Cybersicurezza: esiste una sproporzione enorme tra chi attacca e chi difende.
Chi attacca è preparato e competente, la vittima normalmente fa un altro mestiere. Chi attacca sceglie quando attaccare, la vittima è normalmente impegnata in altre attività. Chi attacca ha tutto il tempo per preparare un attacco, quindi studiare la vittima. L’attaccato non conosce l’identità di chi lo sta attaccando. Infine, la vittima deve rispettare le leggi, chi attacca non è tenuto a farlo.
Con una tale sproporzione si possono investire milioni ed essere vittime di un attacco. Capita di non spendere nulla ed essere fortunati.
Puntare sulla fortuna, però, non è buona prassi. Pensare che la spesa sia direttamente legata ad un ritorno di investimento è illusorio.
E allora? Riduciamo il rischio, puntando su contromisure sperimentate.
Una innovazione tecnologica la si adotta per avere dei vantaggi in funzione del ritorno di investimento. In cybersecurity, così come in guerra, i veri competitor sono coloro che attaccano. E quindi la vera domanda deve essere: la AI viene usata da chi attacca? Perché se chi attacca usa l’innovazione tecnologica, chi si difende deve fare la stessa cosa per sopravvivere. Sfortunatamente, chi attacca usa l’ AI con grande efficacia. Ci sono strumenti che imparano ad eseguire attacchi con una tecnica di code injection, usata per attaccare applicazioni predisposte a gestire dati attraverso database relazionali, sfruttando il linguaggio SQL, senza avere prima lezioni.
La stessa AI può ricevere attacchi che riguardano la compromissione del corpus della conoscenza oppure subire sottrazioni illecite di dati necessari alla vita di sistemi di AI, che possono far gola anche a malintenzionati. Anche il phishing ne ha tratto beneficio. Qualche tempo fa veniva suggerito di verificare che non ci fossero errori di ortografia per riconoscere una email di phishing. Ora, invece, è esattamente il contrario in quanto una email legittima, scritta da un umano può avere imperfezioni, mentre una email scritta utilizzando l’AI generativa risulta perfetta. Chi lavora nella difesa non può ignorare come gli attaccanti usino l’ AI.
Ci sono anche contromisure in cui l’AI risulta essere particolarmente efficiente. Ad esempio, nella ricostruzione di pattern di attacco o nella identificazione di anomalie su flussi di dati.
In cybersecurity siamo infatti abituati a modellizzare comportamenti normali per identificare anomalie, ignorando il modo con cui avvengono gli attacchi. Se nel passato questa competenza era dedicata a flussi di rete ed eventi, adesso può essere adattata ad ambiti diversi.
In Exprivia https://www.exprivia.it/it/ abbiamo fatto un paio di esperimenti interessanti sulle autovetture in collaborazione con Macnil e su dati prodotti da sistemi di irrigazione in collaborazione con Sysman dopo i quali posso concludere che per avere una sicurezza massima in rete non è sufficiente dire utilizziamo l’ AI. Dobbiamo conoscere le minacce e come gli attaccanti usano l’AI, studiare le contromisure ed identificare quella più adatta a mitigare il rischio utilizzando le tecniche più efficaci.
di Domenico Raguseo
Domenico Raguseo è un conoscitore della cybersicurezza con oltre tre decenni di esperienza. Attualmente alla guida di Exprivia Cyber Security, ha una vasta esperienza e una visione strategica nella protezione di ecosistemi digitali. Inventore ed innovatore, con numerosi brevetti e pubblicazioni partecipa di frequente a conferenze nazionali ed internazionali oltre che collaborare con diverse università come professore a contratto.
