Tratto dallo speciale:

Machine Learning per la Sicurezza IT

di Anna Fabi

10 Giugno 2016 08:30

Il Machine Learning secondo Darktrace: un livello superiore di automazione.

Siamo entrati in una nuova era digitale. Oggi le macchine si attaccano fra loro e nuovi gruppi di criminali informatici sofisticati sono in agguato e pronti ad ogni evenienza. Il campo di battaglia è la rete aziendale e il premio è il controllo dell’azienda. Oggi il pericolo non consiste solo nel classico scenario delle informazioni rubate o dei siti manipolati, ma anche in attacchi silenziosi e invisibili. Gli hacker possono insinuarsi e cambiare il sistema a loro piacimento o installare bombe a tempo pronte per essere attivate. Stiamo parlando di attacchi sofisticati, che usano programmi mai visti in precedenza, che superano il perimetro di difesa aziendale una sola volta e non mandano mai informazioni al di fuori. Possono anche essere attivi solamente per pochi secondi all’anno, ma quando agiscono sono fatali.

Il nuovo approccio del machine learning

Con gli ultimi progressi in ambito matematico è possibile adottare un approccio di auto-apprendimento (machine learning) in grado di individuare nuove avanzate e sofisticate minacce su larga scala. L’approccio self-learning:

  • definisce un sofisticato “modello di comportamento” individuando quale sia la normalità per ogni dispositivo e persona
  • la tecnologia non è guidata, individua nuove minacce appena si presentano
  • non dipende da regole o signature
  • consente  il monitoraggio continuo

L’approccio “Immune System”

Applicando gli stessi principi del sistema immunitario biologico per salvaguardare la sicurezza della rete aziendale, l’Enterprise Immune System di Darktrace è la prima soluzione di cyber defense al mondo che si basa sull’autoapprendimento. La tecnologia Darktrace, sviluppata da esperti matematici dall’Università di Cambridge, può individuare anomalie mai identificate in precedenza, senza l’uso di regole, e difendere automaticamente le reti aziendali. Gli attacchi oggi sono talmente pericolosi e veloci che la risposta umana non è in grado di affrontarli in tempo. Grazie ai progressi effettuati nell’ambito dell’autoapprendimento, le macchine sono ora in grado di individuare le minacce emergenti e definire risposte appropriate ed in tempo reale per combattere quelle più complesse e pericolose.

Machine Learning oggi

La proliferazione dei dati nel mondo moderno comporta che non è solo poco produttivo ma anche impossibile per gli uomini vagliare l’enorme quantità di dati raccolti su una rete ad ogni istante. Inoltre molto di quello che oggi chiamiamo machine learning è comunque “apprendimento supervisionato”. In questo caso, affinché il machine learning abbia successo, occorre avere una conoscenza a priori dei potenziali risultati programmati in precedenza da una persona. In settori dove sono facilmente intuibili i comportamenti e le abitudini, questo approccio al machine learning si dimostra senz’altro utile per garantire assistenza nello sviluppo dei prodotti o nella sicurezza dei dati delle persone; invece, in un settore così complesso e poco chiaro come la cyber security, non è possibile conoscere tutte le minacce, esistenti o emergenti.

L’approccio al Machine Learning con “apprendimento non supervisionato” di Darktrace

Il metodo di auto-apprendimento di Darktrace non richiede alcun data training con etichette predefinite, ma, al contrario, identifica i modelli chiave e i trend nei dati, senza necessità di intervento umano. Il vantaggio di questo approccio permette ai computer di andare oltre a ciò che i programmatori sanno già e di scoprire in anticipo relazioni finora sconosciute.

Un nuovo approccio alla Cyber Security

La nostra generazione è testimone della rivoluzione del machine learning – la terza grande era dell’automazione. Abbiamo assistito nel tempo a processi in cui la forza lavoro è stata sostituita dalle macchine, poi è stata la volta dell’automazione nello svolgimento di compiti ripetitivi, e ora siamo nella fase in cui compiti di poco valore e poco funzionali vengono rimpiazzati con macchine capaci di gestire calcoli e volumi di dati enormi.

Mentre le reti crescono in termini di portata e complessità, le opportunità per gli hacker di sfruttarne i buchi aumentano.

Oggi, parlare di protezione perimetrale dei sistemi aziendali non è più sufficiente; le regole non possono difendere preventivamente contro ogni tipo di attacco e i metodi basati sulle signature falliscono ripetutamente. Gli attacchi informatici sono evoluti, subdoli e variegati e solo risposte automatizzate basate sul machine learning possono tenerli a bada.

Anche se di solito non e il machine learning facile implementare Darktrace sta dimostrando che funziona.

Utilizzando l’approccio probabilistico bayesiano, sviluppato da esperti studiosi dell’Università di Cambridge, Darktrace è all’avanguardia nel campo del machine learning. Il suo metodo di “rilevare minacce è l’avanguardia nella risposta difensiva che ne dimostra la potenza.

L’approccio “Enterprise Immune System” permette di individuare una minaccia senza dover necessariamente avere uno storico degli attacchi informatici precedenti.

Al contrario, gli attacchi possono essere individuati nel contesto con la comprensione di ciò che rappresenta la normalità all’interno della rete aziendale. Non c’è bisogno di definizioni a priori per avere una migliore visibilità e difesa contro le attuali minacce.

Oltre alle capacità di individuare i rischi, l’Enterprise Immune System può creare anticorpi digitali automaticamente per rispondere immediatamente alle violazioni informatiche più pericolose. L’approccio Immune System individua e al contempo difende contro le minacce informatiche, oltre ad eliminare la necessità di dover dipendere da regole o ‘signature’, che non funzionano.

La tecnologia di Darktrace è diventata uno strumento essenziale per aiutare i team di sicurezza IT a comprendere le dimensioni delle loro reti, osservarne i livelli di attività e analizzarne le aree di potenziale debolezza. Queste analisi non sono fatte manualmente ma vengono evidenziate dal sistema automatizzato che le classifica in base alla loro rilevanza. Il Machine Learning è fondamentale nella difesa dei sistemi dagli hacker e dalle minacce interne attuali e nel formulare risposte a minacce di attacchi ancora sconosciuti. Si tratta di un cambiamento epocale nella sicurezza informatica: la difesa deve iniziare dall’interno.

_________

Articolo a cura di Darktrace