In che Modo IA e ML Stanno Trasformando il Panorama della Sicurezza OT - Nozomi Networks

L'intelligenza artificiale (IA) sta vivendo un momento di grande rilevanza... un momento davvero lungo. È in evoluzione da decenni, ma ora è ovunque. Gli assistenti digitali alimentati da IA come Siri e Alexa, così come gli strumenti generativi di IA come ChatGPT, Gemini e Copilot, hanno messo l'IA a portata di tutti, compresi i criminali informatici.

Per coloro che non sono nativi digitali, è come tornare al 1991. Quell'anno, Internet è passata da essere un ambito militare/accademico di nicchia a diventare la World Wide Web. Allora come ora, le aziende si stanno affrettando ad imparare come sfruttare al meglio questa potente tecnologia per migliorare ogni aspetto delle loro operazioni.

Nel campo della sicurezza informatica, è in corso una corsa per anticipare i criminali informatici che stanno già utilizzando nuove forme di IA per individuare più rapidamente le vulnerabilità e lanciare attacchi più efficaci. La sfida - e l'opportunità - per i CISO e gli analisti SOC è capire come utilizzare l'IA e il machine learning (ML), una sottocategoria dell'IA, per automatizzare e migliorare i processi di difesa informatica.

Per garantire la sicurezza delle reti di tecnologie operative (OT) e dell'IoT, la sfida è ancora maggiore. Ecco una breve introduzione all'IA redatta da Nozomi Networks: dalle sue applicazioni per la sicurezza informatica ai principali casi d'uso per infrastrutture critiche e altre organizzazioni industriali.

L'Impatto dell'IA sulla Sicurezza Informatica

Come predetto da lungo tempo dai creatori di fantascienza, l'intelligenza sovrumana può essere utilizzata per il bene o per il male. Nel campo informatico, l'IA viene sfruttata sia dagli attaccanti che dai difensori per fare ciò che hanno sempre fatto, solo in modo migliore. Ecco tre modi in cui viene impiegata l’IA.

#1 - Attacchi Informatici Assistiti dall'IA

I criminali informatici hanno colto rapidamente l'opportunità offerta dall'IA e dal ML per rendere i loro attacchi più veloci, precisi e difficili da rilevare. Sfruttano queste funzionalità per individuare e sfruttare vulnerabilità più facilmente che mai, nonché per generare malware, creare email di phishing e produrre deepfake.

#2 - Minacce che Mirano ai Sistemi di Intelligenza Artificiale

Man mano che le organizzazioni adottano sempre più l'IA per alimentare processi già automatizzati, la vulnerabilità dei sistemi di IA stessi diventa una preoccupazione emergente. Tattiche subdole come data poisoning, l'iniezione di prompt LLM o l'evasione dei modelli ML pongono una sfida formidabile mentre i criminali informatici imparano ad abusare della tecnologia progettata per migliorare l'efficienza e l'innovazione.

Per fare un esempio legato all'OT/IoT, consideriamo cosa succederebbe se un sistema di manutenzione predittiva guidato dall'IA venisse manipolato in un attacco informatico di data poisoning (assistito dall'IA o meno). Gli avversari potrebbero modificare le letture dei sensori o introdurre log di manutenzione ingannevoli nei dati. Alimentando il sistema con informazioni false, gli attaccanti potrebbero indurre il modello di IA a fare previsioni inaccurate sulla salute e sui bisogni di manutenzione, il che potrebbe portare a guasti, aumento dei tempi di inattività e rischi potenziali per la sicurezza.

Una risorsa utile per comprendere come gli attaccanti sfruttano le vulnerabilità dei sistemi di IA è MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems). Questo framework complementare a MITRE ATT&CK® si concentra su tattiche e tecniche del mondo reale che gli avversari utilizzano per prendere di mira i sistemi di IA. Nel novembre 2023 è stato aggiornato per affrontare le vulnerabilità dei sistemi che incorporano IA generativa e LLM.

La vulnerabilità dei sistemi di IA solleva un'altra sfida déjà vu. L'OT è stato a lungo etichettato come "insicuro per progettazione", un difetto inestricabile che si è rivelato difficile da superare. Possiamo dire lo stesso dell'IA? Stiamo integrando la sicurezza nei sistemi di IA ora o ci stiamo preparando per un incubo simile?

#3 Cyber Difesa Assistita dall’IA

Dal lato dei difensori, la necessità di analizzare e correlare vaste quantità di dati provenienti da dozzine di fonti rappresenta un caso d'uso primario per l'IA e il ML. Infatti, ormai la maggior parte dei fornitori di sicurezza informatica ha incorporato l'IA nei propri prodotti in varie misure.

Oggi è possibile presumere che il ML e l'analisi comportamentale siano al lavoro in tutto il vostro insieme di sicurezza informatica per migliorare la velocità e l'accuratezza di ogni processo, tra cui:

  • Analisi e correlazione dei big data;
  • individuazione delle minacce (anomalie, attacchi, malware);
  • identificazione e prioritizzazione delle vulnerabilità;
  • valutazione e prioritizzazione dei rischi;
  • automazione della risposta agli incidenti.

Nel valutare i fornitori di sicurezza informatica e le loro capacità di IA, è importante capire esattamente cosa si sta ottenendo. La domanda non è se stiano incorporando IA/ML, ma come. Le domande da porre includono:

Quali algoritmi sono in uso e dove?

(Potrebbero considerare queste informazioni riservate ma dovrebbero almeno essere disposti a condividere se e come impiegano algoritmi di regressione, classificazione, clustering e generativi.) ‍

In che modo l'IA aiuterà il mio team con i compiti di sicurezza quotidiana?

(monitoraggio, correlazione, individuazione, analisi)? ‍

Dove si inseriscono le emergenti capacità di IA nel vostro piano di sviluppo.

L’IA per la Sicurezza OT

L'utilizzo dell'IA per la sicurezza informatica OT richiede capacità ancora maggiori perché, come sappiamo, c'è più da proteggere e le conseguenze di un attacco sono spesso più gravi. Si hanno sistemi di controllo e processi fisici, con variabili di processo configurabili, tutti potenzialmente sfruttabili.

Le organizzazioni che gestiscono infrastrutture critiche e altri ambienti industriali devono fare affidamento sull'IA per affrontare ogni fase del ciclo di vita della sicurezza informatica — identificare, proteggere, individuare, rispondere e ripristinare — ma con funzionalità extra per proteggere le reti OT/IoT. I principali casi d'uso includono:

  • Utilizzare il ML per apprendere il comportamento delle variabili di processo raccolte dal traffico di rete ed evidenziare le anomalie dalla serie temporale di base; ‍
  • prevedere e agire su banda anomala da ciascuna attività di rete di base di ogni sensore.

Nozomi Networks ha introdotto nel 2013 la prima soluzione di visibilità e sicurezza alimentata da IA per i sistemi di controllo industriale (ICS) del settore, e da allora l'IA è stata integrata nella loro piattaforma. Due brillanti esempi di questa innovazione sono Nozomi Guardian™ e Nozomi Vantage IQ™.

Rilevamento delle Anomalie e delle Minacce Alimentato dall'IA

Introdotto nel 2013, Nozomi Guardian utilizza algoritmi di IA per analizzare rapidamente le enormi quantità di dati di comunicazione di rete e variabili di processo che sono estremamente difficili da valutare in altro modo. Questo comporta l'utilizzo di apprendimento adattivo per stabilire il comportamento "normale" di una rete e segnalare modelli di traffico oltre le soglie impostate. L'analisi guidata dall'IA viene quindi utilizzata per modellare ciascun ICS nell'ambiente e sviluppare profili specifici di processo e sicurezza per esso.

Una volta stabilite le basi, vengono utilizzate analisi comportamentali ad alta velocità per monitorarle continuamente. Il risultato è il rapido rilevamento di anomalie, inclusi attacchi zero-day e irregolarità critiche delle variabili di processo, prima che possano causare danni significativi.

Query e Analisi Basate sull'IA

Nel 2023 è stato introdotto Nozomi Vantage IQ, il primo motore di analisi basato sull'IA sviluppato specificamente per gli ambienti OT. Utilizza l'IA per replicare le esperienze apprese degli analisti di sicurezza esperti e automatizzare compiti noiosi come la revisione, la correlazione e la prioritizzazione di grande quantità di dati di rete, asset e avvisi. Ad esempio, utilizza reti neurali profonde per identificare modelli di attività di rete e prevedere e segnalare banda anomala da qualsiasi attività di base di un sensore.

Coesistere in un Mondo Alimentato dall'IA

L'IA e il ML hanno chiari benefici per i team di sicurezza informatica, aiutandoli a fare molto di più con meno risorse. È una cosa positiva, considerando la carenza di talenti informatici, specialmente in campi specializzati come OT e IoT.

Ma anche i nemici stanno raccogliendo i frutti. Man mano che la scienza e la tecnologia dell'IA continuano ad evolversi, così evolveranno i metodi di attacchi informatici. Le organizzazioni devono conoscere le capacità dei loro avversari e cercare di superarle se vogliono prevalere in un mondo alimentato dall'IA.

Dubbi, Domande, Maggiori Informazioni?

Se vuoi scoprire di più sulle soluzioni per la sicurezza OT basate su IA di Nozomi Networks, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per avere maggiori informazioni, in alternativa puoi compilare il form sottostante con la tua domanda.