Machine Learning, un boost al monitoraggio della cybersecurity

Il Machine Learning (ML) si è evoluto in modo significativo dalla sua concezione negli anni ’50, dimostrandosi una tecnologia centrale per la sicurezza IT, specialmente a supporto dei sistemi di monitoraggio e allerta.

Questa tecnologia consente ai professionisti della cybersecurity di raccogliere e analizzare proattivamente grandi quantità di dati in tempo reale per identificare modelli e anomalie che potrebbero indicare potenziali violazioni e di migliorare le capacità di monitoraggio nel tempo in modo automatico. Diversamente, con le soluzioni di rilevamento tradizionale, queste attività si basano solo sull’intervento umano e quindi richiedono tempo e lavoro, e utilizzano metriche e soglie predeterminate per segnalare eventuali anomalie, con molti limiti, a cominciare dalla generazione di parecchi falsi positivi. Non da ultimo, i sistemi tradizionali fanno fatica a rilevare anormalità in contesti dinamici dove i segnali fluttuano costantemente.

Nonostante ciò, il monitoraggio basato sul Machine Learning spesso non viene adottato sottovalutandone i vantaggi. Utilizzando algoritmi e dati storici, l’ML consente infatti avvisi più accurati e proattivi, anche grazie alla capacità di adattarsi ad ambienti e modelli in evoluzione e di definire automaticamente le soglie ottimali di allerta.

Come funziona il monitoraggio basato sul Machine Learning

Viene implementato con algoritmi ML capaci di analizzare enormi quantità di dati in tempo reale con modelli adatti a indicare le eventuali potenziali minacce. Questo processo prevede diversi passaggi, a partire dalla raccolta dati e dall’ingegneria delle funzionalità, per poi passare all’identificazione di metriche e dati di sistema rilevanti che verranno utilizzati per l’analisi. Ciò può includere metriche quali tempo di risposta e registri degli errori.

Irina Artioli, Cyber Protection Evangelist e TRU Researcher di Acronis

Una volta raccolti, i dati vengono pre-elaborati e trasformati per renderli adatti a essere caricati nei modelli ML che, grazie ad algoritmi dedicati, identificano anomalie e gli indici di potenziali violazioni. Questi modelli sono normalmente basati su dati storici per apprendere cosa è “normale” e rilevare di conseguenza eventuali difformità. Difformità che attivano automaticamente un alert ai team di cybersecurity per intraprese le opportune azioni di verifica e intervento. Gli algoritmi di ML permettono anche al sistema di apprendere e adattarsi continuamente a modelli e comportamenti mutevoli, rendendoli dunque più efficaci nel tempo.

Un tassello cruciale di queste soluzioni è l’addestramento dei modelli ML indispensabile per poter contare su un sistema efficiente ed efficace. Una delle principali considerazioni quando si sviluppano questi modelli è la scelta tra tecniche di apprendimento supervisionate e non supervisionate per il rilevamento delle anomalie. Le prime implicano la fornitura al modello di dati etichettati da cui apprendere, mentre l’apprendimento non supervisionato consente al modello di rilevare autonomamente anomalie in base agli schemi e ai trend nei dati. Entrambi gli approcci hanno i vantaggi e svantaggi e la scelta dipende in ultima analisi dalle esigenze e dai requisiti specifici del sistema di monitoraggio adottato.

Non va infine sottovalutato che il riallineamento del modello ML deve essere continuo per garantire la sua accuratezza nel tempo. Man mano che i dati e l’ambiente cambiano, i modelli devono infatti essere riqualificati e perfezionati per adattarsi e rilevare con precisione le anomalie.

Meccanismi di allerta e sistemi di notifica

L’utilizzo del ML permette di impostare soglie dinamiche, un vantaggio rilevante nella gestione degli avvisi. Infatti analizzando dati e modelli passati, i team dedicati alla cybersecurity possono determinare livelli di soglia mirati e quindi contare su un sistema di alert più accurato ed efficiente.

Inoltre, consente di dare priorità agli avvisi in base alla gravità e al potenziale impatto. Questo approccio garantisce pertanto da una parte che i problemi più critici vengano affrontati con la giusta tempestività, dall’altra che le risorse siano concentrate sugli avvisi più urgenti riducendo carico di lavoro e stress.

Machine Learning=Proattività ed efficienza operativa

In sintesi, oggi gran parte degli strumenti di monitoraggio adottati dalle imprese richiedono un’indagine manuale da parte del personale qualificato e si basano su approcci reattivi anziché proattivi come richiesto dall’evoluzione delle minacce. Proattività che diversamente può essere garantita da soluzioni basate sul Machine Learning che permettono ai professionisti di intervenire prima che l’organizzazione subisca gli effetti di un incidente, impiegando minor tempo e risorse e quindi con maggiore efficienza operativa.

Irina Artioli è Cyber Protection Evangelist e TRU Researcher di Acronis