Menu

Il Machine Learning per la sicurezza

Le convenzionali tecnologie utilizzate per la sicurezza riescono a fronteggiare una notevole parte delle minacce attuali, ma non sono in grado di difenderci da tutte come dimostrano i crescenti numeri di incidenti registrati su scala internazionale. Big Data e nuove generazioni di strumenti di analisi costituiscono la nuova frontiera sulla quale investire.

Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks

Ivan StranieroUna delle attività più abitudinarie che facciamo al mattino è verificare le previsioni atmosferiche per la giornata in corso o per le successive. La formulazione delle previsioni meteorologiche è una scienza piuttosto precisa che elabora enormi quantità di dati avvalendosi di algoritmi complessi. Operazioni matematiche e statistiche molto lontane dalla quotidianità. Il meteo si è evoluto al punto di permetterci di valutare unicamente i rischi indotti dallo stato del tempo, senza doversi preoccupare dei dati e delle tecniche di analisi sottostanti. Se ci si sposta da quest'area alla sicurezza, la situazione appare per contro totalmente opposta.

Con l’evoluzione delle minacce e con l’aumentare della complessità delle reti e dei servizi disponibili, le aziende hanno messo in campo architetture di sicurezza composte da più strati che fanno affidamento sulle best practice. Inoltre, hanno ideato svariate tecnologie che mirano a contrastare le nuove minacce e – in quanto ad architetture di sicurezza - possono far riferimento ad un numero sempre maggiore di fornitori. Le tecnologie riescono quindi a bloccare una parte notevole delle minacce alle quali siamo sottoposti, ma non sono in grado di difendersi da tutte, così come sottolineato dal crescente numero di interruzioni di rete dovute a DDoS e di violazioni di dati che si verificano su scala globale.

Minando la disponibilitĂ  dei servizi e sottraendo dati, i pirati informatici guadagnano denaro; di conseguenza, continueranno a ideare strumenti e tecniche sempre nuovi che consentano loro di conseguire i propri obiettivi e ottenere vantaggi economici. Per riuscire ad accedere alle nostre reti, gli autori degli attacchi adottano tecniche sempre piĂą furtive, ad esempio avvalendosi di credenziali rubate: incursioni come queste non possono essere intercettate dalle tradizionali soluzioni di sicurezza.

Si è, dunque, registrato un boom di strumenti volti a individuare questi attacchi più occulti che sfruttano tecniche di apprendimento automatico e/o basate sul comportamento capaci di rilevare attività sospette o dolose. L’apprendimento automatico (ML, Machine Learning) è estremamente interessante e grazie a questo è possibile scoprire modelli e notare minacce che altrimenti risulterebbero difficilmente individuabili. Spesso si sottolinea che l’essere umano è bravo a rilevare modelli, e questo è vero, ma battiamo le palpebre, ci annoiamo, possediamo una finestra di memoria finita e non solo. Sebbene riescano a scorgere modelli che l’essere umano non è in grado di notare, gli algoritmi dell’apprendimento automatico non rappresentano (ancora) la risposta a tutti i nostri problemi.

Il primo passo verso la sicurezza consiste nell’individuazione delle attività sospette e nella generazione di eventi; il secondo, invece, impone di intervenire su quanto rilevato. La maggior parte dei sistemi di ML attuali mette a disposizione eventi senza però specificare il contesto, informazione di cui gli analisti hanno bisogno per comprendere immediatamente il problema in corso; inoltre, in presenza di problemi di sicurezza, al giorno d’oggi si preferisce intervenire bloccando. In altre parole, come altre tecnologie in passato, il ML fornisce una quantità di dati superiore ma non una maggiore visibilità dei rischi. Ovviamente, si tratta di fattori completamente diversi.

Per comprendere meglio il problema è possibile osservare la differenza tra un foglio di calcolo e un grafico. Se ci viene proposto un foglio di calcolo contenente una serie di colonne di dati e ci viene chiesto di indicare le tendenze, la prima cosa da fare è disegnare un grafico. Grazie a esso è infatti possibile comprendere intuitivamente i dati e, di fatto, si ottiene la visibilità. Metaforicamente, in ambito di sicurezza, è stato creato un enorme foglio di calcolo a cui si continua ad aggiungere colonne, senza però inserire le funzionalità grafiche che permettono di comprendere cosa succede.

Si cerca di spacciare la presenza di numerosi eventi relativi alla sicurezza come buona visibilità ma, come è noto, praticamente tutti gli addetti alla sicurezza sono sommersi dalla marea di informazioni che ricevono. Giorno dopo giorno, gli analisti della sicurezza sono costretti a cercare di capire su cosa concentrare l’attenzione e dove si celano le minacce effettive. La difficoltà non è data dalla presenza di più livelli di sicurezza garantiti da prodotti di diversi produttori, ma risiede nel fatto che nella maggior parte dei casi non si dispone di strumenti che permettano di raccogliere e organizzare tutti i “dati” (eventi) disponibili per ottenere un quadro effettivo delle minacce. In altre parole, le (scarse) risorse per la sicurezza di fatto sprecano gran parte del tempo alla ricerca di falsi positivi e spostandosi tra prodotti malamente integrati anziché tra flussi di lavoro incentrati sul problema.

Gli operatori del settore hanno il compito di ovviare a questa situazione. Persino i prodotti e le soluzioni pubblicizzati come facili da utilizzare tendono a esserlo per gli analisti della sicurezza specializzati. Le aziende più piccole e le PMI sono soggette agli stessi rischi e possiedono dati altrettanto ambiti dai pirati informatici, ma non dispongono delle risorse necessarie per farvi fronte. Questo scenario non è probabilmente destinato a cambiare visto che la carenza di competenze nel settore non sembra poter essere risolvibile nel breve periodo.

Sebbene l’orizzonte appaia molto cupo, non tutto è negativo. In occasione delle principali conferenze in ambito di sicurezza svoltesi quest’anno, come l’RSA, Cisco Live e non solo, sembra essere emersa una crescente accettazione di quanto appena esposto e del fatto che gli operatori del settore abbiano l’obbligo di fornire due risposte: in primo luogo, soluzioni di sicurezza che rendano possibili flussi di lavoro unificati che fanno leva sui dati provenienti dalle attività di rete e oltre, che offrano una reale visibilità delle minacce e permettano agli analisti della sicurezza di concentrare tempo ed energie laddove necessario; in secondo luogo, soluzioni di sicurezza che possano essere facilmente gestite dai provider dei servizi di sicurezza stessi, consentendo così alle organizzazioni più piccole di accedere alle capacità difensive migliori in circolazione.

Le minacce da affrontare sono in continua evoluzione; allo stesso modo, la rivoluzione digitale, così come i sistemi cloud, determinano enormi trasformazioni nelle architetture dei servizi e delle reti. Le aziende considerano la prontezza un ingrediente imprescindibile per il futuro, grazie al quale incrementare le entrate, accrescere la competitività, tagliare i costi, ridurre il time-to-market e minimizzare il rischio, il tutto contemporaneamente. La sicurezza deve essere intesa come un elemento di promozione - e non un ostacolo - per favorire idee e strategie aziendali nuove: se questo traguardo sarà conseguito tutti potranno sperare in un futuro migliore.

Ultima modifica ilLunedì, 09 Ottobre 2017 12:15

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto