Dalla “epidemiologia digitale” alle signature: i nuovi metodi dell’A.I.

Di intelligenza artificiale si parla continuamente, ma il funzionamento della sue tecnologie resta per lo più sconosciuto alla massa. E talvolta anche agli addetti ai lavori, se si tratta di Artificial Intelligence applicata alla cybersicurezza: molti vendor sono gelosi delle proprie scoperte, e se questo fatto è comprensibile nondimeno rappresenta un limite. “Al giorno d’oggi il numero sempre crescente di affermazioni discordanti sulle capacità o sull'efficacia dell'AI rende difficile o addirittura impossibile per gli utenti comprenderle o convalidarle”, spiega Joe Levy, chief technology officer della britannica Sophos. “Questo porta allo scetticismo da parte dei clienti, creando una resistenza al progresso, proprio nel momento in cui stiamo iniziando a ottenere grandi risultati". 

Perché, allora, non provare a sviluppare e imporre degli standard, delle regolamentazioni esterne? A detta di Sophos, questa strada sarebbe troppo lenta da percorrere. “Ciò che serve”, prosegue Levy “è un cambiamento radicale all'interno della nostra comunità per produrre un insieme di pratiche e un linguaggio che faccia progredire il settore in modo efficace, aperto e trasparente". Sophos, da parte propria, ha scelto di mettere a disposizione di altri  i propri dataset, strumenti e metodologie. "Con la nuova iniziativa di SophosAI”, sottolinea il Cto, “possiamo contribuire a influenzare il modo in cui l'AI è posizionata e discussa nell’ambito della sicurezza informatica”. 

SophosAI è sostanzialmente una divisione interna creata dall’azienda nel 2017 per sviluppare tecnologie basate sulla data science, sull’apprendimento automatico, sull’interazione uomo-software e sulla visualizzazione delle informazioni. Oggi porta avanti quattro filoni di ricerca e di sviluppo prodotti particolarmente interessanti. Uno è Sorel-20M, frutto di progetto congiunto tra SophosAI e ReversingLabs: si tratta di un dataset production-scale contenente metadati, etichette e caratteristiche per 20 milioni di file Windows Portable Executable (PE). Al suo interno sono compresi dieci milioni di campioni di malware, resi “innocui” e disponibili per il download, così che chiunque possa analizzarli e comprendere meglio il loro funzionamento. Sorel-20M è il primo dataset su scala di produzione sulla ricerca di un malware che viene reso disponibile al pubblico.

Altro frutto del lavoro di SophosAI è un metodo di difesa dagli attacchi di spearphishing via email, chiamato Impersonation Protection: come il nome suggerisce, il suo scopo è quello di neutralizzare le truffe basate sull’impersonificazione, cioè sul camuffamento dell’aggressore, che finge di essere qualcun altro per indurre le sue vittime a compiere delle azioni. Tipicamente, chi realizza un attacco di questo tipo si spaccia per l’amministratore delegato, per il Cfo o per un’altra figura aziendale titolata a fare richieste ai dipendenti. Il software di protezione della posta elettronica di Sophos include questa tecnologia ed è in grado di confrontare il nome visualizzato delle email in entrata con quello del top manager di un’azienda, per poi segnalare all’utente i messaggi sospetti.

SophosAI ha messo a punto anche una serie di modelli statistici ispirati all'epidemiologia, un ambito oggi tristemente protagonista delle cronache. Non si parla però di virus in questo caso. Quelle messe a punto sono tecnologie di “epidemiologia digitale” che possono stimare la diffusione nel mondo delle infezioni causate dai malware, anche da quei malware ancora ignoti altrimenti molto difficili da trovare. La tecnologia di Sophos è in grado di individuare sia  il malware che potrebbe essere non rilevato o classificato erroneamente sia il "malware futuro" che in quel momento è ancora in fase di sviluppo da parte degli aggressori. Il modello è stato progettato per poter essere utilizzato anche per altre classi di file e artefatti del sistema informativo.

Un quarto filone di ricerca applica il machine learning alla Signature Generation per il rilevamento di famiglie di malware. Quest’ultima è normalmente un processo manuale  complesso e, sebbene negli anni siano stati sviluppati diversi metodi per metodi per la generazione automatica delle firme, la maggior parte di essi ha dimostrato di essere poco efficace. Il metodo di generazione automatica delle firme sviluppato da Sophos si differenzia notevolmente dalle opzioni precedenti in quanto adotta un approccio al problema basato sull'intelligenza artificiale. Disponibile al pubblico con il nome di YaraML, questo metodo "compila" direttamente dei veri e propri modelli di machine learning a uso industriale, paragonabili a quelli utilizzati nelle soluzioni di sicurezza in vendita sul mercato. In sostanza, è l’intelligenza artificiale stessa a “scrivere” le firme.