Come l’intelligenza artificiale sta rivoluzionando il rilevamento delle minacce

Non è una novità: gli attacchi informatici sono in costante aumento per volume, complessità e portata. Allo stesso tempo, le nostre aziende e società sono sempre più dipendenti dall’infrastruttura digitale.

Spesso all’insaputa di molti, l’intelligenza artificiale per il rilevamento delle minacce sta diventando fondamentale per permettere ai difensori di tenere il passo con gli attaccanti. In questo approfondimento, esamineremo il Machine Learning (ML), una branca dell’IA, e il suo impiego nella cybersecurity.

L’importanza del machine learning per il rilevamento delle minacce

Molti conoscono l’IA grazie a strumenti come ChatGPT, ma in realtà l’intelligenza artificiale esiste dagli anni ’60 e comprende molteplici ambiti: IA generativa, computer vision, veicoli autonomi, NLP, assistenti vocali e molto altro.

Per i difensori, il problema principale è la facilità con cui gli attacchi informatici possono essere replicati con leggere variazioni, che si tratti di malware, worm o versioni differenti di email di phishing.

Ciò rende inefficace il rilevamento basato sull’aspetto di una minaccia, perché cambia ogni volta. Serve quindi osservarne il comportamento, ed è qui che il Machine Learning dà il meglio di sé.

I limiti del rilevamento tradizionale delle minacce

L’analisi manuale non è più sostenibile

All’inizio della mia carriera IT (molti anni fa), gli antivirus si basavano su firme.

Gli analisti analizzavano i virus, ne creavano un “identikit” e lo caricavano nei sistemi AV per bloccarli. Con l’aumento esponenziale dei nuovi virus, da poche decine a migliaia ogni settimana, questo metodo è diventato insostenibile.

Non per questo va disinstallato l’antivirus: le vecchie minacce sono ancora in circolazione, quindi la strategia migliore resta quella a più livelli, combinando varie tecniche di rilevamento.

Le nuove minacce si evolvono più velocemente degli aggiornamenti

Un’altra sfida legata ai sistemi basati su firme o regole scritte a mano è il ritardo nella rilevazione. Se si aggiornano le firme una o due volte al giorno, si crea una finestra temporale di esposizione a nuove minacce.

Un punto di svolta è stato l’avvento Endpoint Detection and Response (EDR), che registra ogni processo, file o modifica al registro, fornendo dati ricchi per addestrare modelli ML in grado di rilevare comportamenti sospetti.

In che modo l’AI migliora il rilevamento delle minacce nella cybersecurity?

Per comprendere la potenza del ML, pensa a un’enorme quantità di dati di log, in cui ogni voce è contrassegnata come dannosa o sicura.

Questi dati vengono utilizzati per addestrare un modello ML che poi sarà in grado di riconoscere automaticamente nuove voci che mostrano le stesse caratteristiche delle attività dannose. A differenza di un analista umano, i modelli ML analizzano migliaia di variabili, pesandole, e riescono a scoprire correlazioni invisibili all’occhio umano.

Le tre principali modalità di Machine Learning sono: 

• Apprendimento supervisionato con dati etichettati,
• Apprendimento non supervisionato, il modello trova i pattern da solo,
• Apprendimento per rinforzo, il modello viene premiato per ogni risposta corretta e impara dai successi.

Con l’arrivo di nuove varianti, i modelli possono essere aggiornati continuamente per diventare sempre più precisi.

A volte questi modelli di machine learning lavorano direttamente sui dispositivi o sui sistemi dove vengono generati i log, altre volte invece si trovano nel cloud, dove hanno a disposizione più risorse e possono aggiornarsi più velocemente.

Spesso si usano entrambe le soluzioni insieme: ad esempio, se un file appena aperto sembra comportarsi in modo strano, viene inviato al cloud per un controllo più approfondito.

In questo modo il sistema non si limita a identificare cosa sia un file, ma valuta soprattutto come si comporta.

Le sfide del rilevamento delle minacce tramite intelligenza artificiale

Poiché nessun sistema di Machine Learning è infallibile, il rilevamento delle minacce tramite AI comporta alcune sfide. Tra queste, i falsi positivi (FP): casi in cui un elemento viene classificato come pericoloso quando in realtà non lo è. Questo può portare al blocco di attività aziendali legittime e richiedere l’intervento del personale IT o dei team di sicurezza per risolvere manualmente il problema.

Allo stesso tempo, esistono i falsi negativi (FN), ovvero situazioni in cui un’attività malevola non viene rilevata. Chiaramente, anche questo rappresenta un rischio significativo.

Esempi concreti di intelligenza artificiale e Machine Learning nel rilevamento delle minacce

Oggi, il rilevamento delle minacce alimentato dall’IA è integrato in moltissime soluzioni di cybersecurity. Opera spesso in modo invisibile, ma rappresenta un alleato fondamentale per chi si occupa di difendere le infrastrutture digitali.

Analisi del linguaggio con ChatGPT & Co.

Ultimamente, l’intelligenza artificiale trova sempre più spazio nella sicurezza informatica, specialmente con strumenti generativi come Copilot o ChatGPT. Questi vengono usati per analizzare il linguaggio nelle email e nei messaggi, non solo per individuare link pericolosi, ma soprattutto per capire qual è l’intento e il tono dietro le parole.

After all, if the attacker is trying to trick the user into changing an account number for an invoice payment, they’ll likely exchange a few emails back and forth to build up rapport and trust first, something the system will only understand if it’s analyzing the intent of the text itself, not just malicious links. 

Per esempio, un hacker che vuole convincere qualcuno a cambiare il numero del proprio conto per un pagamento spesso cerca di creare una conversazione via email per guadagnarsi la fiducia della vittima. Riconoscere questo tipo di attacco richiede di guardare oltre i link presenti, valutando il contenuto e il modo in cui è scritto il messaggio. 

Analisi del traffico di rete

Un altro ambito chiave è l’analisi del traffico di rete, dove enormi volumi di dati vengono processati in tempo reale per rilevare anomalie. Anche se gran parte del traffico web è oggi protetto da Transport Layer Security (TLS), ovvero protocolli come HTTPS, i metadati disponibili sono ancora molto utili per individuare attività sospette.

Autenticazione e protezione dell’identità

Oltre alla protezione degli endpoint, un altro settore che beneficia dell’IA è la gestione dell’identità e dell’autenticazione.

Tutti i principali provider cloud offrono piattaforme di identità. Per chi utilizza Microsoft 365, ad esempio, questa è Entra ID, che gestisce oltre 7000 attacchi alle password ogni secondo. Grazie al Machine Learning, riesce a bloccare gli attacchi e allo stesso tempo a consentire l’accesso agli utenti legittimi.

Gestione della superficie d’attacco

Un altro ambito in cui l’intelligenza artificiale si sta rivelando davvero utile è nella gestione della superficie d’attacco. Spesso, servizi non aggiornati o configurati male diventano delle vere e proprie porte aperte per chi vuole attaccare. Trovare queste vulnerabilità e capire quali sono le priorità da affrontare è un lavoro che l’IA può fare molto bene, aiutando le soluzioni di sicurezza a essere più efficaci.

Threat Intelligence Tracking di Microsoft

Microsoft ha sviluppato TITAN (Threat Intelligence Tracking via Dynamic Networks), un sistema che rappresenta l’evoluzione dalle tradizionali soluzioni antivirus a quelle moderne basate su ML.

Anziché far sì che siano gli analisti a identificare manualmente indirizzi IP, URL e altri indicatori come malevoli all’interno dell’enorme mole di 78 trilioni di segnali raccolti ogni giorno, vengono impiegati modelli di Machine Learning per rilevare le relazioni tra le varie entità e individuare le infrastrutture degli attaccanti, che vengono poi bloccate dai servizi di sicurezza, spesso prima ancora che possano essere effettivamente utilizzate dagli aggressori.

Il rilevamento delle minacce secondo Hornetsecurity

In Hornetsecurity, da anni utilizziamo l’IA per il rilevamento avanzato delle minacce. Il nostro servizio Advanced Threat Protection analizza oltre 500 caratteristiche diverse di ogni email e dei suoi allegati prima di recapitarli alla casella del destinatario, individuando con grande precisione ogni possibile minaccia.

Inoltre, l’intelligenza artificiale è integrata nel nostro servizio AI Recipient Validation, che impedisce ai tuoi utenti di inviare email ai destinatari sbagliati per errore.

IA generativa e cybersecurity: altri esempi

Anche l’IA generativa sta trovando sempre più spazio nei prodotti di sicurezza. Ad esempio, Microsoft offre Copilot for Security come componente aggiuntivo dei propri strumenti, permettendo agli analisti di interagire con minacce, incidenti e policy tramite linguaggio naturale.

Non sarà una sorpresa se, molto presto, i tuoi strumenti di sicurezza inizieranno a proporre interfacce conversazionali, permettendoti di analizzare incidenti e minacce o rivedere configurazioni e policy in modo più intuitivo.

---

Anticipa le minacce informatiche con il rilevamento AI-driven

Il Machine Learning sta rivoluzionando la sicurezza informatica. Con un rilevamento più rapido, meno falsi positivi e una prevenzione proattiva delle minacce, l’IA è ormai uno strumento indispensabile per la cybersecurity moderna.

La soluzione Advanced Threat Protection di Hornetsecurity utilizza il Machine Learning per mantenere la tua azienda al sicuro:

• Rilevamento e analisi delle minacce in tempo reale 
• Meno falsi positivi e tempi di risposta più rapidi 
• Protezione contro attacchi zero-day e APT 

Scopri come il Machine Learning può rafforzare la tua sicurezza informatica: prenota una demo oggi stesso!

---

Conclusione – Il futuro del rilevamento delle minacce con l’intelligenza artificiale

Non c’è dubbio che l’intelligenza artificiale e il machine learning siano ormai elementi imprescindibili nella sicurezza informatica. La quantità di dati da analizzare, gli allarmi che arrivano continuamente e la complessità delle connessioni tra eventi sono così elevate che senza questi strumenti sarebbe praticamente impossibile gestirle al meglio.

Questi sistemi non solo riescono a elaborare enormi volumi di log, ma lo fanno anche molto più in fretta di quanto potremmo fare noi. Considerando che ormai gli attacchi informatici possono passare dalla prima infiltrazione al pieno controllo di un’azienda nel giro di poche ore, invece che in giorni o settimane come una volta, la velocità nel rispondere è diventata decisiva.

Advanced Threat Protection di Hornetsecurity è una soluzione completa per la protezione delle email, capace di intercettare ciò che altri strumenti non riescono a rilevare e di proteggere la tua azienda dal principale vettore d’attacco: l’email.