Nella trilogia di Matrix, l’Agente Smith afferma che l’essere umano è un virus. In realtà alle minacce cybernetiche non difettano molti punti di forza che, invece, gli individui possono soltanto invidiare: la capacità di moltiplicarsi numericamente, di mutare all’infinito, di eludere i sistemi di controllo attraverso camuffamenti che le fanno apparire innocue. Di fronte agli strumenti attuali del cybercrimine – come le bot e lo spear-phishing sofisticato – gli approcci classici sono inefficaci. Una risposta può essere l’approccio incentrato sul machine learning e sul calcolo delle probabilità, incarnato per esempio da soluzioni come quella di Darktrace. Dave Palmer, director of technology dell’azienda, ci spiega perché è sempre più necessario affiancare a firewall, antivirus e sandbox strumenti nuovi, che fanno leva sull’intelligenza artificiale.
Nel 2003 un programma dotato di intelligenza e in grado di auto-replicarsi ha causato un grande caos di massa. Riscrivendo rapidamente e abilmente programmi core all’interno di una rete mondiale, è quasi riuscito a ottenere il controllo completo. È solo la trama di un film. Matrix Reloaded. E tuttavia, anche se nella realtà non si prevedono capacità di intelligenza artificiale pari a quelle dell’Agente Smith o un futuro post-apocalittico in cui le macchine governeranno sugli esseri umani, in ogni caso le bot capaci di prendere controllo di una rete non sono il parto della fantasia cinematografica.
Lo scorso dicembre un malware chiamato BlackEnergy ha colpito con grande rapidità e precision alcune utilities dell’energia ucraine, causando un blackout con un impatto su oltre 225mila cittadini. Prima di questo episodio, sempre in Ukraina, BlackEnergy aveva riscritto alcune estensioni di file su risorse di operatori del settore dei media, impedendo l’avvio dei loro sistemi operativi. Nel gennaio di quest’anno, poi, il malware è stato individuate sulla rete It dell’aeroporto di Boryspil, il principale scalo di Kiev, un’infrastruttura che comprende anche sistemi di controllo del traffico aereo.
Oggi questo tipo di attacchi rappresenta un pericolo. Lo scenario attuale non è più solo fatto di furto dei dati e di operazioni che deturpano siti Web, ma è fatto di attacchi silenziosi e capaci di passare inosservati: nemici che riescono a intrufolarsi all’interno di sistemi per modificarli a loro piacimento o per installare dei “pulsanti di emergenza”. Questo genere di attacco utilizza codice inedito e personalizzato, è in grado di superare le barriere di difesa una sola volta e non invia informazioni all’esterno. Può rimanere attivo anche solo per pochi secondi in un intero anno, ma se riceve un comando di azione ecco che può rivelarsi fatale. Nonostante la posta in gioco sia alta, abbiamo finora fallito il tentativo di eguagliare la scaltrezza e l’agilità di questi avversari.
Le debolezze del genere umano
La prima verità è che siamo sovrastati numericamente. Mentre i cyberattacchi crescono in frequenza e gravità, per le organizzazioni è difficile implementare i progetti di sicurezza desiderati a causa di carenze di staff e di competenze. Siamo intrappolati in una situazione in cui i talenti di cybersecurity scarseggiano, e non potrà che peggiorare. Entro il 2020 (il dato è di Frost & Sullivan, ndr), si stima che affronteremo un gap mondiale di 1,5 milioni di porfessiosti di information security.
Alcune aziende hanno cominciato a condurre attività di cross-training su professionisti dell’It, per farli diventare esperti di It security. Altre stanno stringendo accordi con il mondo dell’istruzione per finanziare borse di studio per giovani che vogliano ottenere certificazioni nel campo della cybersicurezza. E si tratta di azioni positive, che però ci conducono verso il secondo problema: i numeri non bastano se possiamo essere sconfitti con l’abilità.
Le organizzazioni stanno abbracciano la digital transformation e continueranno a farlo. Il concetto include l’installazione di televisori e videocamere connesse in rete, fotocopiatrici e condizionatori all’interno delle sale riunioni, ma anche l’adozione della virutalizzazione e del cloud, per permettere ai dipendenti di lavorare con i loro dispositivi personali in qualsiasi momento e da qualsiasi luogo. Secondo Gartner il numero degli oggetti connessi quest’anno sfiorerà i 6,4 miliardi per salire a 20,8 milliardi nel 2020, e ciascuna di questa connessione rappresenta un potenziale punto di ingresso.
Data la proliferazione di dati negli attuali ambienti di business connessi online, per gli esseri umani diventa non soltanto improduttivo ma impossibile mettere ordine in questi grandi volume di informazioni e identificare potenziali minacce che attraversano le reti in tempo reale. Oggi chi attacca riesce sempre di più a ottenere credeziali di dipendenti, clienti, fornitori e collaboratori, e utlizza questa copertura di legittimità per approfittare dei punti di ingresso, in modi difficili da prevedere. Per questo non sorprende che gli individui risultino spesso presi alla sprovvista o aggirati.
E qui sta la terza verità: siamo parte del problema che stiamo disperatamente cercando di risolvere. Gli incidenti come quelli di BlackEnergy si approfittano della curiosità umana. Questi attacchi di spear-phishing sono indirizzati a specifiche persone all’interno di un’organizzazione, che vengono spinte ad aprire un messaggio di posta elettronica. Una volta aperta, l’email risulta contenere un allegato o un link a un sito Internet i quali appaiono legittimi mentre in realtà servono a installare il malware.
Le macchine al servizio delle persone
L’adozione di nuove tecnologie, storicamente, ha permesso all’uomo di superare sfide appartementemente insormontabili. Durante la Rivoluzione Industriale, per esempio, le macchine hanno sostituito parte del lavoro di fatica. Sarebbe ironico, dunque, se per combattere l’attuale nuova generazione di cyberminacce continuassimo ad affidarci ad approcci tradizionali e destinati a sicuro fallimento.
BlackEnergy si è fatto strada nei network nonostante la presenza di firewall, antivirus e sandbox. Questi strumenti tradizionali hanno fallito poiché hanno tentato di definire a monte la minaccia scrivendo regole e producendo signature basate su attacchi precedento e già noti. Ora, invece, gli hacker modificano preventivamente il codice di un attacco, quel tanto che basta per eludere le difese. Utilizzano, inoltre, tecnologie di intelligenza artificiale in grado di osservare e apprendere i comportamenti da adottare per sembrare dispositivi, server e utenti reali. Un approccio basato su regole o su signature può funzionare se dispone di un archivio perfetto di minacce note e di una completa preveggenza su quelle future. E questo non è fattibile.
Gli approcci tecnologici nuovi hanno sempre compensato le debolezze di indisponibilità, incapacità e fallibilità tipiche degli umani. Sarebbe stato impossibile fermare l’Agente Smith senza introdurre una sentinella con l’inedita capacità di adattarsi a lui in tempo reale, così da poterlo controllare e infine distruggere. Nello stesso modo, attraverso l’impiego di algoritmi e framework matematici, una tecnologia di machine learning è in grado, senza la supervisione umana, di processare il diluvio di dati che oggi ci sommerge e di trarvi un senso. Contro le minacce una tale tecnologia può, poi, prendere delle decisioni al posto degli umani, decisioni logiche e basate sul calcolo delle probabilità.
Machine learning senza supervisione: un “sistema immunitario”
Messa al lavoro, questa tecnologia studia in autonomia i cosiddetti “percorsi di vita” di una rete, che riguardano elementi come i “dialoghi” abituali fra dispositivi o il tipo di dato che normalmente viene trasmesso, i destinatari del traffico e le tempistiche. Una volta tracciata una linea guida, il programma agisce come una sorta di “sistema immunitario”, che invia delle allerte agli amministratori It in caso di comportamenti anomaly, segnalando volta per volta la gravità della possibile minaccia.
Questo significa che è possibile scovare anche le minacce ancora non identificate, quando anche le loro manifestazioni non inneschino alcun meccanismo basato su regole definite o signature. Tale tecnologia, inoltre, automatizza molte delle reazioni che un tempo richiedevano l’intervento umano, come il temporaneo isolamento da Internet di un server compromesso, in attesa che l’azienda recluti personale esperto in grado di gestire una violazione grave.
Fin dalla sua introduzione, due anni fa, la tecnologia di machine learning senza supervisione ha affrontato oltre 5.500 attacchi gravi e sofisticati, incluse violazioni dei network di Facebook, iMessage, di dispositive per lo storage utilizzati sia in casa sia sul lavoro, così come di distributor di caffè connessi in rete e sensori biometrici.
Il messaggio provocatorio dell’Agente Smith recitava: “Non mandare mai un essere umano a fare il lavoro di una macchina”. Il che spiega perché tre organizzazioni su quattro siano insoddisfatte della loro attuale capacità di individuare e investigare le minacce cybernetiche (secondo un’indagine di Rsa del 2016, ndr). Soltanto l’apprendimento automatico senza supervisione può offrirci una possibilità di vincere contro avversari avanzati e aumatizzati. Gli esseri umani, dal canto loro, dovrebbero abbandonare la battaglia persa della threat detection manuale e mettere in piedi dei training su abilità complementari, quali l’analisi delle minacce di alto livello e la mitigation.