L’intelligenza artificiale, sebbene ben vista dai più come strumento di ottimizzazione, se vista sotto il punto di vista della cybersecurity diventa un argomento un po’ spinoso. Da un lato permette ai team di sicurezza di automatizzare i processi di difesa informatica, dall’altro ha messo nelle mani dei malintenzionati uno strumento per minacciare l’incolumità dei sistemi IT e OT delle aziende di tutto il mondo. Ce ne parla Moreno Carullo, Co-founder, Chief Technical Officer, Nozomi Networks.
Ma da dove arriva l’AI?
Spendiamo qualche momento per parlare di come l’intelligenza artificiale si sia evoluta dalla sua nascita fino ad oggi.
L’AI non è una tecnologia recente: esiste fin dagli anni ’50, anche se la tecnologia come la intendiamo oggi è diventata realtà solo negli anni ’80. L’intelligenza artificiale è diventata protagonista di questi ultimi anni perché supportata da un’altra tecnologia, il cloud computing, che le fornisce la potenza di calcolo e i dati di cui ha bisogno per progredire.
Dagli anni ’80, l’intelligenza artificiale ha visto due ondate evolutive. La prima è durata dai primi anni Ottanta fino al 2010, e ha visto la creazione di ML, reti neurali, modelli di deep learning che possono apprendere e adattarsi a situazioni diverse se adeguatamente addestrati su grandi insiemi di dati.
La seconda, che è quella che stiamo vivendo oggi, è quella che ha dato vita all’AI generativa, che è in grado di comprendere contesti complessi e reali senza addestramento su serie di dati, utilizzando modelli linguistici di grandi dimensioni (LLM) per creare contenuti ricchi di sfumature, comprese le immagini.
Naviga in sicurezza con Nord VPN, Ottieni da questo link fino al 70% di Sconto
Le due facce dell’intelligenza artificiale
L’intelligenza artificiale è uno strumento, e come tale può essere utilizzato per il bene o per il male: sta tutto nelle intenzioni di chi la utilizza. In ambito informatico, sia aggressori che difensori utilizzano l’AI per migliorare le loro capacità, rispettivamente, di attacco e difesa.
Per quanto riguarda gli aggressori, questi stanno usando l’AI per rendere i loro attacchi più veloci e precisi e meno rilevabili, ma anche che per trovare e sfruttare le vulnerabilità più facilmente, generare malware, creare e-mail di phishing e deepfake.
I difensori devono quindi aumentare la posta in gioco, e lo stanno facendo. Ormai, la maggior parte dei fornitori di sicurezza ha incorporato l’AI nei propri prodotti in diverse misure, e si può presumere che ML e analisi comportamentale siano all’opera in tutto lo stack di cybersecurity per migliorare la velocità e l’accuratezza dei processi.
Una potenziale arma contro i sistemi OT…
Tuttavia, pure i sistemi AI stessi sono a rischio, e dato che le aziende li stanno sfruttando ora più che mai, ciò mette in pericolo anche loro. Tattiche subdole come il data poisoning, l’iniezione di prompt di modelli linguistici di grandi dimensioni (LLM) o l’evasione dei modelli ML rappresentano una sfida formidabile, poiché gli attori delle minacce imparano ad abusare della tecnologia progettata per migliorare l’efficienza e l’innovazione.
Immaginiamo il seguente (terribile) scenario: un sistema di manutenzione predittiva guidato dall’AI viene manipolato in un cyberattacco di data poisoning, che modifica le letture dei sensori e introduce nei dati registri di manutenzione ingannevoli. Alimentato con informazioni false, il sistema verrebbe indotto dai malintenzionati a fare previsioni imprecise sulle esigenze di salute e manutenzione, con conseguenti guasti, aumento dei tempi di inattività e potenziali rischi per la sicurezza del personale.
Come fare per capire se gli aggressori stanno sfruttando le vulnerabilità sistemi di intelligenza artificiale? Non è semplice, ma una risorsa fondamentale che può aiutare le aziende è MITRE ATLAS (Adversarial Threat Landscape for AI Systems).
Si tratta di un framework complementare al MITRE ATT&CK che si concentra su tattiche e tecniche del mondo reale che gli attori delle minacce utilizzano per colpire i sistemi di intelligenza artificiale. Dal novembre 2023, inoltre, permette di affrontare le vulnerabilità dei sistemi che incorporano AI generativa e LLM.
…ma anche una valida alleata per la sicurezza
Mettere al sicuro i sistemi OT non è semplice, e richiede un impegno sempre maggiore da parte dei team di sicurezza, data la vasta superficie da proteggere e la criticità dei sistemi in questione. Le organizzazioni che gestiscono infrastrutture critiche e altri ambienti industriali devono necessariamente ricorrere all’intelligenza artificiale per affrontare ogni fase del ciclo di vita della cybersecurity, che comprende identificazione, protezione, rilevamento, risposta e ripristino, ma con funzionalità aggiuntive per proteggere le reti OT/IoT.
In particolare, innanzitutto le aziende dovrebbero utilizzare il machine learning per apprendere il comportamento delle variabili di processo raccolte dal traffico di rete ed evidenziare le anomalie rispetto alle serie temporali di base. Inoltre, dovrebbero impiegare sistemi AI in grado di individuare larghezze di banda anomale rispetto all’attività di rete di base di ciascun sensore, per fermare gli attacchi sul loro nascere.
Quindi, anche considerando la carenza di talenti informatici e la continua evoluzione delle minacce, soprattutto nel campo OT/IoT, l’intelligenza artificiale si posiziona come elemento fondamentale per la sicurezza dei sistemi di produzione aziendali.
Per maggiori informazioni sulla sicurezza OT, vi invitiamo a visitare il sito web ufficiale di Nozomi Networks.