AO_418

114 AUTOMAZIONE OGGI 418 SOLUZIONI SOFTWARE PER L’INDUSTRIA Come evidenziato dal Rapporto Clusit 2019, l’anno passato è stato il peggiore di sempre in termini di evoluzione delleminacce informatiche e dei relativi impatti, non solo dal punto di vista quantitativoma anche e soprattutto da quello qualitativo, con un trenddi crescita degli attacchi, della lorogravità edei danni conse- guentimai registrato inprecedenza. Nell’ultimobiennio il tassodi crescita del numero di attacchi gravi è aumentato di dieci volte ri- spetto al precedente. Non solo, il livellomedio di gravità di questi attacchi è contestualmente peggiorato, agendo damoltiplicatore dei danni. Dal puntodi vista numerico, nel 2018 sono stati raccolti e analizzati 1.552 attacchi gravi (+ 37,7% rispetto all’anno prece- dente), con una media di 129 attacchi gravi al mese (rispetto ad una media di 94 al mese nel 2017, e di 88 su otto anni). Tutte le aziende che desiderano un più rapido processo di rileva- zione e mitigazione delle minacce informatiche per evitare che abbiano un impatto significativo sulla loro attività, dovrebbero adottare ilmachine learning, che si basa sull’analisi dei comporta- menti e il rilevamento delle anomalie. Affidandosi all’intelligenza artificiale per identificare attività o comportamenti di rete so- spetti, il machine learning è in grado di adattarsi sia alle esigenze aziendali sia alle nuove minacce. La rete aziendale è prevedibile Partendo dal presupposto che la rete aziendale è prevedibile, l’implementazione di tecnologie di analisi del comportamento richiedono innanzitutto un attento studio del comportamento stesso della rete aziendale per capirne le dinamiche abituali. In seguito, qualsiasi elemento nuovo, diverso o fuori dall’ordina- rio che non rispetti appunto l’abituale modo di comportarsi ap- preso durante lo studio della rete, sarà segnalato ai responsabili IT. Tuttavia, è importante notare che è possibile utilizzare queste tecnologie per individuare sia nuovi processi sospetti per quella rete, sia comportamenti anomali. Ad esempio, dopo un periodo di apprendimento, il sistema di machine learning può creare un ‘databasedelleprevisioni’ che includerà tutte le applicazioni note distribuite in azienda. Quindi, cosa succede al ‘database delle previsioni’ quando un’applicazione utilizzata in azienda viene aggiornata, dopo che il processo di apprendimento è stato com- pletato? È allora che l’adattamento alle variazioni interviene e il machine learning entra in azione e dimostra il suo valore. Infatti, quando l’applicazione aggiornata viene eseguita per la prima volta all’interno dell’azienda, il modulo di rilevamento del ma- chine learning controlla se il ‘database delle previsioni’ contiene l’applicazione lanciata. Se non viene trovata una corrispondenza perfetta, verrà applicato un fattore di somiglianza che stima statisticamente le probabilità che l’applicazione sconosciuta sia simile a qualcosa già presente nel database. Se tale percentuale di somiglianza supera una soglia specifica, l’applicazione viene considerata attendibile e il ‘database delle previsioni’ viene ag- giornato. Se il punteggio di somiglianza è inferiore alla soglia, l’applicazione viene messa in quarantena e l’amministratore IT ne viene informato. Machine learning S SI Foto tratta da www.freerangestock.com L’approccio ibrido che fonde apprendimento umano e machine learning ha dimostrato i migliori risultati per la formazione di modelli accurati davvero efficaci nell’ambito della sicurezza Informatica Come analizzare comportamenti e rilevare anomalie? Denis Cassinerio