Quanti hanno pensato al fatto che l’intelligenza artificiale a breve rimpiazzerà il security operation center? Dopotutto, è stato calcolato quanto costa gestire un SOC 24/7/365, e che cosa comporta da un punto di vista economico soddisfare le richieste di un CISO che chiede più risorse, in termini di persone, tecnologia e fondi, per contrastare nuove minacce cyber.
Sergej Epp, chief security officer della Central European region di Palo Alto Networks invece consiglia di non affidarsi esclusivamente alla tecnologia per proteggere l’organizzazione, ma bisogna valutate il modo in cui l’intelligenza artificiale può complementare il security operation center.
Per aiutarci a capire perché l’intelligenza artificiale non sostituirà mai il security operation center, Epp ci fa un esempio proveniente dal mondo degli scacchi.
Lezione di sicurezza dagli scacchi
Nel 1997, ricorda Epp, il grande maestro di scacchi Garry Kasparov giocò e perse contro Deep Blue, il sistema di intelligenza artificiale di Ibm. Quello che forse non si sa è che Kasparov stava vincendo quando Deep Blue fece quella che venne considerata una mossa inusuale, confondendo Kasparov al punto che perse il ritmo e, in ultima analisi, la partita.
La mossa di Deep Blue, tuttavia, non aveva l’obiettivo di far cadere in fallo il maestro: si scoprì successivamente che Deep Blue aveva un baco e fece una mossa casuale, invece che ragionata con calma.
Anche se la vittoria di Deep Blue venne considerata una pietra miliare nell’evoluzione dell’intelligenza artificiale, il “bug” che influì sul risultato della partita dovrebbe insegnarci che non si punta tutto su un solo cavallo. In effetti a volte bisogna pensare e agire fuori dagli schemi e questo è vero soprattutto quando si tratta di cybersecurity.
Come la cybersecurity trae vantaggio dall’intelligenza artificiale
Intelligenza artificiale e machine learning hanno dimostrato la capacità di automatizzare molte attività prima gestite dal security operation center o da tool di generazioni precedenti. E anche se utile per automatizzare molti processi decisionali legati alla sicurezza cyber non potrà mai sostituire l’intelligenza umana in un’area in continua evoluzione come il threat identification and management.
Poiché spesso non si conoscono le minacce e quale il loro impatto prima che si verifichi, risulta impossibile configurare una macchina affinché riconosca schemi del tutto sconosciuti.
Si cercano costantemente modi per contrastare le minacce avvalendosi delle enormi quantità di dati pubblici provenienti dai servizi di threat intelligence e altre metodologie di sorveglianza.
Analizzare gli incidenti recenti, partecipare a gruppi di discussione, configurare honeypot o ideare esercizi red-team aiuta e può costituire la base per mettere a punto una difesa AI-driven. Ma formare le macchine con i dati è estremamente difficile.
Bisogna insegnare alle macchine
Quello che le macchine sanno fare veramente bene è identificare gli schemi in base a un input e imparare dagli umani. Possiamo insegnare loro a riconoscere una sedia mostrandone miliardi di forme, colori e misure diverse. Ma cosa succede al machine learning quando qualcuno sviluppa una forma di sedia totalmente nuova?
In quei casi il cervello umano collega il formato mai visto con la funzionalità, mentre una macchina non riuscirà a capire che ci si può sedere a meno che non abbia l’aspetto di una sedia.
Abbiamo ancora bisogno che i nostri analisti security operation center insegnino agli algoritmi a riconoscerla come sedia – così come insegnerebbero al sistema AI a riconoscere un nuovo malware come minaccia.
Quindi, anche se intelligenza artificiale e machine learning non sostituiranno il security operation center, si tratta di tecnologie che svolgeranno un ruolo sempre più importante nei processi di automazione delle decisioni.
L’organizzazione è pronta all’intelligenza artificiale?
Prima di poter avvalersi dell’intelligenza artificiale, le imprese spesso dimenticano di dover trasformare le tecnologie di cybersecurity e il security operation center stesso.
Il successo dell’intelligenza artificiale sta nel livello di automazione e integrazione dei controlli di sicurezza. Le soluzioni atte a bloccare il traffico malevolo, mettere in quarantena una macchina, risolvere un problema o applicare una patch devono essere implementate in anticipo, il vantaggio di un rapido processo decisionale da parte dell’intelligenza artificiale è inutile se non può agire in modo immediato.
L’intelligenza artificiale arricchirà il ruolo degli analisti del security operation center consentendo loro di diventare data scientist e security architect, ruoli in cui si dedicheranno a ri-architettare i processi operativi, garantendo che vengano raccolti dati giusti e di qualità e identificando nuove tecniche creative per individuare problemi specifici di mercati, aziende e funzioni.
È importante quindi capire che l’intelligenza artificiale ridurrà i rischi, ma trasformerà anche il personale del security operation center.