Il machine learning è amico della sicurezza?

Per Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks, serve anche conoscere il contesto e avere visibilità sui rischi

Una delle attività più abitudinarie che la stragrande maggioranza di noi compie al mattino è verificare le previsioni atmosferiche per la giornata in corso o per le successive. Quella delle previsioni meteorologiche è una scienza piuttosto precisa che elabora enormi quantità di dati avvalendosi di algoritmi complessi. Si tratta, però, di operazioni astratte molto lontane dalla quotidianità: il meteo si è evoluto al punto tale da permetterci di valutare i rischi che possiamo trovarci ad affrontare senza doverci preoccupare dei dati e delle tecniche di analisi sottostanti, mentre in ambito di sicurezza ci troviamo esattamente nella situazione opposta.

Con l’evoluzione delle minacce e con l’aumentare della complessità delle reti e dei servizi disponibili, le aziende hanno messo in campo architetture di sicurezza composte da più strati che fanno affidamento su best practice. Inoltre, hanno ideato svariate tecnologie che mirano a contrastare le nuove minacce e – in quanto ad architetture di sicurezza – possono far riferimento a un numero sempre maggiore di fornitori.
La tecnologia così adottata è riuscita e riuscirà a bloccare una parte notevole delle minacce cui siamo sottoposti, ma non è in grado di fermarle tutte, come sottolineato dal crescente numero di interruzioni di rete dovute a DDoS e di violazioni di dati che si verificano su scala globale.

Minando la disponibilità dei servizi e sottraendo dati, i pirati informatici guadagnano denaro. Di conseguenza, continueranno a ideare strumenti e tecniche sempre nuovi che consentano loro di conseguire i propri obiettivi e ottenere vantaggi economici. Per riuscire ad accedere alle nostre reti, gli autori degli attacchi adottano tecniche sempre più furtive, ad esempio avvalendosi di credenziali rubate: incursioni come queste non possono essere intercettate dalle tradizionali soluzioni di sicurezza.

Si è, dunque, registrato un boom di strumenti volti a individuare questi attacchi più occulti che sfruttano tecniche di apprendimento automatico e/o basate sul comportamento capaci di rilevare attività sospette o dolose. L’apprendimento automatico (ML, machine learning) è estremamente interessante e grazie a questo è possibile scoprire modelli e notare minacce che altrimenti risulterebbero difficilmente individuabili. Spesso si sottolinea che l’essere umano è bravo a rilevare modelli, e questo è vero, ma battiamo le palpebre, ci annoiamo, possediamo una finestra di memoria finita e non solo. Sebbene riescano a scorgere modelli che l’essere umano non è in grado di notare, gli algoritmi dell’apprendimento automatico non rappresentano (ancora) la risposta a tutti i nostri problemi.

Il machine learning aiuta ma (ancora) non basta
Il primo passo verso la sicurezza consiste nell’individuazione delle attività sospette e nella generazione di eventi. Subito dopo occorre, però, intervenire su quanto rilevato. La maggior parte dei sistemi di ML attuali mette a disposizione eventi senza però specificare il contesto, informazione di cui gli analisti hanno bisogno per comprendere immediatamente il problema in corso. Inoltre, in presenza di problemi di sicurezza, al giorno d’oggi si preferisce intervenire bloccando. In altre parole, come altre tecnologie in passato, il machine learning fornisce una quantità di dati superiore ma non una maggiore visibilità dei rischi. Ovviamente, si tratta di fattori completamente diversi.

Per comprendere meglio il problema è possibile osservare la differenza tra un foglio di calcolo e un grafico. Se ci viene proposto un foglio di calcolo contenente una serie di colonne di dati e ci viene chiesto di indicare le tendenze, la prima cosa da fare è disegnare un grafico. Grazie a esso è infatti possibile comprendere intuitivamente i dati e, di fatto, si ottiene la visibilità. Metaforicamente, in ambito di sicurezza, è stato creato un enorme foglio di calcolo a cui si continua ad aggiungere colonne, senza però inserire le funzionalità grafiche che permettono di comprendere cosa succede.

Si cerca di spacciare la presenza di numerosi eventi relativi alla sicurezza come buona visibilità ma, come è noto, praticamente tutti gli addetti alla sicurezza sono sommersi dalla marea di informazioni che ricevono. 
Giorno dopo giorno, gli analisti della sicurezza sono costretti a cercare di capire su cosa concentrare l’attenzione e dove si celano le minacce effettive.  La difficoltà risiede nel fatto che, nella maggior parte dei casi, non si dispone di strumenti che permettano di raccogliere e organizzare tutti i “dati” (eventi) disponibili per ottenere un quadro effettivo delle minacce. In altre parole, le (scarse) risorse per la sicurezza sprecano gran parte del tempo alla ricerca di falsi positivi anziché tra flussi di lavoro incentrati sul problema.

Gli operatori del settore hanno il compito di ovviare a questa situazione. Persino i prodotti e le soluzioni pubblicizzati come facili da utilizzare tendono a esserlo per gli analisti della sicurezza specializzati. Le aziende più piccole e le Pmi sono soggette agli stessi rischi e possiedono dati altrettanto ambiti dai pirati informatici, ma non dispongono delle risorse necessarie per farvi fronte. Questo scenario non è probabilmente destinato a cambiare visto che la carenza di competenze nel settore non sembra poter essere risolvibile nel breve periodo.

Sebbene l’orizzonte appaia molto cupo, non tutto è negativo. In occasione delle principali conferenze in ambito di sicurezza svoltesi quest’anno sembra essere emersa una crescente accettazione di quanto appena esposto e del fatto che gli operatori del settore abbiano l’obbligo di fornire due risposte: in primo luogo, soluzioni di sicurezza che rendano possibili flussi di lavoro unificati che fanno leva sui dati provenienti dalle attività di rete e oltre, che offrano una reale visibilità delle minacce e permettano agli analisti della sicurezza di concentrare tempo ed energie laddove necessario; in secondo luogo, soluzioni di sicurezza che possano essere facilmente gestite dai provider dei servizi di sicurezza stessi, consentendo così alle organizzazioni più piccole di accedere alle capacità difensive migliori in circolazione.