Cisco Italia Blog
Share

Tutti i miti sul Machine Learning negli Endpoint Security


2 April 2019


Scegliere un nuovo fornitore di soluzioni di sicurezza degli endpoint è un’impresa tutt’altro che semplice. Appena si iniziano a fare delle ricerche emergono una miriade di termini di cui ormai si abusa: apprendimento automatico, intelligenza artificiale, antivirus di nuova generazione, protezioni contro i malware fileless, individuazione delle minacce e potremmo continuare all’infinito. I titoli sembrano allettanti però spesso finiscono solo per confondere.

Dopo aver ascoltato moltissime domande poste durante le fiere e gli incontri avuti con i nostri clienti, abbiamo deciso che è giunto il momento di demitizzare alcuni dei termini di cui si sente parlare di più. Perché oltre all’apparente fumosità, i concetti racchiusi in questi termini sono di vitale importanza. Molti rappresentano caratteristiche e capacità da ricercare nelle soluzioni in cui si decide di investire. Se non conosciamo a fondo cosa si nasconde dietro a questi termini o se non sappiamo quali sono i veri vantaggi che possono offrirci, rischiamo di acquistare uno strumento che non ci dà ciò di cui abbiamo realmente bisogno o, peggio ancora, qualcosa di cui non abbiamo bisogno.

Arriviamo dunque a quella che è, molto probabilmente, l’espressione di cui si abusa di più oggi quando si parla di sicurezza degli endpoint: l’apprendimento automatico.

Noi, come qualsiasi altro fornitore di soluzioni di sicurezza degli endpoint, riceviamo tantissime domande sull’apprendimento automatico. Una delle più frequenti è “Cisco usa l’apprendimento automatico per il rilevamento di malware?”. La nostra risposta è:

l’apprendimento automatico da solo non rileva i malware.

In parole povere, l’apprendimento automatico nella sicurezza degli endpoint si riferisce all’uso di un algoritmo che allena la soluzione di sicurezza degli endpoint in modo che quest’ultima “impari” a individuare attività e file dannosi sulla base di attributi di file malevoli visti in precedenza.

Sì, AMP for Endpoints di Cisco fa proprio questo. Ma ne parleremo dopo.

Che cos’è l’apprendimento automatico?
L’apprendimento automatico può e deve essere usato per incrementare la frequenza di rilevamento e risparmiare tempo, ma è importante tenere conto che da solo non rileva i malware. Per comprendere questo concetto dobbiamo capire prima di tutto come funziona l’apprendimento automatico. Ruba Borno, vicepresidente delle iniziative di Cisco Managed Service, lo ha spiegato bene nel suo recente post sul blog:

“Con l’apprendimento automatico possiamo implementare enormi quantità di dati nell’algoritmo, poi la macchina determina la migliore linea di condotta nel mondo reale (in questo modo non ci sono esperti che devono far seguire alla macchina un determinato codice mentre è in funzione).

Le macchine apprendono guardando un gran numero di versioni di qualcosa. Per esempio, per insegnare a una macchina a distinguere un cane da un gatto è necessario mostrarle tante immagini di cani e di gatti che li ritraggono di fronte, dietro, di lato e da sopra. Per mezzo dell’apprendimento automatico la macchina con la maggior quantità di “dati” su cani e gatti svilupperà da sola la migliore modalità di riconoscimento delle differenze.”

Apprendimento automatico nella sicurezza degli endpoint
Andrew Ng, uno dei maggiori esperti di apprendimento automatico e intelligenza artificiale, ha individuato il “tallone di Achille delle attuali capacità dell’apprendimento automatico supervisionato:

“È necessaria una grandissima quantità di dati. Occorre mostrare al sistema tanti esempi di A e di B. Per esempio, realizzare un taggatore di foto richiede ovunque da decine a centinaia di migliaia di immagini (A) e di etichette o tag che ci indichino la presenza di persone (B). Realizzare un sistema di riconoscimento vocale richiede decine di migliaia di ore di audio (A) insieme alle trascrizioni (B).”

Perciò, per costruire un algoritmo di apprendimento automatico in grado di distinguere nel modo più accurato possibile file dannosi da file non dannosi occorre allenarlo fornendogli un’ampia serie di malware conosciuti. In altre parole, più malware vedrà un algoritmo di apprendimento automatico, più tale algoritmo sarà abile.

Passiamo ai numeri
Negli ultimi 30 anni abbiamo costruito la spina dorsale di Internet. Oggi blocchiamo 20 miliardi di minacce al giorno, ovvero 7 trilioni all’anno. Tali minacce sono implementate nelle nostre macchine ad apprendimento automatico dove vengono analizzate nei minimi dettagli per allenare gli algoritmi.
AMP for Endpoints dispone di un team Ricerca dedicato che si serve abilmente di tutti questi dati per incrementare il livello di protezione e ridurre costantemente i tempi di rilevamento. Tali ricercatori e le minacce che analizzano sono utilizzati per allenare i nostri algoritmi di apprendimento automatico al fine di garantire la massima protezione da tipologie di minacce nuove e in crescita. Grazie all’apprendimento automatico lo strumento di protezione da te scelto può migliorare da solo nel tempo, ma se hai anche le menti più brillanti del settore a tua disposizione per il suo continuo progresso, lo strumento sarà uno dei migliori esistenti.

Tutto ciò diventa più semplice da comprendere se pensiamo alle basi della sicurezza degli endpoint. Uno strumento di sicurezza degli endpoint può classificare file e altre informazioni osservabili in tre categorie:

  • Cose che ha visto e che può identificare come sicure.
  • Cose che ha visto e che può identificare come non sicure o dannose.
  • Cose che non ha mai visto e che perciò non può identificare né come sicure né come dannose.

Quando la tua soluzione si serve dell’apprendimento automatico per la classificazione dei file, dovrebbe giungere alle proprie conclusioni in modo rapido ed estremamente preciso. Se l’algoritmo è stato allenato da dati di qualità abbastanza buona, dovrebbe riuscire a individuare minacce nuove o sconosciute con relativa facilità. La chiave di ciò risiede nella quantità di dati forniti ai tuoi modelli; perciò, più malware il tuo algoritmo di apprendimento automatico vede, più la tua soluzione di sicurezza degli endpoint sarà in grado di riconoscere i malware che tentano di accedere alla tua rete. Tutto questo dovrebbe avvenire automaticamente; se invece il tuo strumento di apprendimento automatico genera avvisi e lascia decidere a te la natura dei file, non hai scelto una soluzione né efficiente né efficace.

Parte di una soluzione, non la soluzione
All’inizio di tutte le nostre conversazioni sull’apprendimento automatico ci piace ricordare che l’apprendimento automatico sta ampiamente migliorando i tempi di rilevamento e i livelli di efficienza ed efficacia delle nostre soluzioni, ma deve essere considerato come parte di una soluzione e non come la soluzione. Ci saranno sempre nuovi tipi di malware con caratteristiche mai viste prima. Quando un malware del genere tenta di entrare nel tuo ambiente, ha buone probabilità di oltrepassare uno strumento che si basa esclusivamente sull’apprendimento automatico.

A questo punto bisognerebbe chiedersi: come fermare le minacce per le quali l’apprendimento automatico non basta? Riesco a vederle? Quando una minaccia è nella rete, le capacità dell’apprendimento automatico non sono più d’aiuto e ci si augura solo di avere uno strumento in grado di identificare i comportamenti dannosi che l’ algoritmo di apprendimento automatico gia’ esistente non ha ancora visto.

E cosa dire in merito ai malware fileless? C’è un motivo per cui abbiamo visto un incremento nell’uso di questo approccio per infiltrarsi nelle reti. Gli algoritmi di apprendimento automatico possono essere allenati al fine di distinguere file dannosi da file non dannosi, ma non hanno grande utilità se non ci sono file da analizzare o perfino se si devono fare analisi in memoria. Per garantire la protezione necessaria contro malware non tradizionali, occorre un approccio alla sicurezza, alla rilevazione e alla risposta su più livelli. Non esiste una formula magica. Bloccare tempestivamente quante più minacce possibile è di cruciale importanza, ma sappiamo tutti che è l’ultimo 1% che ci porterà in prima pagina.

L’approccio di Cisco
Cisco si serve di un approccio alla sicurezza su più livelli, soprattutto per quanto riguarda gli endpoint. L’AMP for Endpoints di Cisco, la nostra soluzione di sicurezza degli endpoint di nuova generazione, utilizza l’apprendimento automatico insieme a decine di altre tecniche di rilevamento e protezione volte a impedire le violazioni. Ecco alcune delle tecniche di rilevamento e protezione di AMP:

  • La protezione da attività dannose per monitorare costantemente il comportamento di file in esecuzione, valutare se tale comportamento è legittimo o meno e termiare processi che non dovrebbero essere eseguiti da un file
  • Il nostro sistema contro gli exploit che monitora tutto ciò che avviene nella memoria per garantire che applicazioni e processi legittimi non vengano usati per introdurre malware
  • Il sistema di rilevamento integrato basato sulle firme di AMP per rispondere rapidamente se ciò che vediamo è un file dannoso conosciuto

Sempre in tema di approccio su più livelli, AMP for Endpoints è solo uno dei nostri prodotti che si servono dell’apprendimento automatico. Anche Cisco Stealthwatch e Cognitive Threat Analytics dispongono di capacità di apprendimento automatico. Per saperne di più su come i prodotti di sicurezza di Cisco utilizzano l’apprendimento automatico non perdete la parte 2 di questo post sul blog disponibile a breve.

Per testare in prima persona le caratteristiche (tra cui l’apprendimento automatico ma non solo) di AMP for Endpoints, richiedi la prova gratuita. 
————————————————————

Se hai letto questo blog potrebbero interessarti anche:

Disponibile il Cisco Security Report di febbraio
Come i “Side-Channel Attack” possono compromettere la privacy in WhatsApp, Telegram e Signal

Tags:
Lascia un commento