Tecniche di Machine Learning applicate alla cybersecurity informatica

Si sente molto parlare di Intelligenza Artificiale, in particolare di uno dei suoi rami più importanti, come il "Machine Learning". Tuttavia, l'Intelligenza Artificiale non è una novità: è presente dalla fine degli anni '50, quando gli scienziati si riunirono a Darthmoud e coniarono il termine nel 1956. Oggi, la sua influenza ha raggiunto diversi settori e aree, tra cui: il settore automobilistico, l'energia, l'industria, il settore bancario, la salute, la difesa informatica e la sicurezza informatica.

Il Machine Learning consiste nel creare modelli o algoritmi per analizzare i dati, imparare da essi e prevedere il loro possibile comportamento nel tempo o in situazioni stimate. Per questi motivi, il settore della cybersecurity non è rimasto immune alla crescita, alla diffusione e all'installazione di tecniche per migliorare la sicurezza informatica, utilizzando modelli e tecniche di Machine Learning, che consentono una risposta più adeguata e in linea con i requisiti attuali. Queste pratiche migliorano e consentono un'analisi delle minacce e promettono di essere più efficaci nel fermare o prevenire gli incidenti di sicurezza. Attualmente, troviamo diverse applicazioni dell'intelligenza artificiale, attraverso il Machine Learning, nella cybersecurity informatica, tra cui: il rilevamento di frodi con carte bancarie, il rilevamento di intrusioni, la classificazione di malware e il rilevamento di attacchi denial of service, per esempio. Ne elenchiamo alcune.

È innegabile che la comparsa di Internet abbia portato molti vantaggi e miglioramenti nelle condizioni di vita di molte persone. Ad esempio, il telelavoro e l'istruzione virtuale sono due aree o settori che hanno beneficiato degli strumenti e delle piattaforme per lavorare a casa o studiare senza essere immersi nei caotici e costanti problemi di trasporto e insicurezza. delle nostre grandi città.

Apprendimento automatico e commercio elettronico

Un altro settore che ha beneficiato dello sviluppo e della massificazione di Internet è stato senza dubbio il commercio elettronico. Le aziende sono state immerse nella necessità di creare nuovi media e strategie di comunicazione con i propri clienti, che permettano loro di ottenere il volume di vendite necessario per migliorare i profitti; per questo motivo, il commercio elettronico è uno strumento prezioso per il reparto vendite delle aziende. Ma, d'altra parte, così come sono aumentati i benefici e i vantaggi dell'utilizzo di Internet in molteplici strumenti, piattaforme, siti di consultazione, portali finanziari e bancari, ecc. è anche vero che sono aumentati i rischi, le minacce e le possibilità di intrusioni da parte di persone senza scrupoli e malintenzionate.

L'espansione e lo sviluppo accelerato delle comunicazioni, la massificazione dei dispositivi mobili e intelligenti e l'avanzamento di tecnologie come l'Internet delle cose (IoT) ne hanno aumentato l'importanza e la complessità; è qui che la scienza dei dati ha la possibilità di ottimizzare i meccanismi di analisi dei requisiti nei sistemi informatici e di generare una migliore opzione contro i diversi tipi di rischi per la sicurezza oggi esistenti.

D'altra parte, gli attacchi e le intrusioni nei sistemi informatici, nei siti Web e nelle applicazioni continuano ad aumentare con sempre maggiore frequenza, rendendo indispensabile l'utilizzo di meccanismi autonomi per prevenire danni o perdite di informazioni. La sicurezza dei dati aziendali, dei dati personali e delle applicazioni mission-critical sono aspetti che le organizzazioni devono evitare a tutti i costi che vengano compromessi. È qui che entrano in gioco la costante evoluzione e il miglioramento delle tecniche di apprendimento automatico, che prendono in considerazione dati storici o attuali, con l'intento di fare previsioni o proiezioni su una certa gamma di dati, o in certi periodi di tempo, per poter stabilire analogie, in relazione a modelli o caratteristiche di comportamento.

Va tenuto presente che, grazie all'apprendimento automatico, un sistema informatico può individuare comportamenti strani e situazioni anomale in grandi quantità di dati, noti come modelli. Il machine learning individua situazioni anomale che vogliono infiltrarsi nella rete di un sistema. Le soluzioni possibili sono due: IDS euristici e IDS basati su regole.

IDS euristico

L'IDS è il sistema di rilevamento delle intrusioni responsabile del monitoraggio del traffico in entrata e in uscita di un sito web e della registrazione del suo comportamento. Consente una supervisione che rileva le attività sospette e genera avvisi al momento del rilevamento. Sulla base di questi avvisi, un analista del centro operativo di sicurezza (SOC) o un soccorritore può indagare sul problema e intraprendere le azioni appropriate per correggere la minaccia. Gli IDS sono progettati per essere distribuiti in ambienti diversi. Come molte altre soluzioni di cybersecurity, un IDS può essere basato su host o su rete. Vediamo ora di conoscere meglio i diversi tipi di IDS.

IDS basati su host (HIDS): Un HIDS viene distribuito su un particolare endpoint progettato per proteggere dalle minacce interne ed esterne. Questo tipo di IDS può essere in grado di monitorare il traffico di rete in entrata e in uscita del computer, osservare i processi in esecuzione e ispezionare i registri di sistema. La visibilità di un HIDS è limitata al computer host, il che riduce il contesto in cui prendere decisioni. Tuttavia, ha una visibilità profonda sui componenti interni del computer host.

IDS basati sulla rete (NIDS): Un NIDS è progettato per monitorare un'intera rete protetta. Ha visibilità su tutto il traffico che scorre attraverso la rete ed effettua determinazioni in base ai metadati e ai contenuti dei pacchetti. Questa visione più ampia fornisce un contesto più ampio e la capacità di rilevare minacce pervasive. Tuttavia, questi sistemi non hanno visibilità sui componenti interni degli endpoint che proteggono. È consigliabile una soluzione di gestione delle minacce unificata, che integri le tecnologie in un unico sistema per fornire una sicurezza più completa. A causa dei diversi livelli di visibilità, l'implementazione di un HIDS o di un NIDS isolato fornisce una protezione incompleta del sistema di minacce per un'organizzazione.

Metodi di rilevamento IDS

Le soluzioni IDS si differenziano per il modo in cui identificano le potenziali intrusioni:

Rilevamento della firma - Le soluzioni di sistema di rilevamento delle intrusioni basate sulle firme utilizzano le impronte digitali delle minacce informatiche conosciute per identificarle. Una volta identificato il malware o altro contenuto dannoso, viene generata una firma che viene aggiunta all'elenco utilizzato dalla soluzione IDS per la scansione dei contenuti in entrata. Ciò consente a un IDS di raggiungere un elevato tasso di rilevamento delle minacce senza falsi positivi, poiché tutti gli avvisi sono generati sulla base del rilevamento di contenuti dannosi noti. Tuttavia, un IDS basato sulla firma si limita a rilevare le minacce informatiche note e non le vulnerabilità.

Rilevamento delle anomalie - Le soluzioni di rilevamento delle intrusioni basate sulle anomalie creano un modello del comportamento "normale" del sistema protetto. Tutti i comportamenti futuri vengono controllati in base a questo modello e le anomalie vengono etichettate come potenziali minacce informatiche e attivano gli avvisi. Sebbene questo approccio sia in grado di rilevare nuove minacce informatiche, la difficoltà di creare un modello accurato di comportamento "normale" significa che questi sistemi devono bilanciare i falsi positivi con i falsi negativi.

Rilevamento ibrido Un IDS ibrido utilizza sia il rilevamento basato sulle firme che quello basato sulle anomalie. Ciò consente di rilevare un numero maggiore di potenziali attacchi con un tasso di errore inferiore rispetto all'utilizzo isolato di uno dei due sistemi.

IDS e firewall

I sistemi IDS e i firewall sono soluzioni di cybersecurity che possono essere implementate per proteggere un endpoint o una rete. Tuttavia, le loro finalità differiscono in modo significativo. Un IDS è un dispositivo di monitoraggio passivo che rileva potenziali minacce informatiche e genera avvisi, consentendo agli analisti di un SOC di risposta agli incidenti di indagare e rispondere al potenziale incidente. Tuttavia, non fornisce una protezione assoluta per l'endpoint o la rete. D'altra parte, un firewall è progettato per agire come un sistema di protezione che analizza i metadati dei pacchetti di rete e consente o blocca il traffico in base a regole predefinite, creando un limite che alcuni tipi di traffico o protocolli non possono superare.

In altre parole, un firewall è un dispositivo di protezione attiva, più simile a un sistema di prevenzione delle intrusioni (IPS). Un IPS è simile a un IDS, ma blocca attivamente le minacce informatiche identificate invece di limitarsi a lanciare un allarme. L'IDS integra le funzionalità di un firewall e molti firewall di nuova generazione (NGFW) sono dotati di funzionalità IDS/IPS integrate, che consentono di applicare regole di filtraggio predefinite e di rilevare e rispondere alle minacce informatiche più sofisticate (IDS/IPS).

IDS basati su regole

È la soluzione che parte da una corrispondenza con i pattern in modo che il sistema sia in grado di rilevarli automaticamente e lanciare un avviso. Alcuni esempi sono Snort, Suricata, Ossec, Samhain, Bro o Kismet. Tutti questi sistemi si basano su regole che devono essere preconfigurate per funzionare automaticamente e senza supervisione. È inoltre importante ricordare che la loro efficacia dipende dall'aggiornamento dei loro database sulle minacce conosciute.

Come scegliere una soluzione IDS?

Un sistema IDS è un componente che deve essere presente nell'implementazione della cybersecurity di qualsiasi organizzazione. Un semplice firewall costituisce la base della sicurezza della rete, ma molte minacce informatiche avanzate possono passare inosservate. Un IDS aggiunge un'ulteriore linea di difesa informatica, rendendo difficile per un cyber-attaccante accedere alla rete di un'organizzazione senza essere individuato.

Quando si sceglie un IDS, è importante considerare lo scenario di implementazione. In alcuni casi, un sistema di rilevamento delle intrusioni può essere la soluzione migliore, mentre in altri la protezione integrata di un IPS può essere un'opzione migliore. Un NGFW con funzionalità IDS/IPS integrate fornisce una soluzione integrata e semplifica il rilevamento delle minacce informatiche e la gestione della sicurezza.

In conclusione

I cyberattacchi non cessano di verificarsi e le aziende devono implementare diverse misure di sicurezza per garantire l'integrità e la disponibilità delle informazioni e il corretto funzionamento dell'intero sistema. Tra le misure di sicurezza che possono essere adottate c'è il sistema di rilevamento delle intrusioni. Spesso, tra gli strumenti di sicurezza utilizzati da un'azienda, troviamo sistemi misti che combinano un IDS con un Firewall.

Sebbene entrambi i sistemi monitorino e analizzino la rete e i dispositivi alla ricerca di minacce informatiche anomale, la differenza principale tra un IDS e un IPS è che quest'ultimo è in grado di bloccare gli attacchi poiché ha un ruolo preventivo e proattivo.

Per quanto riguarda il firewall, esso blocca tutto il traffico, filtrando solo il traffico o i pacchetti di dati consentiti dalla sua configurazione. Un IDS fa il contrario: lascia passare tutto il traffico, analizzandolo alla ricerca di dati o attività dannose. Pertanto, l'IDS e il firewall devono lavorare insieme: il secondo filtra il traffico consentito e il primo lo analizza alla ricerca di minacce o anomalie.