Serve agli attaccanti per costruire attacchi più mirati. E per questo sta cambiando anche il modo in cui i difensori proteggono le aziende
Nonostante il settore della cybersecurity siano uno di quelli che più sta sfruttando l’intelligenza artificiale, c’è un’area nella quale il “tocco umano” è impossibile da sostituire. È il settore in cui lavora Wendi Whitmore, vicepresidente senior di Palo Alto Networks a capo della Unit 42, l’unità interna che si occupa di “aiutare le organizzazioni a gestire le più complesse cybersfide di sicurezza“. Tradotto dal linguaggio burocratico delle multinazionali: Whitmore guida il team di 300 persone che fa ricerca e interviene sul campo quando scoppia un problema nei server di un cliente. Può essere il furto di dati, può essere un ransomware, può essere un attacco Ddos che mette offline il sito dell’azienda e la sua rete interna. “Il nostro lavoro – dice Whitmore – è aiutare le aziende a risolvere questo tipo di problemi“.
Whitmore ha un curriculum di tutto rispetto che copre venti anni di cybersicurezza: prima guidava il team X-Force di Ibm e prima ancora ha lavorato per aziende più piccole ma non meno agguerrite nel contrasto alla cybercriminalità come CrowdStrike e Mandia. Ma la sua carriera è iniziata nelle istituzioni, dove ha lavorato come Agente Speciale per l’Air Force Office of Special Investigations. Nel tempo libero, ha insegnato cybersecurity in due importanti università americane, la Carnegie Mellone la George Washington University.
“Il nostro lavoro – spiega Whitmore – ci porta a contatto con i clienti. Usiamo gli strumenti di analisi quantitativa, ma ogni cliente è diverso, anche se adopera gli stessi prodotti software, perché opera in ambiti e con una cultura differenti. Penso che questa sia la parte più interessante del mio lavoro: entrare in contatto per capire quali sono i loro problemi. Alle volte c’è bisogno di molta creatività per capire cosa sta realmente succedendo, non esistono risposte già pronte da applicare a tutti i casi”
Questo spiega anche il tipo di profili delle persone che Wendi Whitmorecerca per il suo lavoro: informatici, certo, ma anche capaci di risolvere creativamente i problemi, curiosi, con esperienze le più diverse possibili. Perché il mondo è una cosa complessa e la cybersecurity, grazie all’Ai, ancora di più.
Usare le Ai per la cybersicurezza
L’intelligenza artificiale ha un ruolo crescente nel lavoro fatto dagli attaccanti. Che sono diventati un universo sempre più complesso: decine e decine di gruppi differenti che operano negli stessi ecosistemi, collaborando e fornendo risorse o comprando e rivendendo i softwareusati per fare gli attacchi o i dati sottratti.
Da un lato ci sono le operazioni criminali di cyberspionaggio industriale. In questo caso occorre che il gruppo di criminali abbia un interesse specifico in determinate informazioni dell’azienda bersaglio. Dall’altro c’è il cybervandalismo e l’hacktivismo, che cercano di fare rumore e creare problemi, interruzioni di servizio, “liberazione” di dati. Poi ci sono gli attacchi di gruppi sponsorizzati da Stati, che possono avere entrambi gli obiettivi: spionaggio o vandalismo. E poi ci sono gli attacchi fatti dalla criminalità vera e propria, che cerca di massimizzare il guadagno e che ha trovato nel ransomware l’arma perfetta. Prende in ostaggio i dati senza spostarli dai server della vittima e senza aver bisogno di qualcun altro che paghi per averli. A pagare il riscatto ci pensa la stessa azienda vittima.
I grandi cambiamenti
In questo scenario ci sono tre cambiamenti in corso. Il primo è l’uso sempre più massiccio di intelligenza artificiale. Che, spiega Whitmore, serve agli attaccanti per costruire attacchi ad esempio di phishing più efficaci, con la possibilità di tradurre in lingue diverse e moltiplicare i messaggi e le interazioni con i chatbot (cosa che riduce i costi dell’attaccante perché servono meno operatori).
Il secondo è l’aumento del ruolo dei gruppi sponsorizzati dagli Stati, soprattutto ora che è in corso la guerra tra Ucraina e Russia. E alcuni di quei gruppi fanno operazioni di cybercriminalità per finanziare il proprio governo (come da tempo fanno i gruppi riconducibili al regime della Corea del Nord).
E infine il terzo è la “industrializzazione” degli attacchi, con la nascita di una vera e propria filiera di “cattivi” che si dividono il lavoro, si scambiano informazioni, comprano e vendono attacchi e dati sottratti o database di persone da attaccare.
La risposta
Per contrastare queste attività in un contesto in cui c’è una mancanza cronaca di informatici specializzati in cybersecurity (secondo alcune stime centinaia di migliaia se non uno o due milioni di posti di lavoro in tutto il mondo) l’intelligenza artificiale sta diventando uno strumento fondamentale per ridurre la complessità mettendo assieme i dati che vengono prodotti dai server, analizzarli, creare dei report preliminari, prendere le prime decisioni difensive e offrire agli operatori una prospettiva di maggiore sintesi che permetta di intervenire sugli incidenti più gravi in maniera più efficiente.
Dopodiché, la cybersecurity non si fa automaticamente, neanche con l’intelligenza artificiale. Occorre scendere sul campo. “I team di Unit 42 – dice Whitmore – sono composti da persone che hanno una base di informatica, ma anche da linguisti, giuristi, facilitatori, persone esperte di relazioni internazionali o della gestione della crisi o della storia e cultura dei posti dove stanno i nostri clienti. E molto vengono da agenzie di sicurezza, con le quali manteniamo rapporti stretti e fruttuosi“.
La cosa che manca nel settore? La comunicazione, che però sta aumentando. I “cattivi” comunicano molto, ma anche i “buoni” hanno imparato a farlo. Sia quelli delle grandi aziende che i funzionari delle polizie di tutto il mondo. Comunicare e collaborare. Queste sono le parole d’ordine. E l’intelligenza artificiale? È più un “cemento”, una colla che tiene assieme pezzi diversi e dà più stabilità al sistema. Ma quello fondamentale è sempre l’occhio umano.
di ANTONIO DINI
Fonte: https://www.wired.it/article/intelligenza-artificiale-cambia-cybersecurity/