"L'IA non dovrebbe essere un solista, ma parte di un insieme a più livelli".

È vero che i programmi antivirus tradizionali basati sulle firme non offrono una protezione affidabile contro le moderne minacce informatiche. I criminali informatici hanno imparato e praticano il controllo qualità verificando se gli scanner antivirus noti riconoscono il loro nuovo malware durante lo sviluppo dello stesso. Poi lo modificano fino a quando nessuno scanner di virus è in grado di rilevarlo. I criminali hanno quindi a disposizione una finestra temporale di pochi minuti o ore in cui possono diffondere con successo il malware.

I criminali informatici utilizzano anche l'intelligenza artificiale

Il rimedio si trova nelle cosiddette soluzioni NextGen Endpoint Security con tecnologie di machine learning, che non rilevano più il malware in base alla somiglianza con le firme note del malware, ma analizzando le proprietà di un file.

Solo che nessuno impedisce ai criminali informatici di acquistare anche le licenze delle soluzioni NextGen per endpoint con machine learning e di manipolare il malware fino a quando il nuovo malware non viene più rilevato nemmeno da queste soluzioni. Questo è esattamente ciò che hanno fatto gli sviluppatori di NotPetya, ad esempio, un sofisticato malware che è entrato nei computer di tutte le aziende che fanno affari con l'Ucraina attraverso il meccanismo di aggiornamento di un programma fiscale ucraino. Né le soluzioni anti-malware tradizionali né quelle basate sul machine learning hanno inizialmente rilevato il malware in modo affidabile.

Le soluzioni endpoint NextGen avanzate come Intercept X di Sophos, che non solo ispeziona i file prima dell'esecuzione ma monitora anche il software durante l'esecuzione, hanno identificato e fermato l'intento malevolo di NotPetya tramite il rilevamento comportamentale: in questo caso, il tentativo di crittografia malevola del disco rigido è stato notato e impedito da Intercept X.

DeepLearning ha prestazioni migliori

Tuttavia, l'uso dell'apprendimento automatico - preferibilmente nella variante molto veloce ed efficace del Deep Learning - può migliorare la sicurezza nelle aziende. Un buon modello di Deep Learning è molto più veloce di un tradizionale antivirus basato sulle firme, riducendo così sensibilmente il carico del sistema. Allo stesso tempo, vengono rilevate anche molte minacce sconosciute. Il prerequisito fondamentale per ottenere un alto tasso di rilevamento da un lato e un basso tasso di falsi positivi dall'altro non è solo un potente modello di intelligenza artificiale (in pratica, i modelli di apprendimento profondo sono i più adatti), ma anche una grande quantità di dati di addestramento. Sophos addestra il suo modello di deep learning con praticamente tutti gli esempi di malware e di software innocuo degli ultimi 30 anni, per ridurre al minimo i falsi positivi. Anche i nuovi operatori nel mercato della sicurezza degli endpoint NextGen utilizzano modelli di machine learning, ma hanno a disposizione molti meno dati di addestramento, il che può avere un impatto negativo sui falsi positivi.

Ci sono anche modelli di IA sbagliati

Un cattivo modello di intelligenza artificiale può essere facilmente identificato se il produttore propone uno scenario di test in cui devono essere utilizzati "campioni di malware" forniti dal produttore o se il modello deve essere prima addestrato per l'ambiente del cliente. Questo è indice di un modello di IA che non è applicabile in generale e che praticamente deve prima generare eccezioni (firme di fatto) per un ambiente specifico del cliente - il che porta all'approccio di una tecnologia senza firma ad absurdum. Inoltre, ci sono modelli di intelligenza artificiale che scalano male e diventano molto grandi e affamati di prestazioni nel tempo, tanto da dover essere esternalizzati a un ambiente di scansione dedicato nel cloud o a un dispositivo di scansione. Un buon modello di IA è caratterizzato da compattezza, rapidità e universalità, cioè può essere utilizzato immediatamente dal cliente senza una formazione specifica.

L'intelligenza artificiale come elemento costitutivo dei moderni sistemi di sicurezza multistrato

È importante notare, tuttavia, che l'esame di determinati tipi di file prima dell'esecuzione, con o senza metodi di intelligenza artificiale, è solo uno dei tasselli di una sicurezza degli endpoint a più livelli. Solo circa la metà di tutto il malware entra oggi in azienda sotto forma di file eseguibili (e può quindi essere esaminato con metodi di intelligenza artificiale), mentre l'altra metà delle minacce si presenta oggi sotto forma di malware per documenti e media, nonché completamente senza file attraverso siti web infetti o tramite exploit.

Pertanto, è importante implementare più livelli di sicurezza:

1. Livello - Controllo dei percorsi di ingresso delle minacce informatiche: comprende il filtraggio del web, il controllo dei dispositivi, il controllo delle applicazioni e il firewall del desktop/gateway con prevenzione delle intrusioni di rete.
2. Strato - esame pre-esecuzione: qui i file vengono esaminati con firme, apprendimento automatico o euristica.
3. Layer - Rilevamento comportamentale: qui vengono rilevati i comportamenti dannosi, come il rilevamento di ransomware/crittografia, la prevenzione degli exploit, la protezione contro le tecnologie degli hacker come la protezione dal furto di password.
4. Layer - Risposta automatica: oltre alla tradizionale quarantena e pulizia delle minacce, ora include il recupero automatico dei file crittografati dal ransomware e la comunicazione con altri componenti per contenere automaticamente le minacce.
5. Livello - Analisi: un'analisi delle cause profonde a valle può identificare come il malware è entrato, come/se/dove si è diffuso e quali risorse aziendali possono essere ancora interessate e devono essere ripulite.

Gli aggressori riusciranno sempre a superare i singoli meccanismi, ma questo sforzo aumenta esponenzialmente con più livelli di protezione. Pertanto, un approccio multilivello alla sicurezza informatica e la comunicazione dei componenti di sicurezza con la possibilità di reagire automaticamente alle minacce (ad esempio, il firewall o il punto di accesso WLAN isolano automaticamente un endpoint infetto nella rete) sono la chiave per una sicurezza informatica moderna ed efficace.

All'autore: Michael Veit è uno specialista di sicurezza presso Sophos