Negli ultimi anni abbiamo assistito a una rinascita dell’apprendimento automatico (ML) e dell’intelligenza artificiale (AI). L’AI si riferisce in generale alla capacità delle macchine di “pensare” come gli umani e svolgere compiti considerati “intelligenti”, senza essere esplicitamente programmati per farlo. ML è un sottoinsieme di AI. Gli algoritmi ML creano un modello matematico basato sui dati di addestramento e sfruttano il modello per fare previsioni quando vengono forniti nuovi dati. Ad esempio, un modello ML di visione artificiale può essere addestrato con milioni di immagini di esempio che sono state etichettate dagli esseri umani in modo da poter classificare automaticamente gli oggetti in una nuova immagine.

I principi di AI e ML sono in circolazione da decenni . Il recente aumento di popolarità di AI è un risultato diretto di due fattori. Innanzitutto, gli algoritmi AI / ML sono intensamente computazionali. La disponibilità del cloud computing ha reso possibile l’esecuzione pratica di questi algoritmi. In secondo luogo, la formazione di modelli AI / ML richiede enormi quantità di dati. La disponibilità di piattaforme di big data e dati digitali ha migliorato l’efficacia di AI / ML, rendendoli migliori in molte applicazioni rispetto agli umani.

La sicurezza informatica è un’area promettente per AI / ML. In teoria, se una macchina ha accesso a tutto ciò che attualmente sai essere pessima, e tutto ciò che sai è buono, puoi formarlo per trovare nuovi malware e anomalie quando emergono. In pratica, ci sono tre requisiti fondamentali per farlo funzionare. Innanzitutto, è necessario accedere ai dati, in gran parte. Più campioni di malware e benigni possiedi, migliore sarà il tuo modello. In secondo luogo, sono necessari scienziati e ingegneri informatici per poter costruire una pipeline per elaborare continuamente i campioni e progettare modelli che saranno efficaci. In terzo luogo, è necessario esperti di domini di sicurezza per essere in grado di classificare ciò che è buono e ciò che è cattivo ed essere in grado di fornire informazioni sul perché questo è il caso. A mio parere, molte aziende che propongono soluzioni di sicurezza basate su AI / ML mancano di uno o più di questi pilastri.

Un principio fondamentale della sicurezza è la difesa in profondità. La difesa in profondità si riferisce ad avere più livelli di sicurezza e non si basa su una sola tecnologia (come AI / ML). C’è un clamore sulla capacità di nuovi endpoint di sicurezza basati su AI / ML che affermano di “fare tutto”. Ma se si vuole proteggere un utente dalle minacce informatiche, è necessario assicurarsi che tutto il contenuto a cui l’utente accede sia scansionato, e devi mantenere aggiornato e aggiornato il sistema dell’utente. La scansione di tutti i file prima di consentire il download richiede la capacità di intercettare le comunicazioni crittografate con SSL tra il client dell’utente e il server di destinazione. Altrimenti, lo scanner sarà cieco ad esso. La scansione di tutti i file richiede tempo e può introdurre la latenza, con conseguenti problemi di esperienza utente. Come tale,

Una volta che le informazioni sulle minacce conosciute sono state applicate e non è disponibile alcun verdetto, entriamo nel regno delle minacce sconosciute, note anche come minacce zero-day . Le minacce zero-day non hanno firme riconoscibili e riconoscibili. Il sandboxing viene utilizzato per analizzare tali minacce sconosciute. Sandboxing implica l’installazione di un file sospetto in una sandbox della macchina virtuale che simula il computer dell’utente finale e quindi determina se il file è buono o cattivo in base al suo comportamento osservato. Questo processo, durante il quale il file dell’utente viene messo in quarantena, può richiedere diversi minuti. Gli utenti amano la gratificazione immediata e odiano aspettare. Un modello AI / ML adeguatamente formato può fornire un verdetto buono o cattivo per tali file in millisecondi. I nuovi attacchi spesso usano i kit di exploite possono prendere in prestito tecniche di consegna e di estrazione da attacchi precedenti. I modelli AI / ML possono essere addestrati per rilevare queste varianti polimorfiche.


Una considerazione importante quando si utilizza AI / ML per il rilevamento di malware è la capacità di fornire una spiegazione ragionevole del motivo per cui un campione è stato classificato come dannoso. Quando un cliente chiede perché un file è stato bloccato, la risposta non può essere “perché la nostra AI / ML ha detto così”. Avere esperti di dominio di sicurezza che capiscono quali attributi o comportamenti sono stati attivati ​​e che sono in grado di analizzare i falsi positivi / negativi è importante – non solo per capire perché è stata fatta una certa previsione, ma per migliorare in modo iterativo la precisione della previsione del modello.

Quando si tratta di allenare i modelli AI / ML, un dibattito popolare è se si debba usare l’apprendimento “supervisionato” o “senza supervisione”. L’apprendimento supervisionato si basa su dati e caratteristiche etichettati estratti per derivare un modello di predizione. Per malware, questo significa che gli esperti umani classificano ogni campione nel set di dati come buono o cattivo e che viene eseguita l’ingegnerizzazione delle funzionalità per determinare quali attributi del malware sono rilevanti per il modello di predizione prima dell’allenamento. Apprendimento senza supervisionedisegna modelli e determina la struttura da dati che non sono etichettati o categorizzati. I sostenitori dell’apprendimento non supervisionato affermano che non è limitato dai confini della classificazione umana e rimane libero da pregiudizi di selezione delle caratteristiche. Tuttavia, l’efficacia dell’apprendimento pienamente supervisionato in sicurezza deve ancora essere dimostrata su larga scala. Con i modelli senza supervisione, può anche essere difficile spiegare perché qualcosa è stato contrassegnato come buono o cattivo.

Alcune classi di sfide per la sicurezza sono più adatte per AI / ML rispetto ad altre. Il rilevamento del phishing, ad esempio, ha una componente visiva significativa. Un avversario userà loghi, immagini e altri elementi di “look and feel” per far apparire un sito web fasullo come il suo omologo legittimo. Progressi significativi negli algoritmi di visione AI / ML hanno portato alla capacità di applicare tecniche per rilevare siti Web falsi progettati per ingannare gli utenti ignari. Gli algoritmi AI / ML possono anche essere utilizzati per rilevare comportamenti anomali degli utenti, apprendere una linea di base di ciò che un utente normalmente fa e segnalare quando c’è un allontanamento significativo dalla norma.

Se correttamente addestrato da esperti con esperienza nel campo della scienza dei dati e della cibersicurezza, AI / ML può essere un importante aggiunta all’arsenale di difesa della sicurezza cibernetica. Tuttavia, siamo ancora lontani dal nominare AI / ML la panacea per prevenire tutte le minacce informatiche.

Di ihal