Cybersecurity e intelligenza artificiale: il punto di vista di Proofpoint

Quasi senza che ce ne accorgessimo, l'intelligenza artificiale è entrata di prepotenza nelle nostre vite. La usiamo tutti i giorni, forse inconsapevolmente, quando "parliamo" con l'assistente vocale, quando scrolliamo il feed dei social network (è una AI che si occupa di decidere l'ordine dei post, mettendo in risalto quelli che dovrebbero essere più rilevanti per noi) e quando, navigando sul web, veniamo bombardati da annunci mirati per colpire proprio noi.

Non solo: probabilmente anche parte dei sistemi informatici ai quali accediamo sono protetti tramite algoritmi di machine learning. "Oggi, l’AI è una linea di difesa vitale contro un’ampia gamma di minacce, compresi gli attacchi focalizzati sulle persone, come il phishing" - spiega Martin Mackay, SVP EMEA di Proofpoint - "Ogni email di phishing lascia dietro di sé una scia di dati, che possono essere raccolti e analizzati da algoritmi di machine learning per valutare il rischio di email potenzialmente dannose controllando la presenza di noti hallmark malevoli".

Quello che sino a pochi anni fa è fantascienza è insomma realtà, tanto che ormai il 70% delle organizzazioni sfrutta l'AI per proteggere i propri assett. Viene usata per il rilevamento di frodi e intrusioni,  ma anche per il risk scoring e l’analisi del comportamento utente/macchina. 

"Il più grande vantaggio dell’AI è la sua velocità" - prosegue Mackay - "Gli algoritmi di apprendimento automatico possono applicare rapidamente complesse tecniche di riconoscimento dei modelli per individuare e contrastare gli attacchi molto più rapidamente di qualsiasi essere umano".

C'è un problema, però: anche i criminali hanno imparato a usarla a loro vantaggio. 

Hacker e intelligenza artificiale: phishing, DeepFake e altre minacce

Inevitabilmente, anche criminali e truffatori hanno imparato a sfruttare l'AI, che gli permette di sferrare attacchi più efficaci e di evitare a persona in carne ed ossa i lavori più ripetitivi. Un esempio di AI applicata al crimine informatico arriva dall'Inghilterra, dove dei truffatori sono riusciti a sottrarre più di 200.000 euro a un'azienda con un DeepFake molto ben congegnato, che imitava la voce di uno dei dirigenti. 

Gli scenari possono essere anche più inquietanti. IBM ha sviluppato DeepLocker, per dimostrare cosa è possibile fare già oggi con la tecnologia che abbiamo a disposizione: si tratta di un malware che rimane dormiente e si attiva solo quando la vittima prescelta è di fronte al PC. Per individuarla sfrutta diversi segnali, come la geolocalizzazione, il riconoscimento della voce e del volto, che vengono analizzati dall'AI per verificare che si tratti del bersaglio giusto. 

"Anche gli algoritmi di apprendimento automatico più rudimentali possono monitorare la corrispondenza e le credenziali all'interno di un account compromesso" - ha proseguito Mackay - "In breve tempo, l’AI potrebbe imitare lo stile di corrispondenza della vittima per diffondere e-mail dannose in lungo e in largo, ripetendo l’attacco più e più volte.  Quando si tratta di malware, l’AI può facilitare la diffusione di attacchi altamente mirati e non rilevabili".

Come difendersi dagli attacchi basati su AI?

Secondo Martin Mackay l'unico modo per vincere la battaglia contro i cybercriminali è quello di stare davanti agli avversari. "Mentre le tattiche e le tecnologie possono essere cambiate, la battaglia per restare in testa infuria da decenni. Ma l’AI non deve essere considerata la panacea universale. Non c’è dubbio che il machine learning sia sofisticato e incredibilmente potente, ma è solo un pezzo del puzzle. Indipendentemente da ciò che li sta attaccando, in ultima analisi sono ancora le vostre persone ad essere attaccate. Ecco perché - insieme agli strumenti e alle protezioni più recenti - la difesa deve includere una formazione regolare e completa dei dipendenti sui metodi di attacco, il rilevamento delle minacce e la prevenzione delle minacce. 

Non c’è dubbio che l’intelligenza artificiale sia ormai una linea di difesa estremamente importante. Ma non può e non deve sostituire tutte le tecniche precedenti. Dobbiamo invece aggiungerla a un toolkit sempre più sofisticato, progettato per proteggere da minacce che si evolvono sempre più rapidamente".