Cloud-based AI

Le soluzioni cybersecurity si tingono di intelligenza artificiale: ecco quali



Indirizzo copiato

La crescita delle soluzioni EDR (Endpoint Detection and Response) e XDR (eXtended Detection Response) rappresenta una risposta all’aumento degli attacchi cibernetici. In questo contesto, l’intelligenza artificiale svolge un ruolo chiave nell’individuazione delle minacce, con l’ausilio di piattaforme basate sul cloud

Pubblicato il 15 nov 2023

Antonio Cisternino

Università di Pisa



Cloud,Cost,Management,And,Cloud,Cost,Optimization,Concept,-,Finops

Le soluzioni EDR (Endpoint Detection and Response) e XDR (eXtended Detection Response) si stanno moltiplicando, adesso sempre più spesso dotate di intelligenza artificiale.

Aumentano del resto gli attacchi con tecniche di intelligenza artificiale, e quindi come è normale arriva la risposta con servizi che fanno uso di AI per riconoscere le minacce partendo dai sistemi connessi.

Sono questi oggi tra i principali vettori di attacco soprattutto a causa delle tecniche di phishing sempre più sofisticate tese ad ingannare gli utenti, da qualche tempo anello debole della catena della sicurezza.

Le soluzioni di AI per la cybersecurity

In questo panorama si moltiplicano soluzioni basate sul cloud come, ad esempio, Virus Total, o la piattaforma Crowdstrike che cerca di fornire una soluzione integrata, o la piattaforma Capture di SonicWALL. Si tratta di piattaforme che integrano l’intelligenza artificiale in varie fasi dell’analisi, sia per l’aggiornamento e la manutenzione dei database con le firme dei codici maliziosi che nell’analisi di dati scaricati dalla rete prima della loro messa in esecuzione. A questi approcci di analisi delle minacce basate sui nuovi modelli AI si va ad affiancare Microsoft Security Copilot appena rilasciato in Microsoft 365, uno strumento di coordinamento di strumenti per coordinare l’azione di risposta a minacce rilevate dai vari strumenti contribuendo ad una nuova forma di XDR.

Non è un caso che, in accordo al Cyber Threat Report 2023 di SonicWALL, nel 2022 si sia visto un incremento del 35% nei documenti PDF e Office maliziosi, così come il malware che ha visto un incremento del 2% dopo tre anni di decrescita. I malware mutano per sfuggire al riconoscimento delle segnature come testimoniato nel report dal crescente numero di varianti mai viste (ed individuate dal vendor con una tecnologia chiamata RTDMI).

Immagine che contiene testo, schermata, diagramma, CarattereDescrizione generata automaticamente

La novità nelle tecnologie di analisi è il graduale impiego di AI generativa e modelli LLM al fine di comprendere al meglio il testo in messaggi e documenti, e quindi intercettare in anticipo contenuti malevoli.

Virus Total Code Insight

Nel 2023 Virus Total ha lanciato Code Insight, una nuova funzionalità basata su Sec-PaLM, uno dei modelli di IA generativa ospitati su Google Cloud AI. Ciò che distingue questa funzionalità è la capacità di generare sintesi in linguaggio naturale dal punto di vista di un collaboratore AI specializzato in cybersecurity e malware.

Al momento, questa nuova funzionalità viene impiegata per analizzare un sottoinsieme di file PowerShell caricati su VirusTotal. Il sistema esclude i file molto simili a quelli precedentemente elaborati, nonché i file eccessivamente grandi. Questo approccio consente di utilizzare in modo efficiente le risorse di analisi, assicurando che solo i file più rilevanti (come i file PS1) siano sottoposti a esame. In futuro verranno aggiunti altri formati di file all’elenco dei file supportati.

Virus total è anche un motore di ricerca di malware a cui si interfacciano numerosi sistemi di antivirus e che consente di analizzare siti web e documenti sia interattivamente che mediante una API che consente di valutare automaticamente documenti e URL. A questo enorme motore di ricerca dedicato ai documenti maliziosi sono connessi strumenti di analisi a supporto dell’enterprise, e le API consentono una facile integrazione in vari strumenti della capacità di riconoscere file rischiosi.

Immagine che contiene testo, schermata, numero, softwareDescrizione generata automaticamente

Una sicurezza sempre più cloud based

Al crescere degli attacchi basati su AI (nei recenti mesi sono stati annunciati molti modelli LLM per il Dark Web tra cui DarkBert, WormGPT e FraudGPT) è inevitabile che i sistemi di analisi non si possano limitare alla potenza computazionale di un computer, o a semplici classificatori Bayesiani che per tanti anni hanno caratterizzato i nostri filtri antispam. Se osserviamo l’architettura della piattaforma Crowdstrike è evidente come sia impensabile che l’agente sul client possa fornire tutta la potenza di calcolo necessaria, e se questo era vero prima oggi lo è ancora di più a causa degli LLM che devono essere usati anche nella fase di difesa.

Immagine che contiene cerchio, testo, schermata, astronomiaDescrizione generata automaticamente

Ecco quindi che strumenti che eseguono nei nostri PC e telefoni, come ad esempio il Capture Client di SonicWALL, devono inviare pacchetti di dati sospetti a servizi in rete per un’ulteriore analisi. In alcuni casi, come per il Capture ad esempio, è possibile che il sistema di analisi sia un’appliance nel nostro data center, ma più frequentemente l’analisi sarà effettuata in un cloud che inevitabilmente vedrà passare molti dati rilevanti per un’organizzazione. Ma ad oggi non sembrano esistere soluzioni alternative a causa dell’imponente capacità di calcolo richiesta, soprattutto ora che l’analisi può richiedere l’impiego di modelli LLM, sistemi di AI generativa notoriamente avidi di risorse computazionali.

Microsoft Security Copilot

Il rilascio di Microsoft Copilot per Microsoft 365 ha inaugurato un nuovo ruolo per l’uso dell’AI generativa anche in ambito cybersecurity. L’approccio di Copilot è infatti quello di memorizzare le informazioni rilevanti provenienti dai vari applicativi in un database semantico che viene poi usato per consultarlo ed arricchire il prompt del modello LLM in modo da fornire servizi cognitivi che includano le informazioni relative al particolare utente. Questo approccio è seguito anche da Microsoft Security Copilot che integra i servizi di sicurezza come Defender, Sentinel e Intune per orchestrare la risposta di sicurezza e coordinare le azioni da intraprendere per difendere l’utente.

Il risultato di questa elaborazione fornisce informazioni più accurate e comprensibili all’utente relativamente alle minacce individuate dai singoli strumenti senza che sia l’utente a dover consultare le interfacce dei vari strumenti. In questo caso, l’uso del modello LLM è volto a contribuire alla costruzione di una sicurezza “frictionless” che sia meno invasiva e quindi più efficace per l’utente.

Immagine che contiene testo, schermata, diagramma, softwareDescrizione generata automaticamente

La sfida della frictionless security

La crescita dei sistemi EDR e XDR è legata alla necessità di anticipare la risposta ad una minaccia, ma allo stesso tempo porta nuovamente all’attenzione il problema dell’invasività ed efficienza di questi strumenti. Se tutte le volte che un utente apre un file il sistema pretende di mandarlo dall’altra parte della terra per ulteriori analisi è facile che l’utente si spazientisca e cerchi un modo per aggirare il controllo.

Non è una novità: chi di noi non ha mai rimosso un antivirus da un computer perché troppo avido di risorse? Allora era per l’uso che questi sistemi facevano delle (poche) risorse del PC, oggi sarà la rete e la sua latenza a determinare il calo di prestazioni di un sistema.

Si usano tecniche indubbiamente più sofisticate per realizzare queste sonde, ma resta il fatto che aprire un’informazione sempre più spesso richiede un’analisi approfondita per capire se non si tratta di informazioni malevole.

Meta ha mostrato come sia possibile realizzare modelli LLM più compatti ma sempre efficaci, come ha recentemente confermato il rilascio del modello francese Mistral, un modello LLM con capacità degne di nota data la sua dimensione e il costo computazionale per la sua esecuzione. Ma ad oggi non sembra realistico che questi modelli possano essere eseguiti in produzione presso le proprie infrastrutture. L’impiego dei modelli LLM nella gestione del rischio cyber inevitabilmente ci porterà ad usare un po’ più di risorse Cloud con tutte le implicazioni del caso, inclusi gli aspetti del perimetro di sicurezza nazionale.

Conclusioni

Le tecniche di AI sono da sempre state adottate nel mondo della cybersecurity, cominciando dai modelli bayesiani che con notevole successo ci hanno difeso per anni da minacce esterne adattandosi al loro cambiamento. Anche le reti neurali hanno trovato ampio impiego nel settore, ma il 2023 sarà, anche nel settore della cybersecurity, l’anno dell’AI generativa, sia per chi attacca che per chi difende. È facile pensare come la generazione di immagini che possono essere usate per attacchi sociali ad un’organizzazione possa svolgere un’importante ruolo, così come i sistemi di speech-to-text nel cloud. Ma i modelli LLM giocheranno un ruolo centrale per spostare l’uomo dalla scomoda posizione di anello debole della catena.

La natura cloud di questi servizi, unitamente alla necessità di inviare grandi moli di dati, porterà ad un incremento de servizi basati su cloud, ponendo importanti sfide dal punto di vista del regolamento GDPR.

Osserviamo l’arena che si riempie di soluzioni, consapevoli che le prestazioni, incluso quelle di rete, giocheranno un ruolo fondamentale nell’usabilità e quindi nell’impiego di questi sistemi.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3