L’intelligenza artificiale è qualcosa di cui sentiamo parlare solo nei film di fantascienza. Se andiamo a vedere cosa succede nella vita reale, però, ci accorgiamo di quanto già essa sia presente tutta attorno a noi, soprattutto nel campo della cyber security. Abbiamo deciso di coinvolgere Alberto Perini, esperto di cyber security e soluzioni digitali, per discutere di questi argomenti nel dettaglio.

Alberto Perini for Rawfish

Alberto Perini

Esperto di cyber security, attualmente lavora come CISO di un gruppo finanziario internazionale e di un system integrator con sede a Milano. È anche fondatore della piattaforma di cyber news “Cyber Ducks” (https://cyberducks.it/en/).

Appassionato di tecnologie innovative e di intelligenza artificiale, ha maturato un’ampia esperienza nel mondo della digital investigation e threat intelligence, dirigendo un team di R&D nello sviluppo di una tecnologia di face recognition per soluzioni di sicurezza informatica, e partecipando anche allo sviluppo di start-up innovative.

Ha collaborato con figure di rilievo della cyber security in ambito internazionale, cooperando con team di ricerca e sviluppo di varie università italiane per la creazione di tecnologie dedicate alla sicurezza del mondo IoT, con l’impiego di modelli come la blockchain.

La sua conoscenza spazia dalla gestione di processi all’analisi delle minacce e alla gestione e creazione di team SOC e team di Compliance, oltre alle attività di cyber threat intelligence.

È anche un profondo conoscitore delle tecnologie e dei player di cyber security e dell’attuale mercato, avendo gestito importanti progetti nazionali ed internazionali di security per system integrator.

Alberto ha gentilmente dato la sua disponibilità per rispondere ad alcune nostre domande sull’appassionante tema della cyber security, e le sue applicazioni negli scenari moderni.

Rawfish Cybersecurity

Come la AI può venire usata per individuare pattern fraudolenti nel campo della cyber security?

L’intelligenza artificiale da qualche anno riveste un importante ruolo nel contrasto alla criminalità informatica e rappresenta sempre più un punto focale nei tools di cyber security, per aumentare la reattività nell’individuare nuove minacce. L’identificazione da parte degli algoritmi di machine Learning e di AI consente di comprendere comportamenti anomali all’interno della rete network di un’azienda, basandosi sulla conoscenza acquisita durante la fase di training in cui gli algoritmi vengono addestrati e normalizzati in relazione all’ambiente. Questo significa che a seguito di normali operazioni o attività ed in caso di comportamenti anomali, quali sotto processi o child di processo, chiamate a librerie o semplicemente un comportamento in un orario particolare della giornata diverso da quello usuale, si attivano delle operazioni che vanno a segnalare la possibilità di una eventuale minaccia o intrusione. Normalmente i path di attacco sono un bagaglio predeterminato e conoscitivo dei sistemi che lo utilizzano per confrontare questi comportamenti.

Ad esempio, gli algoritmi di AI vengono adottati per comprendere i path di attacco che i criminali sfruttano ed utilizzano per raggiungere i loro obiettivi emulando il MITRE ATTACK. La replica delle tecniche di reconaissance e di accesso execution ecc. consentono all’AI di essere predittiva e calcolare anche un rischio potenziale, basandosi sulle configurazioni interne e sull’update ed il patching dei sistemi adottati stabilendo uno score di rischio.

Le caratteristiche dell’AI si individuano in una migliore velocità di identificazione delle minacce, e una predittività (dovuta al calcolo di probabilità condizionata bayesiana) che fornisce un modello per comprendere il significato di grandi quantità di dati.

La comprensione del comportamento della rete e degli utenti e la successiva analisi avvengono a seguito della generazione di una matrice definita dello stato dei dispositivi che sono inclusi nella rete, sfruttando il modello predittivo bayesiano adattandosi alle nuove informazioni e dati l’algoritmo di AI può identificare dati che rivelano potenziali attacchi.

Dal lato opposto della barricata, l’intelligenza artificiale (AI) può essere utilizzata anche per lanciare attacchi sofisticati e migliorare l’evasione del malware nei confronti dei sistemi di antivirus. Ciò avviene imitando il traffico legittimo su di una rete e cercando di evadere le protezioni di sicurezza presenti al suo interno. Esistono applicazioni e malware basati sull’IA, che aumentano la velocità e l’adattabilità all’interno dell’ambiente network, superando addirittura le Virtual Machine o sandbox. Il potere che hanno di adattarsi ai cambiamenti e di integrarsi con il funzionamento di nodi e schemi normali li rende uno dei problemi più grandi per gli esperti di sicurezza informatica.

Come la AI è in grado di prevenire gli attacchi maleware e spyware?

Grazie alla capacità di comprendere ed analizzare gli indicatori dei Malware un sistema correttamente alimentato ed addestrato sarà in grado di apprendere i nuovi indicatori e riconoscere Malware a prescindere dalla loro signature, o già noti, acquisendo i pattern di ogni utente e tecnologia all’interno dell’organizzazione, per riconoscere le impercettibili deviazioni che identificano un’emergente minaccia.

Ciò che viene individuato come deep learning è esattamente questo, il deep learning infatti altro non è che una tecnica di apprendimento in cui si espongono reti neurali artificiali a vaste quantità di dati, in modo che possano imparare a svolgere compiti.

Proprio grazie a questo meccanismo l’AI riesce ad “imparare” a riconoscere i comportamenti malevoli e ad identificarli.

Esiste ad esempio una soluzione di detection che impiega l’AI e che simula il sistema immunitario umano: questa tecnologia utilizza l’apprendimento automatico non supervisionato per costruire una comprensione dinamica del “normale” per ogni organizzazione che protegge. Piuttosto che fare affidamento su regole, firme o dati di esempio, il sistema immunitario impara dall’ambiente digitale in continua evoluzione, formando una comprensione su misura e multidimensionale, di ogni utente, dispositivo e di tutte le complesse relazioni tra di loro.

Rawfish: Intelligenza artificiale e cybersecurity: intervista ad Alberto Perini

Come si integrano il 5g e la blockchain in un'ottica di miglioramento della cyber security?

La blockchain svolge e svolgerà sempre di più un ruolo importante in un mondo dove i dispositivi comunicheranno direttamente tra di loro. Questo si inserisce perfettamente nelle funzioni e nell’architettura di base dell’IoT. La natura distribuita della blockchain consente agli utenti delle reti 5G IoT di interagire ed effettuare transazioni (memorizzare e recuperare i dati), garantendo la provenienza e l’autenticità dei dati, la responsabilità, l’immutabilità e il non ripudio per ogni utente. La blockchain può quindi aiutare ad alleviare i problemi di sicurezza, privacy e scalabilità associati all’IoT, creando fiducia, riduzione dei costi e accelerazione delle transazioni. Senza fare affidamento sui partecipanti centrali, blockchain consente quindi agli utenti delle reti 5G, IoT di interagire e effettuare transazioni (memorizzando e recuperando i dati), garantendo la provenienza e l’autenticità dei dati, la responsabilità, l’immutabilità e la non repudiation.

blockchain può quindi aiutare ad alleviare i problemi di sicurezza, dalla privacy alla scalabilità associati alle comunicazioni 5G, creando fiducia e riduzione dei costi e accelerazione delle transazioni: fornire una cooperazione affidabile tra dispositivi eterogenei è di vitale importanza per le reti mobili 5G. A questo proposito, la blockchain con la sua transazione immutabile e decentralizzata consente una comunicazione massiccia e distribuita con elevata sicurezza e affidabilità. Inoltre, lo slicing della rete associato ad altre tecnologie emergenti come cloud le comunicazioni edge computing, SDN, NFV e D2D sono fattori chiave per le future reti e servizi 5G.

Una grande blockchain, con i suoi concetti innovativi di funzionamento decentralizzato può fornire un elevato livello di riservatezza dei dati, sicurezza, trasparenza e immutabilità, consentendo la memorizzazione di dati eterogenei del 5G. Una delle caratteristiche della blockchain è l’immutabilità ovvero la capacità di mantenere i dati delle transazioni immutabili nel tempo; tecnicamente le transazioni sono contrassegnate da un timestamp che viene verificato dalla blockchain ed incluso in un blocco che è protetto crittograficamente da un processo di hashing. Questo meccanismo collega più blocchi insieme e crea una catena cronologica, in particolare, il processo di hashing di nuovo blocco contiene sempre metadati del valore hash del blocco precedente, il che rende i dati della catena fortemente inalterabili. Questa proprietà della blockchain supporta l’archiviazione sicura dei dati e la condivisione in scenari 5G, ovvero condivisione sicura dello spettro, della comunicazione D2D. Per sintetizzare lo scopo è quello di fornire un’elevata sicurezza nei registri decentralizzati per le reti 5G coinvolte, aiutando a proteggere le reti 5G fornendo i modelli di fiducia distribuiti con accesso tramite autenticazione, che a sua volta consente ai sistemi di proteggersi e garantire la privacy. Memorizzando le informazioni sui dati o su una rete di computer, la compromissione dei dati diventa molto più difficile per gli hacker, inoltre, i contratti intelligenti, in quanto terze parti affidabili, supportano potenzialmente i servizi 5G, tramite l’autenticazione la verifica degli utenti e la conservazione delle risorse 5G contro gli attacchi. La blockchain può fornire una serie di funzionalità di sicurezza come l’immutabilità, il decentramento, la trasparenza e la privacy, tutte caratteristiche che consentono di affrontare in modo efficiente i problemi di sicurezza delle attuali reti 5G, pertanto, la caratteristica principale della blockchain, è la capacità di supportare la sicurezza e la gestione della rete 5G.

Rawfish: Intelligenza artificiale e cybersecurity: intervista ad Alberto Perini

Cosa significa minimizzare la superficie d'attacco?

Minimizzare le superfici di attacco significa ridurre l’esposizione, e, di conseguenza, la superficie di attacco e il rischio di hacking. Per queste ragioni è necessario comprendere l’ambiente di sicurezza della rete con un’analisi della superficie di attacco, consentendo di identificare i rischi immediati e i potenziali rischi futuri.

La superficie di attacco include tutti i punti di accesso, incluso ogni terminale, ma include anche percorsi per i dati che entrano ed escono dalle applicazioni, assieme al codice che protegge quei percorsi critici, incluse password, codifica e altro.

Nella valutazione del rischio l’analisi coinvolge anche obiettivi che hanno il maggior numero e tipi di utenti con il più alto livello di vulnerabilità. Queste aree dovrebbero essere affrontate per prime, con lo scopo di garantire che le persone abbiano i diritti di accesso e bloccare le aree con traffico non autorizzato o insolito.

Usare un firewall e impedire che le porte rimangano aperte inutilmente è un buon modo per rendere molto più difficile l’accesso di criminali ed illeciti. Un altro accorgimento potrebbe essere quello di isolare le reti, quando possibile, infatti spesso capita che molte reti interne, non abbiano ragioni di restare connesse.

La maggior parte dei sistemi diventa più complessa nel tempo, nel caso degli ambienti informatici, questa maggiore complessità si traduce in una maggiore vulnerabilità e ciò significa più errori di governance di tipo tecnica, con regole superflue per una funzione o gruppi di regole troppo permissive che non hanno un impatto reale sulle operazioni aziendali.

Uno dei motivi principali per cui si verificano continuamente nuove vulnerabilità è perché gli hacker sfruttano versioni precedenti di software che devono ancora essere aggiornate, in effetti, la maggior parte delle violazioni riuscite sfrutta gli aggiornamenti non riusciti, per questo motivo per ridurre al minimo l’accesso alla superficie di attacco, è importante aggiornare automaticamente i software.

Un altro fattore che viene sfruttato negli attacchi e l’aumento della superficie di attacco è il fattore umano che ne aumentano le probabilità, molte aziende infatti stanno profondendo molti sforzi nelle campagne di awareness per riuscire a preparare i dipendenti ad essere più pronti contro azioni di phishing e social engineering.

Il fattore umano è ancora un punto dolente poiché il gap è ancora evidente e la capacità di individuare mail o azioni malevole è ancora labile, su questo punto, potrà fornire un buon aiuto anche l’intelligenza artificiale.

Quali sono i trend da seguire per la sicurezza informatica nei prossimi tempi?

La cyber security sta’ attraversando un periodo di transizione, un aumento di esposizione delle vulnerabilità a seguito della grande quantità di dati prodotti forniti dai dispositivi presenti nelle reti aziendali, ma anche dovuta all’aumento dei sensori IoT, che controllano apparati nelle moderne città, con il compito di fornire aggiornamenti e informazioni in tempo reale. Tutto questo necessita un supporto nell’ analisi dei dati raccolti, ed i trend futuri nel campo del cyber sono determinati dalla presenza sempre maggiore dell’Intelligenza artificiale. Dal machine learning al deep learning, quasi l’80% delle tecnologie che oggi conosciamo, dedicate alla protezione delle infrastrutture dei dati sarà gestita dall’AI.

Ma ci sono altri trend di crescita, quali il cloud basato su blockchain e la protezione dei dispositivi mobili (smartphone), che attualmente sono leggermente al di fuori dal focus delle cyber security e delle aziende, ma che rivestono un ruolo sempre più importante, visto che con gli smartphone possiamo gestire tutte le nostre applicazioni, dati e addirittura le nostre auto.

Rawfish: Intelligenza artificiale e cybersecurity: intervista ad Alberto Perini

Quali sono gli attacchi più tipici, e come è possibile difendersi?

Dovendo identificare gli attacchi oggi più utilizzati possiamo elencare che i seguenti attacchi ad oggi rivestono il primato

  • Phishing and spear-phishing attacks.
  • Drive-by attack.
  • Password attack.
  • SQL injection attack.
  • Cross-site scripting (XSS) attack.
  • Eavesdropping attack.
  • Denial-of-service (DoS) and distributed denial-of-service (DDoS) attacks.
  • Man-in-the-middle (MitM) attack.

Gran parte degli attacchi di oggi vengono portati a termine con vettori comuni di phishing utilizzando come strumento la social engineering ovvero il punto debole del sistema: la vulnerabilità dell’uomo. Advanced Persistent Threat (APT) è un tipo di cyber attack passivo, che consente di ottenere l’accesso ad un pc o ad una rete per un lungo periodo, con l’intento di raccogliere informazioni. Un esempio di APT è il malware Flame, scoperto dal National Computer Emergency Response Team iraniano che nel 2012, ha infettato oltre un migliaio di computer fra Medio Oriente e Nord Africa.

Il ransomware è un tipo specifico di malware che raccoglie e cripta dati e dispositivi su una rete, l’accesso dell’utente viene ripristinato solo se vengono soddisfatte le richieste dell’hacker, il più delle volte si riferiscono al pagamento di un qualche tipo di riscatto. Infine, le tecniche di social engineering che risultano essere una delle armi più potenti a disposizione degli hacker ed è chiaro che i criminali li useranno sempre di più durante i loro attacchi, come gli attacchi di download e di drive-by.

Come questi sistemi sono meno vulnerabili al phishing e agli altri attacchi informatici?

Purtroppo, il phishing come dicevamo rappresenterà anche nel prossimo futuro un problema sempre maggiore, con un utilizzo distribuito in tutti gli attacchi, dovuto alla mancanza di cultura e di conoscenza da parte degli utenti e di quelle che sono le dinamiche che sfruttano la fiducia dell’essere umano e dell’individuo per portare a termine gli attacchi. La sfida per le aziende è di fornire ai propri dipendenti la cultura necessaria per un confronto che è appena iniziato. Per molte persone, la cyber security sembra essere così distante dalle loro dinamiche lavorative e di vita privata, e questo crea una non conoscenza dei funzionamenti e delle regole di hacking. Fortunatamente oggi le aziende e gli utenti dispongono di diversi livelli di protezione che intervengono a seguito di errori, dagli end point al network all’AI, IAM, honeypot, con tutti questi accorgimenti i criminali saranno costretti ad utilizzare la fiducia degli utenti, cercando le falle interne e utilizzando le informazioni disponibili sul network nei social, sui siti web delle aziende, per creare storie credibili e sfruttabili per confezionare attacchi ad hoc.

L'uso della AI diventerà inevitabile con il tempo?

Come già menzionato l’AI prenderà il sopravvento in diversi contesti dell’informatica e nella cyber security che giocherà sicuramente un ruolo fondamentale, imprescindibile la sua presenza futura, che sarà sempre perfezionata ed efficace, senza la quale sarà impossibile identificare i pattern di attacco. La crescente mole di attacchi, che attraversano le nostre reti, necessitano di un sistema addestrato ed addestrabile che identifichi i pattern degli attaccanti ed i loro comportamenti.

L’AI riconoscerà gli attacchi utilizzati e come questi sono stati gestiti, seguendo le procedure utilizzate dagli hacker, per raggiungere gli obbiettivi i device ed i dati.

Uno studio ha preso in esame le aziende di 22 paesi tra i quali anche l’Italia ed ha evidenziato i punti deboli delle smart cities, dove emerge la mancanza di adeguata governance tecnologica. Nonostante la crescita esponenziale degli attacchi informatici di diversa tipologia, continua a mancare una specifica figura di riferimento esperta di cybersecurity. La mancanza di adeguate figure chiave e di una governance specifica porta anche alla mancanza di opportune valutazioni preventive, tanto che meno del 20% delle città, ad esempio, effettua una valutazione sui rischi privacy prima dell’implementazione di nuove tecnologie. Ma uno dei problemi maggiori, che è emerso e che riguarda la maggioranza delle città intelligenti è l’adozione di adeguate misure atte a garantire che i servizi digitali e le tecnologie implementate siano davvero accessibili a tutti, in modo particolare alle categorie deboli come gli anziani o le persone che hanno limitazioni fisiche. In tal senso, anche la connettività è un grande problema, in tempi recenti, la pandemia, con lo sviluppo dello smart working, ha contribuito a evidenziare come una connettività capillare sia ancora mancante in moltissime zone. Non fanno eccezione le città smart, dalle quali ci si aspetterebbero politiche rivolte a potenziare e garantire l’accessibilità alla rete da parte di tutti i cittadini.

Le città intelligenti sono basate sull’Internet of Things e sui dati, che dopo essere stati raccolti devono essere gestiti. In questo senso strumenti come l’intelligenza artificiale e il machine learning si riveleranno particolarmente utili per analizzare le informazioni e fornire indicazioni utili per rispondere alle esigenze dei cittadini. Così l’A.I., il machine learning e il deep learning troveranno sempre più impiego anche nell’ambito della cybersecurity a difesa delle infrastrutture informatiche, il nuovo scenario della Internet of Thing vede quindi connessa una quantità sempre maggiore di dispositivi alla rete, elettrodomestici, case domotiche, dispositivi medici, macchinari di aziende, auto, grazie anche al sistema di connessione 5G che implementa la velocità e la potenza di connessione. Questo aumenta però la superficie di attacco e predispone infrastrutture critiche e privati a una maggiore facilità di incursioni hacker. Quando si parla di smart cities si parla di città intelligenti, particolarmente avanzate sul piano tecnologico, per fornire servizi utili alla cittadinanza e migliorare la qualità della vita. Basti pensare all’incremento esponenziale della popolazione urbana degli ultimi decenni con la conseguente maggior domanda di servizi primari come la sanità, l’istruzione o i trasporti; Il tutto con il più basso impatto ambientale possibile. Insomma, la sfida è davvero impegnativa.

Rawfish Artificial intelligence

Quanto l'internet of things è vulnerabile agli attacchi?

Per quanto riguarda le vulnerabilità dei sensori IoT possiamo dire che data loro poca protezione, l’IoT ha molti punti deboli dovuti al poco controllo di sicurezza nel momento della creazione del dispositivo, la mancanza di standard ne aumenta le esposizioni al rischio e la mancanza di un indurimento fisico rimane una delle preoccupazioni più grandi per i dispositivi all’interno dell’Internet delle cose. La maggior parte di questi, viene distribuita con una connessione da remoto e non c’è modo di proteggere adeguatamente i dispositivi che sono costantemente esposti alla più ampia superficie di attacco fisico. Ad esempio, gli hacker potrebbero accedere alle schede di memoria e leggerne il contenuto accedendo ai dati e alle informazioni private consentendo loro di accedere ad altri sistemi. La mancanza di crittografia e di controlli di accesso prima che i dati vengano inseriti nell’ecosistema IoT rappresenta una debolezza che espone le informazioni ed è importante garantire il trasferimento sicuro dei dati tramite robusti strumenti di gestione della sicurezza della rete, come firewall e controlli dell’accesso alla rete.

Quali rischi provengono dai bot?

Un problema molto sentito è rappresentato dalle botnet che costituiscono una serie di dispositivi connessi ad internet creati per rubare dati, compromettere reti ed inviare spam. Le botnet contengono un malware che consente all’attaccante di accedere al dispositivo IoT e alla sua connessione per infiltrarsi nella rete di un’organizzazione, diventando una delle principali minacce per le aziende. Il problema è maggiormente sentito negli elettrodomestici che inizialmente non sono stati fabbricati in modo sicuro. Rientrano tra questi anche i dispositivi domestici, questi dispositivi si trasformano e si adattano continuamente, infine, possiamo affermare che il monitoraggio delle modifiche e delle pratiche relative alle minacce è necessario per evitare attacchi.

Un utente malintenzionato può infettare un dispositivo IoT con malware, attraverso una porta non protetta utilizzandolo tramite una botnet IoT utilizzata per avviare massicci attacchi informatici. Le botnet IoT vengono spesso utilizzate per attacchi DDoS (Distributed Denial-of-Service) per sovraccaricare il traffico di rete di un obiettivo.

Come contromisura troviamo la segmentazione della rete che può bloccare i dispositivi IoT eventualmente compromessi per proteggere la rete, mentre gli amministratori IT possono monitorare l’attività del network per rilevare le botnet, monitorando la pianificazione dell’intero ciclo di vita del dispositivo, inclusa la fine del ciclo di vita.

Le minacce che l’AI rappresenta all’interno dell’IoT stanno diventando sempre più importanti, ora gli hacker possono creare strumenti basati sull’intelligenza artificiale che sono più veloci, più facili da scalare e più efficienti degli umani per eseguire i loro attacchi. Ciò rappresenta una seria minaccia all’interno dell’ecosistema IoT.