La relazione tra AI e cybersecurity è sotto i riflettori da molti anni. Quando il digitale ha preso il sopravvento, infatti, qualsiasi organizzazione ha iniziato a fare i conti con il rischio cyber, ovvero con la possibilità che un attacco esterno, ma anche un errore o una distrazione, potessero compromettere i loro dati o rendere inaccessibili le applicazioni su cui si basa il business.
Negli ultimi anni, il cyber crime si è trasformato in un business altamente redditizio, con un aumento costante di attacchi e di incidenti (+65% in Italia nel 2023, secondo il Clusit). Parallelamente, il mercato delle soluzioni per la prevenzione e la risposta alle minacce informatiche ha registrato una crescita del 15,6% (2023, IDC), superando i 100 miliardi di dollari di spesa globale. L'avvento dell'intelligenza artificiale e la sua integrazione nelle strategie di difesa cyber non possono che alimentare ulteriormente questa crescita.
Da diverso tempo, la cybersecurity è una sfida quotidiana tra chi attacca e chi difende, e questo l’ha reso uno dei settori più innovativi di tutto l’ecosistema della digital transformation.
L’intelligenza artificiale è un formidabile motore di innovazione, e non è quindi un caso che tutti gli attori della cybersecurity la considerino un’opportunità straordinaria: le organizzazioni, che con essa possono potenziare le proprie capacità di difesa e i meccanismi di risposta, ma anche chi attacca, che ha la possibilità di rendere molto più incisive e automatizzate le proprie azioni.
Dal punto di vista dei threat actor, le tecniche di intelligenza artificiale possono essere impiegate per migliorare l'efficacia degli attacchi, creando per esempio dei malware adattivi che si modificano sulla base delle contromisure. Oppure, l’AI può automatizzare il riconoscimento delle vulnerabilità, ma senza dimenticare il suo supporto allo sviluppo di campagne di phishing e attacchi di social engineering sempre più personalizzati e insidiosi.
In quest’ambito, l’AI generativa ha avuto (e avrà) un impatto centrale. La sua capacità di creare contenuti multimediali inediti offre ai cybercriminali degli strumenti che superano in modo ingegnoso le difese tradizionali. Oggi, infatti, è possibile clonare la voce di una persona e realizzare campagne di phishing testuali estremamente realistiche, fino alla diffusione di video manipolati, noti come deepfake, che riproducono con accuratezza volti e movimenti di individui reali. Addirittura, è possibile farsi assistere da un LLM (Large Language Model) per creare il codice sorgente di agenti malevoli come virus e ransomware, e non è dunque un caso che questa abilità sia stata disattivata nei modelli AI più diffusi, tra cui GPT di OpenAI e Gemini di Google.
Le organizzazioni e gli enti governativi sono consapevoli delle minacce poste dalla relazione sempre più stretta tra AI e Cybersecurity. Lo dimostrano gli investimenti di cui sopra, ma anche dichiarazioni esplicite come quelle dell’FBI americana, che a maggio 2024 ha messo in guardia i privati e le aziende della “crescente minaccia rappresentata dai criminali informatici che utilizzano strumenti di intelligenza artificiale (AI) per condurre sofisticati attacchi di phishing/social engineering e truffe con clonazione vocale/video”. Da questa parte dell’Atlantico, il National Cyber Security Center inglese ha affermato che “L'intelligenza artificiale (AI) aumenterà quasi certamente il volume e l'impatto degli attacchi informatici” poiché farà evolvere le tattiche, tecniche e procedure (TTP) esistenti. Non c’è dubbio che vadano messe a punto delle efficaci strategie difensive.
Il comunicato dell’FBI dà anche alcune dritte su come affrontare la minaccia cyber potenziata dall’intelligenza artificiale, posto che le tecniche di AI possono essere impiegare in svariati modi a supporto di diverse tecniche, dal phishing ad attacchi DDoS automatizzati su larga scala.
L’ente americano, rivolgendosi agli utenti finali dei servizi e delle soluzioni digitali, sottolinea l’importanza dell’awareness, ovvero della consapevolezza delle minacce esistenti e delle dinamiche di attacco, unico punto di partenza vincente per sviluppare dei comportamenti virtuosi e ridurre il rischio cyber. Un altro suggerimento è quello di implementare, ovunque possibile, dei meccanismi di autenticazione MFA (Multi Factor Authentication) e, aggiungiamo noi, quello di sfruttare proprio le potenzialità dell’Intelligenza Artificiale, ma questa volta per prevenire e rispondere adeguatamente alle minacce.
Molte tecniche che fanno parte dell’ecosistema dell’intelligenza artificiale, tra cui Machine Learning, Deep Learning, le reti neurali artificiali e l’NLP, permettono di potenziare la capacità preventiva e reattiva di qualsiasi azienda. Ciò spiega il successo delle relative soluzioni, che secondo un’indagine di Comp-TIA, sarebbero già utilizzate dal 56% delle imprese.
Ma in che modo l’AI potenzia le iniziative, le strategie i tool utilizzati dalle imprese per difendere la business continuity e i propri dati?
Uno dei grandi dilemmi dei team di sicurezza è la rilevazione tempestiva di minacce ancora sconosciute. L'AI viene in soccorso, essendo in grado di analizzare enormi volumi di dati in tempo reale e di rilevare comportamenti anomali che possono suggerire l’esistenza di un attacco in corso.
L’AI, in particolare, è in grado di rilevare dei pattern complessi che sfuggono agli strumenti tradizionali, come i tentativi di attacco distribuiti su diversi vettori o minacce che si mimetizzano tra il traffico legittimo. Per riconoscere i modelli di attacco, le soluzioni esistenti si affidano a diverse tecniche, come il Machine Learning, il Deep Learning o l’NLP; in quest’ultimo caso, NLP (Natural Language Processing) può analizzare in tempo reale i contenuti delle comunicazioni e identificare tentativi di phishing e/o di social engineering.
Va sottolineato come, oltre alla capacità di analizzare pattern e comportamenti, l'AI apprende continuamente nuove informazioni, migliorando la sua capacità di riconoscere attacchi inediti (o Zero-Day) e di bloccarli prima che arrechino danno all’infrastruttura informativa aziendale. Questa capacità trova molteplici applicazioni in ambito business, che vanno da sistemi antispam moderni potenziati con AI a soluzioni di monitoraggio in tempo reale delle reti alla ricerca di comportamenti anomali degli utenti interni o di soggetti esterni.
L’intelligenza artificiale può potenziare anche il delicato processo di vulnerability assessment e management. In particolare, le soluzioni dedicate possono scansionare continuamente le reti e i sistemi alla ricerca di nuove vulnerabilità, valutando il rischio associato a ciascuna di esse e fornendo suggerimenti a livello di priorità (scoring) e di azioni necessarie per mitigarle.
Oltre al rilevamento delle minacce, l'intelligenza artificiale permette di rispondere tempestivamente e in forma automatica (o semi-automatica) a situazioni di pericolo. A fronte di una minaccia consistente, le soluzioni possono, per esempio, isolare i sistemi compromessi, modificare le configurazioni di rete (es, del firewall), bloccare le connessioni sospette e avviare processi di analisi forense per comprendere l'origine dell'attacco.
Cosa ancora migliore in alcune circostanze, le soluzioni possono allertare i team di sicurezza fornendo loro uno scoring automatico e una raccomandazione sulle azioni da intraprendere, ma lasciando loro l’ultima parola sul da farsi. Molti SOC (Security Operations Center), strutture chiave per la protezione degli ecosistemi informativi di livello enterprise, operano proprio sulla sinergia tra l’automazione AI-powered e l’intervento di tecnici esperti.
L’intelligenza artificiale migliora e rende più sicura la gestione delle identità e degli accessi alle reti, ai dispositivi e alle applicazioni. In primo luogo, l'AI offre alle aziende soluzioni avanzate per l'autenticazione biometrica, come il riconoscimento facciale e l'analisi delle impronte digitali, garantendo una protezione robusta contro accessi non autorizzati.
Tecniche sofisticate di intelligenza artificiale, inoltre, possono creare, analizzare e interpretare dei modelli di accesso ai sistemi, per distinguere in modo preciso tra utenti legittimi e potenziali minacce. Per fare ciò, gli algoritmi predittivi elaborano e mettono in correlazione molteplici tipologie di dati, come la posizione dell'utente, il dispositivo utilizzato, l'orario, le azioni effettuate e il comportamento storico. Questo approccio consente di adattare dinamicamente le politiche di accesso e di migliorare in modo significativo la capacità di risposta a minacce come la compromissione degli account e le attività di insider threat.