Inizio

L'intelligenza artificiale protegge dalle minacce informatiche

L'intelligenza artificiale protegge dalle minacce informatiche

Per i lettori che hanno fretta

  • Nella moderna protezione dei dispositivi finali, l'apprendimento automatico rileva modelli di comportamento sospetti che indicano un uso improprio o un malware.
  • Questa protezione dinamica contro i nuovi tipi di minacce integra la protezione statica, che identifica il malware in base alle sue impronte digitali note (firma).
  • L'apprendimento automatico viene utilizzato anche per monitorare continuamente il comportamento degli utenti e identificare gli attacchi in base a questo e successivamente eliminarne la causa e gli effetti.
  • Una protezione efficace dei dispositivi finali richiede un software auto-adattante che identifichi in modo affidabile i nuovi tipi di minacce e avvii le misure appropriate.

Suggerimento da provare

Se volete un'ottima introduzione ai modelli linguistici (LLM), utilizzati tra l'altro per analizzare il malware negli script PowerShell, dovreste guardare il seguente video di un'ora di Andrej Karpathy. Quasi tutti gli aspetti dell'IA generativa e degli LLM sono trattati e illustrati con esempi concreti. Anche il tema della sicurezza non viene trascurato. Una "lettura obbligata" per ogni appassionato di IA con un'affinità con la tecnologia.

La dinamica del ML

I classici scanner di virus e i programmi di rilevamento di malware funzionano con il cosiddetto riconoscimento della firma: Lo scanner di virus tenta di assegnare sequenze note di byte a un virus per poter poi isolare il file infetto.

Tuttavia, ciò comporta lo svantaggio che il malware deve essere noto allo scanner. Inoltre, gli sviluppatori di malware più intraprendenti possono sempre modificare leggermente la firma in modo che lo scanner non funzioni: un gioco del gatto e del topo.

La moderna protezione degli endpoint si affida quindi a meccanismi di AI, più precisamente di machine learning, in cui il software di protezione osserva tutti i processi del programma e ricava automaticamente dei modelli per rilevare le anomalie. Tali anomalie possono essere punti di accesso Wi-Fi sospetti, nuovi account utente con livelli di autorizzazione elevati, tentativi di abbassare i livelli di sicurezza del PC, tentativi di inoltrare dati a indirizzi IP dannosi o schemi sospetti nel traffico di rete.

Il "Behavioural ML" - noto anche come UEBA (user and entity behaviour analytics) - va nella stessa direzione prestando maggiore attenzione al comportamento dell'utente, ad es: Se un utente tenta improvvisamente di aprire file a cui non ha accesso.

Se viene rilevato un comportamento sospetto in questo modo, il software di protezione attiva un allarme.

La mano protettiva

Se si verifica una minaccia o addirittura un attacco, viene utilizzato anche il machine learning. Ad esempio, CrowdStrike, il software leader nella protezione degli endpoint, non solo cerca di riconoscere il malware in una fase iniziale, ma anche di identificarne la causa e di fornire suggerimenti per la sua rimozione.

Gli algoritmi di intelligenza artificiale vengono utilizzati anche per rilevare firme alterate di malware che altrimenti passerebbero inosservate. Il malware che non ha una firma viene rilevato anche grazie al suo comportamento evidente, ad esempio quando tenta di aggirare i meccanismi di sicurezza.

Per evitare di reinventare la ruota, CrowdStrike attinge a una varietà di fonti, che vengono combinate per addestrare e perfezionare ulteriormente i propri modelli di ML. Dopo tutto, una protezione efficace contro le minacce informatiche è una battaglia continua contro il "male". Una battuta d'arresto porta regolarmente a un problema e a una sconfitta in questa "battaglia".

Esempio: exploit zero-day

Vogliamo utilizzare un esempio per illustrare il funzionamento dell'intelligenza artificiale in CrowdStrike. A questo scopo abbiamo scelto i temuti exploit zero-day. Non c'è rimedio per questi exploit, anche se sono stati scoperti. Solo la completa eliminazione della vulnerabilità può risolvere il problema. Ne abbiamogià parlato in modo più dettagliato su . Come si comporta CrowdStrike in questo caso?

  1. Un autore di malware crea un nuovo malware e lo modifica per eludere il rilevamento basato sulle firme. L'autore del malware pubblica quindi il malware su Internet, dove le vittime lo incontrano.
  2. Gli scanner di malware basati sulle firme non sono in grado di rilevare il nuovo malware perché non hanno la firma del malware nel loro database. Tuttavia, i modelli ML di CrowdStrike sono in grado di rilevare il nuovo malware perché sono stati addestrati su un enorme set di firme di malware note, comprese quelle modificate per eludere il rilevamento tradizionale basato sulle firme. Hanno appreso il comportamento dei programmatori di malware per offuscare le firme e lo utilizzano per l'identificazione.
  3. Inoltre, l'analisi comportamentale di CrowdStrike è in grado di rilevare il nuovo malware evidenziandone il comportamento sospetto, come i tentativi di accedere a dati sensibili o di disattivare i controlli di sicurezza.
  4. Infine, le informazioni sulle minacce di CrowdStrike sono in grado di rilevare il nuovo malware perché CrowdStrike raccoglie e analizza le informazioni sulle minacce da diverse fonti, tra cui i propri clienti, le forze dell'ordine e altri fornitori di sicurezza. Queste informazioni sulle minacce contengono informazioni sulle nuove varianti di malware e sulle tecniche di evasione. CrowdStrike utilizza quindi queste informazioni per aggiornare i propri modelli di ML e le regole di rilevamento.

In questo modo, CrowdStrike utilizza l'AI/ML in una combinazione di misure e fonti per rilevare gli exploit zero-day nel modo più affidabile possibile, anche se sono nuovi.

Esempio: PowerShell

PowerShell, popolare e molto potente in Windows, viene spesso utilizzato dagli hacker per infiltrarsi nelle aziende con il malware. In questo caso vengono utilizzati modelli di apprendimento profondo che analizzano il codice sorgente dell'aggressore e lo rilevano di conseguenza.

  1. I modelli di deep learning vengono utilizzati per estrarre automaticamente le sezioni di codice più importanti dagli script PowerShell.
  2. L'intelligenza artificiale analizza le sezioni di codice estratte per identificare i flussi di codice dannoso.
  3. L'intelligenza artificiale confronta la logica del codice con un database di script PowerShell noti, dannosi e benigni.
  4. Se l'intelligenza artificiale riconosce la logica del codice dannoso, genera un avviso.

Senza intelligenza artificiale, sarà difficile prevenire le minacce provenienti da Internet. Per questo motivo, è essenziale capire come funziona il software di sicurezza utilizzato in azienda.

Chi fa le domande giuste ha un chiaro vantaggio.

Informazioni su Business Automatica GmbH:

Business Automatica riduce i costi dei processi automatizzando le attività manuali, aumenta la qualità dello scambio di dati in architetture di sistema complesse e collega i sistemi on-premise con le moderne architetture cloud e SaaS. L'intelligenza artificiale applicata in azienda è parte integrante di tutto ciò. Business Automatica offre anche soluzioni di automazione dal cloud orientate alla sicurezza informatica.