La Repubblica

Talento e creatività non bastano: contro il crimine arriva la cybersecurity automation

Strumenti automatizzati come Siem e Soc, Edr e Xdr, non bastano più per la prevenzione dei rischi cibernetici, e anche il framework zero trust e l’approccio cybersecurity by design vanno integrati e migliorati. Sono troppi gli eventi potenzialmente rischiosi generati ogni giorno dall’esplosione digitale che insieme a guerre, pandemie e innovazione ci obbligano a ripensare la sicurezza di quasi 5 miliardi di utenti, di milioni di linee di codice software, migliaia di server critici, e di tutti i microcomputer dell’Internet delle cose che arriveranno presto a 80 miliardi.

L’adozione di tecniche di “hyperautomation” basate sull’intelligenza artificiale e machine learning possono però migliorare il potenziale dell’automazione della cybersecurity, con un’ampia gamma di usi in ogni fase della protezione di software, infrastrutture, dispositivi e hardware per “ridurre la necessità di intervento umano, accelerare i tempi di risposta e la tempestiva identificazione dei problemi di sicurezza”.

Ad affermarlo è uno studio di Reply in cui l’azienda, leader nel settore, esplora il panorama emergente delle minacce per favorire una sicurezza “intelligente” e portare il problema all’attenzione diretta del management. Con l’obiettivo di comprendere meglio gli attuali trend della cybersecurity, l’azienda italiana ha utilizzato Reply Sonar, uno strumento basato sull’intelligenza artificiale sviluppato insieme al Centro di ricerca tedesco per l’intelligenza artificiale, DFKI, per analizzare oltre 50 milioni di articoli tratti da importanti media professionali, riviste scientifiche, brevetti, articoli e piattaforme di contenuti B2B.

Lo studio si concentra sui principali mercati Reply, presentati in due cluster: il primo, Europe-5, che comprende Germania, Italia, Francia, Belgio e Paesi Bassi e un secondo, detto Big-5, che include Stati Uniti, Cina, India, Brasile e Regno Unito. Con la collaborazione di Pierre Audoin Consultants (PAC, Teknowlogy Group) confronta i segmenti “software” e “servizi” in quattro principali domini di automazione della cybersecurity: sicurezza delle applicazioni, endpoint detection & response (Edr) ed extended detection & response (Xdr), sicurezza dell’Internet of Things e sicurezza dei dati. I dati utilizzano il 2021 come base di riferimento e proiettano gli investimenti fino al 2026.

E arriva a una prima conclusione: il mercato globale della cybersecurity crescerà fino a 300 miliardi di euro nei prossimi cinque anni. Motivo? Secondo Allianz Global Corporate & Specialty, gli incidenti informatici sono percepiti come il rischio aziendale più importante nel 2022.

Proteggere i dati e gestire l’insicurezza

I penetration test, la correzione delle vulnerabilità e i test dinamici sulle applicazioni stanno emergendo come aree di sviluppo per l’automazione e l’integrazione dell’AI nel ciclo di vita dello sviluppo applicativo. Si prevede che gli investimenti nell’automazione della sicurezza delle applicazioni cresceranno notevolmente, raggiungendo entro il 2026 i 669 milioni di Euro nel mercato Europeo (Italia, Francia, Germania, Belgio e Paesi Bassi) e gli 881 milioni di Euro nel mercato Big-5.

Ma questo vale anche per data discovery, classificazione dei dati, crittografia, gestione dell’identità e dell’accesso ai dati, che sono diventate aree di investimento essenziali per la protezione dei dati sensibili dall’esfiltrazione e da usi impropri. Questi settori triplicheranno la loro quota di mercato tra il 2021 e il 2026 nei cluster Europe-5 e Big-5, secondo Reply, passando rispettivamente da 251 a 915 milioni di Euro e da 1,2 a 4,4 miliardi di Euro. Con il contributo di strumenti basati sull’intelligenza artificiale del tipo User and Entity Behavior Analytics (Ueba) per prevenire ulteriormente l’accesso non autorizzato ai dati sensibili.

La disattenzione nell’adozione di adeguate misure di protezione dei dati può comportare violazioni dei dati con conseguenze enormi: le sanzioni previste dalla Gdpr, la catastrofe reputazionale e un arretramento concorrenziale rispetto ai competitor, inclusa la perdita dei propri talenti e i costi di remediation e comunicazione.

Tuttavia, come emerso in una precedente ricerca, “Hybrid Work”, le aziende stanno rispondendo con una notevole ripresa degli investimenti nel mercato della sicurezza degli end-user device, con una crescita prevista del 34% nel cluster Europe-5 e del 45% nei Paesi Big-5 (2025 vs. 2020). Anche per questo motivo, un quarto dei professionisti della cybersecurity sta ora perseguendo uno sviluppo professionale in AI/ML.

Intelligenze artificiali vulnerabili

C’è un però: l’AI e il ML aprono nuove vulnerabilità che gli aggressori possono utilizzare per accedere a sistemi e dati cruciali. Il futuro della cybersecurity sarà sempre più AI contro AI. Il malware è più evasivo, pervasivo e scalabile e poi c’è la significativa vulnerabilità dei sistemi di intelligenza artificiale che, una volta infiltrati, possono essere ri-allenati dagli incursori informatici ed essere sfruttata come un punto debole per le aziende che non la implementano in maniera sicura.

Gli attacchi informatici ai sistemi di intelligenza artificiale possono essere ricompresi in a due categorie: attacchi al momento dell’allenamento che includono avvelenamento o attacchi backdoor; i secondi, gli attacchi al momento dell’inferenza, includono attacchi di evasione, furto di modelli ed estrazione di dati. Quindi, un utente malintenzionato può avvelenare il set di dati, l’algoritmo o il modello stesso.

Non esiste un algoritmo di difesa valido per tutti e non esiste un metodo teorico per garantire il vantaggio del difensore. Anche un modello di intelligenza artificiale ben difeso può essere nuovamente attaccato, da qui la necessità di un forte approccio di sicurezza fin dalla progettazione durante i processi di sviluppo e operatività dell’AI.

Sulla base della sua esperienza, afferma Reply nella ricerca, ha definito un framework chiamato “Pervasive Security”, che include procedure, test e controlli che dovrebbero essere considerati in ogni fase del ciclo di vita dello sviluppo (DevSecOps) come standard. L’implementazione completa dell’automazione della sicurezza basata sull’intelligenza artificiale può anche ridurre il costo di una data breach da 6,7 a 2,9 milioni di dollari statunitensi e ridurre il tempo necessario per identificare e contenere la violazione (IBM, 2021). Il nuovo approccio alla gestione dei dati noto come DataSecOps e il DevSecOps, sono, in sintesi, il futuro della cybersecurity, ovviamente assieme a un esercito di programmatori e analisti, preparati, motivati e ben pagati.