Di Alessio Jacona*
Così come avviene ormai per ogni settore delle attività umane, anche nella quotidiana battaglia per garantire la cybersecurity di aziende, istituzioni e privati si fa uso di intelligenza artificiale: «La principale applicazione dell’IA è nell’Endpoint Detection and Response», spiega infatti Mario Ciccarelli, vice presidente per la divisione Cyber Risk di Kroll, azienda specializzata nella gestione del rischio e nell’advisory finanziaria. «Nell’EDR, l’attività consiste nel monitorare continuamente un "endpoint" - continua - come ad esempio un telefono cellulare, un computer portatile o un dispositivo Internet-of-Things, per individuare comportamenti anomali e, se si rende necessario, mitigare gli effetti di un attacco informatico rispondendo il più velocemente possibile».
Un compito perfetto per gli algoritmi, che prima raccolgono dati per definire il profilo dell’endpoint che stanno monitorando, e poi sono in grado di riconoscere improvvisi cambiamenti nelle abitudini di uso o nel funzionamento, come quelli che possono verificarsi in presenza di software malevoli come trojan e malware. «Per farlo serve che l’IA analizzi costantemente un’enorme quantità di dati - aggiunge Ciccarelli - monitorando ogni processo in corso per poi marcarlo con una bandierina verde se è tutto in ordine, o rossa se sono presenti anomalie». Nel secondo caso, scatta ovviamente l’intervento innanzitutto per contenere e riparare i danni, quindi per indagare le cause e i colpevoli.
Intervento che deve essere ancora umano: se infatti le macchine sono certamente più efficienti delle persone nel sorvegliare ogni bit che scorre nella rete 24 ore su 24, sette giorni su sette, esse possono tuttavia incorrere facilmente in falsi positivi e quindi richiedono una puntuale supervisione: «Un altro contesto in cui si fa uso dell’IA è l’analisi del traffico di rete - racconta a riguardo Ciccarelli - dove abbiamo dispositivi che si mettono in ascolto e “divorano” dati dalla mattina alla sera. Quando, durante la Pandemia, milioni di persone hanno iniziato a lavorare da casa collegandosi con ogni genere di device, magari con l’IP di un cellulare, i sistemi di sicurezza hanno iniziato a vedere la maggior parte di questi comportamenti come anomalie, anche se non lo erano».
Ma quali sono le principali cyber-minacce dalle quali oggi dobbiamo difenderci? Mario Ciccarelli si occupa di “incident response”, il che significa che interviene subito dopo un attacco per rilevare se c’è ancora un intruso nel sistema e nel caso bloccarlo, se ci sono artefatti software da rimuovere e, in generale, per ripristinare un’operatività sicura. Quindi procede a seguire le tracce degli attaccanti, per identificarli ma anche per definire il loro modus operandi.
Il suo è certamente un punto di osservazione privilegiato, dal quale innanzitutto affermare che «a oggi non ho visto e non ho mai saputo di attacchi condotti con AI», e che i virus informatici come li conoscevamo esistono più: «oggi nove attacchi su dieci sono ransomware, software che bloccano i computer e chiedono un riscatto in Bitcoin - svela Ciccarelli - Poi ci sono i trojan, ovvero quei software che servono per introdursi nei sistemi, e poi poi ancora l’hack avanzato per lo spionaggio o il furto di carte di credito». Dietro la maggior parte di queste minacce, spiega l’esperto, purtroppo «non c’è niente di sofisticato: è sempre lo stesso copione dove la vulnerabilità si deve a configurazioni sbagliate o ad altre leggerezze per contrastare le quali non c’è nemmeno bisogno di
IA, ma basta porre la giusta attenzione a cosa e dove si clicca, ed utilizzare un buon prodotto di sicurezza costantemente aggiornato».
*Giornalista, esperto di innovazione e curatore dell’Osservatorio Intelligenza Artificiale
Riproduzione riservata © Copyright ANSA
