Con minacce informatiche sempre più letali e massive, diventa mano a mano più complesso tenere testa alla mole di dati necessaria a prevenire, analizzare e mitigare con successo il cybercrime di nuova generazione. È per questa ragione che, ormai da qualche anno, si sfrutta l’intelligenza artificiale, nelle sue varie declinazioni, come ausilio alla threat intelligence e alla valutazione degli alert, numerosissimi, che si riscontrano quotidianamente in un qualsiasi SOC (Security Operation Center): da qui l’irrinunciabilità alla figura professionale emergente dell’AI SOC Analyst.
Intelligenza artificiale, in particolare machine learning, oggi, sono un connubio perfetto in settori nei quali la figura umana rimane centrale, ma deve essere giocoforza assistita quando si tratta o di organizzare e filtrare moli consistenti di dati, spesso eterogeni, o per associare elementi diversi per ricavarne valutazioni il più possibile obiettive.
Indice degli argomenti
Intelligenza artificiale e cyber security
Oggi, l’intelligenza artificiale nella cyber security è utilizzata con successo nel rilevamento di bot, identificazione di minacce digitali mai classificate, previsioni di attacchi e data breach, assessment e monitoraggi continui, fino ad arrivare a tecnologie di Endpoint Detection & Response (EDR). E il trend è in deciso aumento: GlobeNewsWire prevede che il mercato dell’intelligenza artificiale, nella cybersecurity, raggiungerà i 46,3 miliardi di dollari entro il 2027.
Capgemini Research Institute, nel suo recente studio Reinventing Cybersecurity with Artificial Intelligence, enfatizza la necessità di rinforzare urgentemente i sistemi di cybersecurity con l’intelligenza artificiale, per raggiungere un livello di protezione adatto per affrontare le minacce di nuova generazione. Si tratta di un rapporto stilato sulla base di un questionario compilato da 850 professionisti di alto livello del settore IT e cyber security, provenienti da 10 diversi paesi, dal quale emerge che tre partecipanti su quattro lavorano in compagnie dove già si utilizza l’intelligenza artificiale per dare risposte più immediate ed efficaci ad attacchi e data breach. E tre su cinque di chi ha risposto sostiene, tra l’altro, che l’intelligenza artificiale migliora accuratezza ed efficienza dei cyber analyst.
Non è un lavoro da cyber security analyst
Da questi dati nasce una considerazione importante: l’intelligenza artificiale è un supporto ormai irrinunciabile, nella cyber security, ma non può certo auto-gestirsi, come alcuni potrebbero immaginare. Occorre, al contrario, che i cybersecurity analyst prendano sempre più coscienza di questo strumento e sappiano adattarlo a contesti specifici e complessi, per massimizzarne l’efficace. È così che è nata la figura dell’AI SOC Analyst.
I dati ballano a seconda delle fonti, ma uno studio di SC Media, presentato a alla RSA Conference del 2018, mostrava che il 55% dei SOC, interni o gestiti, delle società enterprise, riceve una media di oltre 10.000 alert di sicurezza al giorno. E il trend è in netto aumento. Una quantità enorme, dove, appunto, l’intelligenza artificiale, oggi, si mostra un aiuto essenziale. Valutazioni e decisioni, tuttavia, alla fine devono essere fatte da analisti in carne e ossa.
I cyber security analyst, tuttavia, per formazione ed esperienza, possono fare fronte a solo a determinate mansioni, legate in modo indissolubile alla qualità di alert e report che ricevono. Ed è per questo che, nel corso degli ultimi anni, si è profilata la necessità di una figura intermedia tra loro e i sistemi di intelligenza artificiale applicati alla cyber security. Questa figura, che prende il nome di AI SOC Analyst, si occupa dello sviluppo e adattamento proprio di modelli e tecnologie di intelligenza artificiale, in particolare del machine learning, al fine di filtrare in modo sempre più efficace la mole di informazioni ricevute.
Una sorta di “filtro umano” a informazioni che sono state già filtrate ed elaborate dall’intelligenza artificiale, in modo da passare ai cybersecurity analyst tradizionali un distillato più concentrato ed efficace.
Un lavoro di modellazione dell’intelligenza artificiale
Il motivo per cui tale figura è nata ed è sempre più richiesta risiede proprio nell’aumento esponenziale di quegli alert. Laddove prima 10.000 e passa era il numero di dati da cui si ricavavano pochi e precisi alert, ora ci si ritrova a dover scremare decine, centinaia, se non milioni di dati ogni giorno, per ricavare qualche migliaio di alert. E questi non possono essere gestiti direttamente dall’analista: vanno prima ulteriormente scremati.
Un lavoro difficile, critico, che non può essere del tutto automatizzato e dove l’apporto umano è essenziale per configurare parametri specifici per ogni azienda, e che possono variare di giorno in giorno. Quello dell’AI SOC Analyst è un lavoro di connessione tra l’intelligenza artificiale e l’analista umano, nel quale si raccolgono feedback ed esigenze del secondo, le si valutano in un contesto molto variabile, e le si trasformano in modifiche e configurazioni per la prima.
L’importanza dell’AI SOC Analyst
E questo porta alla necessità di competenze così specifiche da acquisire e tenere aggiornate che non possono rientrare nella sfera di competenza del tradizionale cybersecurity analyst: quello dell’AI SOC Analyst è, semplicemente, un lavoro diverso.
L’AI SOC Analyst è una figura che deve avere certo competenze di cybersecurity, ma deve anche conoscere i principali sistemi SIEM e aggregatori di dati, come JIRA o Splunk, e avere elevate competenze in tema di data science. Per un AI SOC Analyst, inoltre, è importante saper configurare i tool di aggregazione e analisi dati per interfacciarli con sistemi di intelligenza artificiale, o programmare quelli già presenti per adattarli a esigenze che possono variare repentinamente. E questo richiede competenze di programmazione e scripting, oltre ovviamente alla conoscenza di algoritmi e tecnologie di intelligenza artificiale.
I vantaggi di un’intelligenza artificiale su misura
I vantaggi di avere nel proprio team uno o più AI SOC Analyst sono molteplici. Da un lato, la possibilità di ridurre il carico di informazioni e aumentare la qualità, dell’altro quella di diminuire falsi positivi e negativi. Nel mezzo, aumentare l’efficienza delle analisi di cyber security tradizionali, massimizzare l’investimento di tool e piattaforma di cyber security, migliorare la qualità di vita la soddisfazione del team di analisi. E, alla fine, raggiungere quello che è il punto di arrivo di tutta la divisione di cybersecurity: ridurre le possibilità di attacco e data breach, o nella peggiore delle ipotesi ridurne l’impatto.
Secondo uno studio del 2019 del Ponemon Institute, infatti, prima viene individuato e contenuto un data breach, e minore sarà il suo danno economico. Basti pensare che, sempre secondo lo studio, un data breach con un ciclo di vita inferiore ai 200 giorni ha un costo nettamente inferiore (3.34 milioni di dollari) rispetto a uno con un ciclo di vita superiore (4.56 milioni di dollari). E qui, sostiene lo studio, l’utilizzo dell’intelligenza artificiale, gioca un ruolo chiave.
Era il 2019: oggi, nel 2022, occorre fare u passo in avanti e quel passo in avanti consiste nel promuovere una figura nuova e strategica come quella dell’AI SOC Analyst.
