
L’intelligenza artificiale sta acquisendo nel campo della cybersecurity un’importanza via via crescente. Ciò copre anche il tema della scoperta e dello sfruttamento delle vulnerabilità zero-day. Gli 0day sono falle di sicurezza non note che criminali informatici e attori malevoli sfruttano e fanno sfruttare prima che sia intrapresa un’opera di disclosure, ovvero prima che quelle vulnerabilità siano rilevate, portate alla luce e fatte correggere dagli sviluppatori.
L’utilizzo dell’IA per sfruttare vulnerabilità zero-day solleva un ampio e variegato ventaglio di preoccupazioni per la sicurezza informatica e la privacy degli utenti. I timori maggiori sono strettamente legati ai seguenti aspetti:
- L’aumento dell’efficacia degli attacchi valutata in combinato con l’espansione delle superfici d’attacco che la tecnologia attuale regala agli utenti. L’IA può essere utilizzata per mettere a punto e sferrare attacchi più sofisticati e mirati, incrementando la probabilità di successo nella violazione di sistemi e reti.
- L’automazione degli attacchi. L’IA consente di automatizzare il processo di ricerca, identificazione di e sfruttamento delle vulnerabilità, permettendo agli aggressori di colpire in maniera assai vantaggiosa su larga scala, senza richiedere un intervento umano costante.
- La difficoltà d’individuazione tempestiva delle azioni di cyberattacco. L’IA può essere adottata per sviluppare malware o strumenti offensivi capaci di sfuggire alla rilevazione da parte delle soluzioni di sicurezza informatica tradizionale, rendendo così più arduo addivenire alla loro rapida identificazione, comprensione e neutralizzazione.
Un esempio concreto in tal senso è quello rappresentato dall’applicazione dell’intelligenza artificiale per sviluppare exploit 0day mirati ai dispositivi “intelligenti” connessi all’Internet delle cose (IoT), anche in campo industriale (IIoT).
L’uso dell’intelligenza artificiale negli attacchi informatici contro i dispositivi IoT e IIoT sta aumentando in maniera esponenziale. Gli aggressori infatti se ne servono per identificare le vulnerabilità dei dispositivi di quelle reti, prevedere il comportamento degli utenti e condurre attacchi specifici e automatizzati. L’intelligenza artificiale può essere utilizzata anche per generare ceppi di malware sofisticati, difficili da riconoscere e che possono essere rapidamente veicolati e diffusi attraverso le reti IoT. Sfruttando l’apprendimento automatico, gli attaccanti possono creare falsificare dati di autenticaizone e aggirare così le misure di sicurezza dei dispositivi IoT. Inoltre, i bot alimentati dall’IA possono sferrare attacchi brute-force sulle password, determinando potenziali violazioni ed esfiltrazioni (ulteriori) di dati.
Se è vero quanto illustrato poc’anzi, altrettanto lo è il fatto che gli strumenti d’intelligenza artificiale possono al contempo essere impiegati in maniera fruttuosa per potenziare e migliorare il processo di scoperta degli 0day, anche a fini preventivi e di difesa. Alcuni dei modi per utilizzare proficuamente l’intelligenza artificiale su questo fronte possono essere:
- L’analisi automatica del codice. L’IA può essere addestrata per esaminare il codice sorgente o il bytecode dei programmi, al fine di riconoscere pattern o anomalie che potrebbero suggerire la presenza di vulnerabilità. Questo processo può essere automatizzato per accelerare l’individuazione delle vulnerabilità e ridurre la dipendenza dalle analisi manuali. Si risparmierebbe in termini di tempo e di costi e si guadagnerebbe sulla tempestività della messa a punto delle relative correzioni e patch.
- L’apprendimento automatico dalle vulnerabilità note. Utilizzando algoritmi di apprendimento automatico, l’IA può essere istruita su un dataset di vulnerabilità note abbastanza esteso da consentirle addivenire all’identificazione di pattern e segnali comuni che possano indicare la presenza di una nuova vulnerabilità. Questo tipo di metodo consentirebbe cioè d’identificare rapidamente e in maniera automatizzata nuovi tipi di vulnerabilità sulla base di somiglianze con falle già conosciute.
- L’analisi del comportamento: l’IA può essere utilizzata per tener monitorato il comportamento dei sistemi e delle applicazioni al fine di individuare, tramite la loro analisi, tutte quelle attività sospette o anomale che possano essere ricondotte a vulnerabilità zero-day. L’IA può imparare dai modelli predittivi di comportamento tipico, usuale e rilevare tutte quelle deviazioni che sono tanto significative da sottintendere la possibilità di un attacco o la presenza di una vulnerabilità sfruttabile.
- L’intelligenza artificiale può essere messa in campo anche semplicemente per implementare le misure di sicurezza informatica tradizionali, come i firewall e i software antivirus. Ad esempio, i firewall basati sull’ intelligenza artificiale possono analizzare il traffico di rete in tempo reale e bloccare qualsiasi attività sospetta prima che raggiunga e colpisca in vario modo la rete aziendale.
- L’integrazione di informazioni di threat intelligence è un altra ottima misura che può essere sposata, soprattutto dalle organizzazioni economiche. In questo caso si tratta di utilizzare l’IA per analizzare e correlare informazioni provenienti da fonti di threat intelligence esterne, come database di vulnerabilità o segnalazioni di attacchi, al fine d’ identificare e mitigare le minacce zero-day. Questo approccio costituisce un valido strumento per mantenere aggiornata la difesa dell’organizzazione rispetto alle nuove minacce emergenti.
- L’automazione della risposta agli attacchi. L’IA può essere adoperata per automatizzare anche la risposta agli attacchi zero-day, consentendo una mitigazione tempestiva e precisa delle minacce. Ciò include l’isolamento dei sistemi compromessi, la distribuzione di patch di emergenza e l’implementazione di contromisure a livello di rete per bloccare gli attacchi.
È tuttavia importante sottolineare che l’utilizzo dell’Intelligenza Artificiale nella difesa contro gli attacchi zero-day richiede una vigilanza e un aggiornamento continui. Le minacce evolvono a ritmo incessante. Per tale ragioni le organizzazioni devono essere proattive nell’ implementare misure di sicurezza avanzate, modulabili e adattabili, in grado di far fronte alle nuove sfide tecnologiche segnate dall’ingresso a gamba tesa dll’IA nella nostra quotidianità e in misura preponderante. Inoltre, è essenziale mantenere una combinazione di strumenti di sicurezza, processi e competenze umane qualificate e costantemente aggiornate per garantire una difesa effettiva contro gli attacchi basati sull’IA e le minacce zero-day. L’IA è uno strumento sì potente , ma l’analisi e la comprensione umana sono e resteranno fondamentali per prendere le decisioni giuste e adattare le strategie di difesa in modo consapevole, mirato ed efficace.