Sicurezza

Il Firewall intelligente è quasi come gli I.C.E. di Neuromante

La società di cybersicurezza Darktrace, insieme all’Università di Cambridge, ha sviluppato un sistema di Intelligenza Artificiale (machine learning) che può individuare le intrusioni informatiche, e tentare di impedire il furto di informazioni. Si tratta di un software autonomo e intelligente, che non richiede sistemi di addestramento.

Gli algoritmi di questo sistema rilevano eventi anomali all’interno del sistema, con un approccio molto diverso rispetto a quelli tradizionali, incentrati sul tentativo di impedire l’intrusione. In questo caso invece ci si concentra sulle azioni da intraprendere dopo che qualcuno è entrato in un sistema informatico. Spingendosi un po’ in là con la fantasia, possiamo vedere in questa soluzione il primo vagito dei sistemi I.C.E. descritti da William Gibson in Neuromante.

I tecnici hanno usato la tecnica nota come unsupervised machine learning; diversamente da altri approcci, in questo caso non bisogna indicare all’AI che cosa cercare. Gli algoritmi “sanno” com’è fatto e come dovrebbe essere il sistema, e rilevano modifiche inattese.

Secondo l’AD di Darktrace Nicole Eagan è un sistema “molto simile al sistema immunitario del corpo umano. Nella sua complessità, ha un innato senso di ciò che è normale e ciò che non lo è. E quando individua qualcosa di insolito – qualcosa che non appartiene a sé stesso – risponde in modo molto rapido e preciso”.

La differenza rispetto alla maggior parte degli altri algoritmi di AI è notevole. In genere si prende un algoritmo e gli si danno in pasto molti dati per addestrarlo e renderlo capace di fare un’azione specifica, come per esempio riconoscere i gatti. In questo caso invece, il sistema viene attivato nel suo ambiente senza informazioni aggiuntive, con il solo scopo di individuare anomalie e agire di conseguenza. Anche i “comuni” antivirus cercano di individuare nuove minacce, ma lo fanno basandosi su quelle conosciute – seppure con soluzioni tecniche molto raffinate.

Le nuove minacce rappresentano dunque un problema, in particolare quelle che presentano poche o nessuna somiglianza con quelle esistenti. Ed è qui che entra in gioco un sistema come quello di Darktrace: se non è possibile evitare che un criminale penetri in un sistema informatico, forse è possibile creare un sistema intelligente in grado di individuare l’intrusione e prevenire in danni. Un po’ come dire: se proprio il ladro riesce a entrarmi in casa, forse posso fare in modo che se ne vada a mani vuote.

Il software di Darktrace si è rivelato in effetti piuttosto valido nell’individuare minacce nuove, non presenti nei dataset esistenti e quindi impossibili da rilevare con sistemi tradizionali. Questo grazie al fatto che gli algoritmi non supervisionati (unsupervised) sono più di 60 e sono in competizione tra loro, così da offrire i migliori risultati possibili. Esiste un algoritmo “master”, che mette a confronto tutti i risultati per determinare quali sono corretti e quali si possono ignorare – tenta quindi di ridurre al minimo i falsi positivi.

Alla fine i dati vengono inoltrati agli operatori umani, che possono decidere se e come intervenire. Nel frattempo il sistema può arginare le minacce isolandole, in modo molto simile a come gli antivirus mettono in quarantena i file sospetti. In futuro, forse, sarà possibile realizzare sistemi come questo che decidono autonomamente come agire, ma per ora è troppo presto per una cosa del genere.

Oltre a Darktrace, stanno lavorando a sistemi simili anche altre società, quali Shape Security o DataVisor.

Il libro citato in questo articolo è un vero capolavoro. Se non l’avete ancora letto, non perdetevi Neuromante di William Gibson.