Una sola cosa so: di non sapere. Il motto di Socrate si presta perfettamente a simboleggiare le premesse di quella che, oggi come oggi, può essere l'unica strategia di sicurezza informatica efficace. Una strategia basata sulla consapevolezza della disparità di forze tra attaccanti e difensori, tra una platea di cybercriminali di ogni genere (più o meno sofisticati, ma tendenzialmente capaci di creare nuovi tipi di minaccia a ritmo velocissimo) e un mondo aziendale ormai non più racchiuso in un “perimetro” tecnologico definito. Ragionare sulla base delle conoscenze pregresse, attivando i campanelli d'allarme solo sui pericoli già noti, non è più sufficiente. Piuttosto, si può sfruttare la capacità dell'intelligenza artificiale di sniffare le anomalie, i comportamenti (di applicazioni, utenti, traffico Web) che non rientrano nella norma. Insomma, ragionare sulla base di ciò che è noto non basta più: bisogna imparare a comprendere l'ignoto.
È questo l'approccio di Darktrace, un vendor di cybersicurezza che opera attraverso una trentina di uffici nel mondo e le due sedi principali di San Francisco e di Cambridge. Proprio dalla prestigiosa università della cittadina del Regno Unito, cioè dalla mente dei matematici che qui studiano e lavorano, provengono gli algoritmi di intelligenza artificiale usati nella piattaforma di Darktrace. Due le sue anime: una difesa preventiva (il rilevamento delle minacce, affidato appunto agli algoritmi) e una reattiva (Antigena è il nome della tecnologia, che si attiva come fosse un “anticorpo” capace di contrastare un'infezione). Questa soluzione può integrarsi con i singoli sistemi di sicurezza eventualmente già presenti in azienda, quali antivirus, firewall, Siem: elementi che continuano a svolgere il loro dovere, ma che senza l'intelligenza artificiale oggi risultano poco efficaci.
Ne abbiamo parlato con il country manager italiano Corrado Broli e con Mariana Pereira, director di Darktrace, una giovane ma esperta manager, già transitata da aziende come Hp-Autonomy, Samsung e Heinz.
Mariana Pereira e Corrado Broli di Darktrace
Come è cambiato negli ultimi anni lo scenario della sicurezza informatica in azienda?
Mariana Pereira: Il rischio cybernetico è ormai stato accettato come un rischio di business. Un problema che va affrontato con la consapevolezza che prima o poi qualche incidente si verificherà ma che si può agire per minimizzare il rischio stesso. Nel frattempo l'Internet of Things, il cloud computing, i dispositivi mobili e le app hanno allargato la superficie di attacco potenziale, fino a eliminare il vecchio concetto di perimetro.
Quale strategia di fondo consigliate alle aziende?
Corrado Broli: Le aziende non possono chiudersi in sé stesse, devono accettare il rischio che i loro dati vengano non solo sottratti e spiati ma anche modificati, con gravi conseguenze. Basti pensare a che cosa accadrebbe se venisse contraffatta una cartella sanitaria. L'integrità dei dati è dunque un aspetto importante da considerare. Bisogna convivere con tale rischio ma anche contrastarlo con soluzioni non tradizionali, essendosi queste ultime rilevate ormai inadeguate. Con il machine learning e con l'intelligenza artificiale noi di Darktrace possiamo giocare un ruolo fondamentale.
Come?
C.B. Gli algoritmi utilizzati dalla nostra soluzione di Enterprise Immune System (così chiamata perché paragonata a un “sistema immunitario” per le tecnologie e applicazioni aziendali, ndr) sono stati sviluppati in collaborazione con l'Università di Cambridge e vengono svilppati costantente. La loro abilità è quella di riconoscere le minacce come tali anche senza aver incontrato in precedenza un certo problema, vincolo che invece caratterizza i sistemi basati su signature. Le minacce sono sempre nuove e diverse: noi possiamo riconoscerle sulla base di comportanti inusuali, anomali.
L'intelligenza artificiale è un alleato della sicurezza, ma può anche diventare strumento dei cybercriminali...
M.P. È vero: stiamo osservando ora i primi segnali di uso dell'AI da parte degli attaccanti e d'altra parte la loro capacità di innovazione è sempre sbalorditiva. In futuro potrebbe anche manifestarsi un uso dell'intelligenza artificiale nell'identificare i parametri di comunicazione e istruire attacchi di phishing capaci addirittura di “imitare” il modo di comunicare di una singola persona. Ma come il corpo umano si espone ai rischi e così facendo rafforza il suo sistema immunitario, lo stesso avverrà in campo informatico.
Più della forza bruta, per proteggersi serve dunque un “sistema immunitario” che si attivi solo all'occorrenza?
M.P. Se il computer di un dipendente aziendale è stato complito da un ransomware, come per esempio il famigerato Wannacry, non è desiderabile mettere in quarantena quel Pc incidendo sul flusso di lavoro, ma piuttosto intervenire in modo mirato. Un aspetto interessante della tecnologia di Darktrace è l'eleganza con cui entra in azione: interrompe solamente il traffico anomalo, senza interferire con la user experience generale. Non ragioniamo, inoltre, in termini di falso positivo perché non sempre si puà sapere a priori se una cosa sia buona o cattiva, mentre è possibile intercettare la presenza di una minaccia sulla base di eventi anomali. È inutile ragionare sulla base di regole quando l'immaginazione degli hacker è senza limiti. Inoltre spesso ci è capitato di individuare comportamenti anomali di “insider”, cioè persone interne all'azienda che (come realmente accaduto a un nostro cliente l'anno scorso) possono tentare di esportare dei dati, per esempio dal cloud verso un dispositivo personale.
Nella chiacchierata i due manager raccontano anche un paio di casi eclatanti, in cui la realtà sembra superare la fantasia. Durante la realizzazione di un proof-of-value in un'azienda (nel priodo di prova gratuita previsto per la soluzione Darktrace) è stato rilevato un anomalo flusso di dati in transito dalla rete dell'organizzazione verso l'esterno. Grazie all'opera di censimento dei dispositivi fatta dalla piattaforma, è stato trovato un router nascosto sotto al pavimento della sala macchine aziendale: il responsabile della sicurezza è caduto dalle nuvole, perché nessuno degli altri sistemi di sicurezza usati dal cliente aveva mai scoperto la presenza di tale router, in piena attività. In un'altra società, una multinazionale, Darktrace ha invece verificato che il sofisticato sistema di videoconferenza della sala riunioni generava traffico verso il Brasile: potenzialmente, qualcuno avrebbe potuto spiare da lontano le discussioni fra l'amministratore delegato, collaboratori e clienti dell'azienda. Un caso di spionaggio bello e buono, reso possibile da una riconfigurazione del sistema di videoconferenza di cui nessuno dei sistemi di sicurezza installati si era accorto.