Machine learning per l’analisi e il rilevamento delle anomalie

L’approccio ibrido che fonde apprendimento umano e machine learning ha dimostrato i migliori risultati per la formazione di modelli accurati davvero efficaci nell’ambito della sicurezza informatica.

Credit immagine: Depositphotos

“Come evidenziato dal Rapporto Clusit 2019, l’anno passato è stato il peggiore di sempre in termini di evoluzione delle minacce informatiche e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo, con un trend di crescita degli attacchi, della loro gravità e dei danni conseguenti mai registrato in precedenza”. Inizia così l’analisi di Denis Cassinerio, Regional Sales Director SEUR di Bitdefender, sull’importanza del machine learning per l’analisi comportamentale e il rilevamento delle anomalie.

Nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Non solo, il livello medio di gravità di questi attacchi è contestualmente peggiorato, agendo da moltiplicatore dei danni. Dal punto di vista numerico, nel 2018 sono stati raccolti e analizzati 1.552 attacchi gravi (+ 37,7% rispetto all’anno precedente), con una media di 129 attacchi gravi al mese (rispetto ad una media di 94 al mese nel 2017, e di 88 su 8 anni).

Tutte le aziende che desiderano un più rapido processo di rilevazione e mitigazione delle minacce informatiche per evitare che abbiano un impatto significativo sulla loro attività, dovrebbero adottare il machine learning, che si basa sull’analisi dei comportamenti e il rilevamento delle anomalie. Affidandosi all’intelligenza artificiale per identificare attività o comportamenti di rete sospetti, il machine learning è in grado di adattarsi sia alle esigenze aziendali che alle nuove minacce.

La rete aziendale è prevedibile

Partendo dal presupposto che la rete aziendale è prevedibile, l’implementazione di tecnologie di analisi del comportamento richiedono innanzitutto un attento studio del comportamento stesso della rete aziendale per capirne le dinamiche abituali. In seguito, qualsiasi elemento nuovo, diverso o fuori dall’ordinario che non rispetti appunto l’abituale modo di comportarsi appreso durante lo studio della rete, sarà segnalato ai responsabili IT.

Tuttavia, è importante notare che è possibile utilizzare queste tecnologie per individuare sia nuovi processi sospetti per quella rete, sia comportamenti anomali. Ad esempio, dopo un periodo di apprendimento, il sistema di machine learning può creare un database delle previsioni che includerà tutte le applicazioni note distribuite in azienda.

Quindi, cosa succede al Database delle Previsioni quando un’applicazione utilizzata in azienda viene aggiornata, dopo che il processo di apprendimento è stato completato? È allora che l’adattamento alle variazioni interviene e il machine learning entra in azione e dimostra il suo valore. Infatti, quando l’applicazione aggiornata viene eseguita per la prima volta all’interno dell’azienda, il modulo di rilevamento del machine learning controlla se il Database delle Previsioni contiene l’applicazione lanciata.

Se non viene trovata una corrispondenza perfetta, verrà applicato un fattore di somiglianza che stima statisticamente le probabilità che l’applicazione sconosciuta sia simile a qualcosa già presente nel database. Se tale percentuale di somiglianza supera una soglia specifica, l’applicazione viene considerata attendibile e il Database delle Previsioni viene aggiornato. Se il punteggio di somiglianza è inferiore alla soglia, l’applicazione viene messa in quarantena e l’amministratore IT ne viene informato.

[/groups_non member group=’Insider’]

Accedi o registrati come Insider usando il riquadro verde qui sotto per continuare la lettura. Nel resto dell’articolo si parla di: 

  • Profilazione delle applicazioni con il machine learning
  • Il machine learning è affidabile negli ambienti aziendali?
  • Automatizzare le decisioni in materia di sicurezza informatica
[/groups_non member]