Sicurezza

Intelligenze artificiali ci difendono dagli hacker

La difesa perimetrale, cioè la strategia di difesa contro gli attacchi informatici che mirano a impedire l'accesso alla rete, sta mostrando dei limiti evidenti nella sua efficacia.

Gli eventi e le notizie di questi ultimi mesi dimostrano che nessuna azienda è davvero al sicuro da intrusioni, a prescindere dalla loro dimensione, estrazione e campo d'attività.

Quelle grandi sono difficili da proteggere perché il numero di terminali attaccabili è così elevato che sperare di coprire tutte le falle e tutti i comportamenti a rischio è utopistico, mentre le piccole e medie imprese hanno spesso delle mancanze di tipo culturale, che le porta a non implementare le politiche necessarie a rimediare agli immancabili errori dei dipendenti.

Per questo sta iniziando a diffondersi un nuovo modo di concepire la difesa contro minacce informatiche: l'analisi del traffico interno di rete.

Screen Enterprise Immune System 2
La rappresentazione grafica dell'interfaccia è molto suggestiva, con una geolocalizzazione delle postazioni che rende comodo tenere sotto controllo più sedi

"Le aziende in grado di difendersi dagli attacchi esterni" – ci dice Corrado Broli, country manager di Darktrace per l'Italia – "sono davvero poche perché le tecniche di ingegneria sociale messe in atto durante un attacco mirato sono davvero difficili da contrastare".

Effettivamente, l'apertura delle aziende all'utilizzo di Internet ha scoperchiato un vero e proprio vaso di Pandora, con ondate di attacchi che mirano a sottrarre segreti industriali e denaro.

"Il problema delle difese perimetrali" – continua Broli – "è che una volta superate, gli attaccanti hanno quasi carta bianca all'interno della rete bersaglio. Le difese esterne servono ancora, sia ben chiaro, ma è il caso di adottare ulteriori misure che possano contrastare eventuali infiltrazioni".

Ma quali difese esistono che possano contrastare un hacker quando ormai si trova all'interno dell'azienda? Può suonare strano, ma ci verranno in aiuto delle forme "embrionali" di intelligenza artificiale, sistemi in grado di analizzare grandi moli di dati e trarre delle conclusioni.

Stiamo parlando di deep learning e analisi statistica dei comportamenti, argomenti molto in voga ultimamente, ma che non sono più fantascienza, oltre a essere alla base del futuro sviluppo delle intelligenze artificiali.

Screenshot Enterprise Immune System
Ecco una schermata in cui sono raccogli gli alert: in basso a sinistra si vede come il sistema abbia rilevato potenziali SQL Injection, utilizzo sospetto di credenziali e così via.

Darktrace propone una soluzione particolarmente interessante in questo settore perché non necessita di una vera e propria integrazione nella rete: basta collegare un server e lasciargli fare il suo lavoro.

"Una particolarità che ci contraddistingue è proprio la semplicità nell'utilizzo: noi forniamo una macchina che si collega alla rete e inizia a raccogliere dati. Dopo qualche giorno" – dice Broli – "il sistema ha creato un modello comportamentale efficace già all'80% e in pochi altri giorni diventa pienamente operativo".

A questo punto, si dispone di uno strumento incredibilmente potente per l'analisi di cosa accade nella propria rete, con allarmi che vengono sollevati in caso di eventi sospetti (una postazione che inizia a trasferire molti dati, una serie di errori nell'inserimento di password, movimenti laterali di software e utenze…) e una rappresentazione grafica di cosa accade alle varie postazioni, con tanto di storico del traffico di rete.

Un sistema da fantascienza che, al contrario di quanto potrebbe sembrare, non è diretto solo a grandi aziende.

"In realtà" – conferma Broli – "la maggior parte dei nostri clienti sono entità di medie dimensioni e non mancano quelle più piccole. La vera discriminante è il tipo di informazione che c'è da proteggere. In Italia sono molte le aziende medio/piccole che hanno un grande know-how e che per questo sono tartassate da attacchi mirati a carpire segreti industriali".

In effetti, la grande differenza che un sistema di difesa di questo tipo può fare sta tutto nei tempi di reazione. Per estrarre grandi quantità di dati serve tempo e un sistema che ti avvisi immediatamente se qualcosa non quadra torna davvero utile.

Enterprise Immune System
Il sistema tiene traccia nel tempo della quantità e tipo di traffico sviluppato dalla rete, così da poter tornare ad analizzare situazioni "sospette" o complesse.

"La situazione lì fuori è così difficile che ci capita spesso, durante i periodi di prova gratuiti che concediamo, che già al momento dell'installazione i nostri sistemi rilevino attacchi già attivi o grossi problemi pronti a esplodere".

È quindi arrivato il momento di dare le chiavi della sicurezza aziendale a entità artificiali che possono evidentemente gestire le situazioni meglio di noi?

Non ancora: sebbene Darktrace abbia anche una soluzione che reagisce automaticamente alle minacce rilevate, l'analisi da parte di tecnici esperti è ancora necessaria per comprendere appieno le dinamiche portano agli attacchi e rimediare.

Eppure la strada appare tracciata e sta arrivando il momento di interrogarsi sui possibili scenari futuri: quanto abbiamo letto in Neuromancer diverrà realtà? Verranno create Intelligenze artificiali "cattive" mirate a penetrare questo tipo di difese?

Prima che questo accada, bisognerà attendere che le difese basate sull'analisi dei dati interni diventino la norma, il resto si vedrà.