Le soluzioni EDR (Endpoint Detection and Response) e XDR (eXtended Detection Response) si stanno moltiplicando, adesso sempre più spesso dotate di intelligenza artificiale.
Aumentano del resto gli attacchi con tecniche di intelligenza artificiale, e quindi come è normale arriva la risposta con servizi che fanno uso di AI per riconoscere le minacce partendo dai sistemi connessi.
Sono questi oggi tra i principali vettori di attacco soprattutto a causa delle tecniche di phishing sempre più sofisticate tese ad ingannare gli utenti, da qualche tempo anello debole della catena della sicurezza.
Le soluzioni di AI per la cybersecurity
In questo panorama si moltiplicano soluzioni basate sul cloud come, ad esempio, Virus Total, o la piattaforma Crowdstrike che cerca di fornire una soluzione integrata, o la piattaforma Capture di SonicWALL. Si tratta di piattaforme che integrano l’intelligenza artificiale in varie fasi dell’analisi, sia per l’aggiornamento e la manutenzione dei database con le firme dei codici maliziosi che nell’analisi di dati scaricati dalla rete prima della loro messa in esecuzione. A questi approcci di analisi delle minacce basate sui nuovi modelli AI si va ad affiancare Microsoft Security Copilot appena rilasciato in Microsoft 365, uno strumento di coordinamento di strumenti per coordinare l’azione di risposta a minacce rilevate dai vari strumenti contribuendo ad una nuova forma di XDR.
Non è un caso che, in accordo al Cyber Threat Report 2023 di SonicWALL, nel 2022 si sia visto un incremento del 35% nei documenti PDF e Office maliziosi, così come il malware che ha visto un incremento del 2% dopo tre anni di decrescita. I malware mutano per sfuggire al riconoscimento delle segnature come testimoniato nel report dal crescente numero di varianti mai viste (ed individuate dal vendor con una tecnologia chiamata RTDMI).
La novità nelle tecnologie di analisi è il graduale impiego di AI generativa e modelli LLM al fine di comprendere al meglio il testo in messaggi e documenti, e quindi intercettare in anticipo contenuti malevoli.
Virus Total Code Insight
Nel 2023 Virus Total ha lanciato Code Insight, una nuova funzionalità basata su Sec-PaLM, uno dei modelli di IA generativa ospitati su Google Cloud AI. Ciò che distingue questa funzionalità è la capacità di generare sintesi in linguaggio naturale dal punto di vista di un collaboratore AI specializzato in cybersecurity e malware.
Al momento, questa nuova funzionalità viene impiegata per analizzare un sottoinsieme di file PowerShell caricati su VirusTotal. Il sistema esclude i file molto simili a quelli precedentemente elaborati, nonché i file eccessivamente grandi. Questo approccio consente di utilizzare in modo efficiente le risorse di analisi, assicurando che solo i file più rilevanti (come i file PS1) siano sottoposti a esame. In futuro verranno aggiunti altri formati di file all’elenco dei file supportati.
Virus total è anche un motore di ricerca di malware a cui si interfacciano numerosi sistemi di antivirus e che consente di analizzare siti web e documenti sia interattivamente che mediante una API che consente di valutare automaticamente documenti e URL. A questo enorme motore di ricerca dedicato ai documenti maliziosi sono connessi strumenti di analisi a supporto dell’enterprise, e le API consentono una facile integrazione in vari strumenti della capacità di riconoscere file rischiosi.
Una sicurezza sempre più cloud based
Al crescere degli attacchi basati su AI (nei recenti mesi sono stati annunciati molti modelli LLM per il Dark Web tra cui DarkBert, WormGPT e FraudGPT) è inevitabile che i sistemi di analisi non si possano limitare alla potenza computazionale di un computer, o a semplici classificatori Bayesiani che per tanti anni hanno caratterizzato i nostri filtri antispam. Se osserviamo l’architettura della piattaforma Crowdstrike è evidente come sia impensabile che l’agente sul client possa fornire tutta la potenza di calcolo necessaria, e se questo era vero prima oggi lo è ancora di più a causa degli LLM che devono essere usati anche nella fase di difesa.
Ecco quindi che strumenti che eseguono nei nostri PC e telefoni, come ad esempio il Capture Client di SonicWALL, devono inviare pacchetti di dati sospetti a servizi in rete per un’ulteriore analisi. In alcuni casi, come per il Capture ad esempio, è possibile che il sistema di analisi sia un’appliance nel nostro data center, ma più frequentemente l’analisi sarà effettuata in un cloud che inevitabilmente vedrà passare molti dati rilevanti per un’organizzazione. Ma ad oggi non sembrano esistere soluzioni alternative a causa dell’imponente capacità di calcolo richiesta, soprattutto ora che l’analisi può richiedere l’impiego di modelli LLM, sistemi di AI generativa notoriamente avidi di risorse computazionali.
Microsoft Security Copilot
Il rilascio di Microsoft Copilot per Microsoft 365 ha inaugurato un nuovo ruolo per l’uso dell’AI generativa anche in ambito cybersecurity. L’approccio di Copilot è infatti quello di memorizzare le informazioni rilevanti provenienti dai vari applicativi in un database semantico che viene poi usato per consultarlo ed arricchire il prompt del modello LLM in modo da fornire servizi cognitivi che includano le informazioni relative al particolare utente. Questo approccio è seguito anche da Microsoft Security Copilot che integra i servizi di sicurezza come Defender, Sentinel e Intune per orchestrare la risposta di sicurezza e coordinare le azioni da intraprendere per difendere l’utente.
Il risultato di questa elaborazione fornisce informazioni più accurate e comprensibili all’utente relativamente alle minacce individuate dai singoli strumenti senza che sia l’utente a dover consultare le interfacce dei vari strumenti. In questo caso, l’uso del modello LLM è volto a contribuire alla costruzione di una sicurezza “frictionless” che sia meno invasiva e quindi più efficace per l’utente.
La sfida della frictionless security
La crescita dei sistemi EDR e XDR è legata alla necessità di anticipare la risposta ad una minaccia, ma allo stesso tempo porta nuovamente all’attenzione il problema dell’invasività ed efficienza di questi strumenti. Se tutte le volte che un utente apre un file il sistema pretende di mandarlo dall’altra parte della terra per ulteriori analisi è facile che l’utente si spazientisca e cerchi un modo per aggirare il controllo.
Non è una novità: chi di noi non ha mai rimosso un antivirus da un computer perché troppo avido di risorse? Allora era per l’uso che questi sistemi facevano delle (poche) risorse del PC, oggi sarà la rete e la sua latenza a determinare il calo di prestazioni di un sistema.
Si usano tecniche indubbiamente più sofisticate per realizzare queste sonde, ma resta il fatto che aprire un’informazione sempre più spesso richiede un’analisi approfondita per capire se non si tratta di informazioni malevole.
Meta ha mostrato come sia possibile realizzare modelli LLM più compatti ma sempre efficaci, come ha recentemente confermato il rilascio del modello francese Mistral, un modello LLM con capacità degne di nota data la sua dimensione e il costo computazionale per la sua esecuzione. Ma ad oggi non sembra realistico che questi modelli possano essere eseguiti in produzione presso le proprie infrastrutture. L’impiego dei modelli LLM nella gestione del rischio cyber inevitabilmente ci porterà ad usare un po’ più di risorse Cloud con tutte le implicazioni del caso, inclusi gli aspetti del perimetro di sicurezza nazionale.
Conclusioni
Le tecniche di AI sono da sempre state adottate nel mondo della cybersecurity, cominciando dai modelli bayesiani che con notevole successo ci hanno difeso per anni da minacce esterne adattandosi al loro cambiamento. Anche le reti neurali hanno trovato ampio impiego nel settore, ma il 2023 sarà, anche nel settore della cybersecurity, l’anno dell’AI generativa, sia per chi attacca che per chi difende. È facile pensare come la generazione di immagini che possono essere usate per attacchi sociali ad un’organizzazione possa svolgere un’importante ruolo, così come i sistemi di speech-to-text nel cloud. Ma i modelli LLM giocheranno un ruolo centrale per spostare l’uomo dalla scomoda posizione di anello debole della catena.
La natura cloud di questi servizi, unitamente alla necessità di inviare grandi moli di dati, porterà ad un incremento de servizi basati su cloud, ponendo importanti sfide dal punto di vista del regolamento GDPR.
Osserviamo l’arena che si riempie di soluzioni, consapevoli che le prestazioni, incluso quelle di rete, giocheranno un ruolo fondamentale nell’usabilità e quindi nell’impiego di questi sistemi.