creare ogni anno set di allenamento con le password più efficaci, basati su milioni di password scoperte.

Uomini e Macchine uniti come una squadra per combattere gli Hacker

Il Machine Learning è di grande importanza nella lotta contro i cyber-crimini, specialmente quando si tratta di rilevamento di malware. Usando grandi quantità di dati, il ML è allenato a dividere correttamente i virus digitali in “benigni” e “maligni”. In questo modo, gli elementi nuovi e sconosciuti inoltre possono essere automaticamente assegnati a una delle due categorie. A tal fine sono necessarie masse di dati – per cui ogni informazione deve essere correttamente categorizzata.

Contrariamente a quanto è stato mostrato diverse volte, non è affatto garantito che un algoritmo etichetti correttamente un nuovo elemento semplicemente perché è stato precedentemente alimentato con grandi quantità di dati. Una precedente verifica umana e un controllo finale restano imperativi per risultati discutibili.

A differenza delle macchine, gli esseri umani sono in grado di imparare dai contesti in cui si trovano e agire in modo creativo. Questo è qualcosa che nessun algoritmo, per quanto avanzato, può fare. Gli autori di malware professionali, per esempio, sono in grado di mascherare abilmente lo scopo reale del loro codice. Ad esempio, un codice dannoso in pixels singoli in un file di immagine pulita o frammenti di malware in singoli file possono essere ben nascosti. Il comportamento dannoso si sviluppa solo quando i singoli elementi sono combinati in un punto finale. Se l’algoritmo del ML non è quindi in grado di identificare ciò, mette in discussione la decisione sbagliata. Un cacciatore di virus umano riconosce il pericolo in base alla sua formazione, esperienza e una porzione di istinto. È quindi essenziale che gli esseri umani e le macchine lavorino insieme per prevenire attivamente le attività dannose.

ML è solo una parte di una complessa strategia di sicurezza

Il Machine Learning è stato un importante componente nella sicurezza IT fin dagli anni ’90. Se l’ultimo decennio digitale ha insegnato qualcosa, non ci sono soluzioni semplici a problemi complessi. Questo è particolarmente vero per il cyberspazio, dove le condizioni possono cambiare in pochi minuti. Nel mondo degli affari di oggi, non sarebbe saggio fare affidamento su una sola tecnologia per costruire una difesa informatica resiliente. I decisori IT devo riconoscere che il ML è senza dubbio uno strumento prezioso nella lotta contro il cyber-crimine, ma dovrebbe essere solo parte della strategia di sicurezza generale di una società. E questo include ancora la competenza professionale di persone reali: gli agenti di sicurezza e gli amministratori.

Conclusione

Grazie ai big data e al miglioramento delle prestazioni del computer, il Machine Learning (ML) è diventato il mezzo di scelta per innumerevoli aree di applicazione negli ultimi anni – compresa la sicurezza IT. Ma il mondo della sicurezza di Internet è in continua evoluzione. È quindi impossibile proteggersi dai pericoli che cambiano frequentemente solo con gli algoritmi del ML. Soluzioni multistrato, combinate con dipendenti di talento e qualificati, sarà l’unico modo per essere sempre un passo avanti agli hacker.

Michael Klatte, Digitale Welt Magazine

Torna su