Grazie al machine learning la National Security Agency sta riuscendo a fronteggiare le attività cosiddette “living off the land”, difficili da affrontare. Cos’ha detto Rob Joyce, capo della cybersecurity dell’agenzia americana, alla Fordham University
Intelligenza artificiale e machine learning stanno aiutando la National Security Agency e altre agenzie statunitensi a individuare attività malevoli cinesi nel cyberspazio. A spiegarlo è stato Rob Joyce, a capo della cybersecurity della NSA, intervenuto martedì alla International Conference on Cyber Security presso la Fordham University di New York.
“Nel breve termine”, l’intelligenza artificiale è “senza dubbio un vantaggio per chi difende” in quanto può “migliorare l’individuazione di attività dannose”. Joyce ha citato alcuni casi in cui la NSA ha osservato le attività di funzionari cinesi per interrompere le infrastrutture critiche, come gli oleodotti e i sistemi di trasporto, negli Stati Uniti. “Sfruttano le falle” nella progettazione di un sistema (errori nell’architettura, configurazioni errate o password predefinite) per prendere il controllo o creare account che sembrano autorizzati. Si tratta degli attacchi definiti living off the land, letteralmente sopravvivere con ciò che puoi procurarti, in ambito cyber utilizzare software e funzioni del sistema per eseguire azioni dannose. Attacchi difficili da individuare, come aveva spiegato a novembre Morgan Adamski, direttore del Cybersecurity Collaboration Center della NSA, alla conferenza Cyberwarcon. “Ma il machine learning ci aiuta a individuare queste attività perché gli account non si comportano come normali operatori commerciali”, ha spiegato Joyce.
Che però ha anche parlato di vantaggi dell’intelligenza artificiale per chi attacca. Basti pensare al migliorare della migliore comunicazione in lingua inglese verso le vittime, “sia che si tratti di e-mail di phishing o di qualcosa di più elaborato”, ha dichiarato. “La seconda cosa che stiamo iniziando a vedere è che persone meno capaci usano l’intelligenza artificiale per guidare le loro operazioni di hacking, per migliorare l’aspetto tecnico di un hack”, ha proseguito.
Joyce ha parlato anche di altre sfide e cambiamenti nell’ambiente informatico.
Una delle principali sfide è capire chi sta conducendo gli attacchi. Infatti, si sta assistendo, come nei conflitti in Ucraina e tra Israele e Hamas, a un aumento di hacktivisti ma spesso alcuni governi li sostengono o addirittura si spacciano per loro. “Gli Stati nazionali stanno sempre più nascondendo le loro attività sotto il sottile velo dell’attività degli hacktivisti: andranno a colpire uno Stato nazionale, un’infrastruttura critica, un obiettivo militare o strategico, e cercheranno di farlo in un modo che sembri un’ondata di attività attivista. Anche in questo caso abbiamo bisogno di una visione di intelligence per capire cosa c’è dietro il sipario, perché non tutto è come sembra”, ha spiegato.
Cambiamento culturale nella NSA è, invece, la condivisione di informazioni classificate con il settore privato. “Stiamo prendendo le nostre informazioni sensibili e le stiamo abbassando a livelli non classificati per le aziende”, ha detto Joyce. “Perché ci possono essere una o due persone in un’azienda che sono autorizzate per quelle informazioni, ma è probabile che le persone che possono fare qualcosa al riguardo siano quelle che non hanno un’autorizzazione”, ha aggiunto. La decisione di modificare la propria posizione in merito alla condivisione dell’intelligence è legata al fatto, ha spiegato ancora, che “ciò che sappiamo non è tanto sensibile quanto il modo in cui lo sappiamo” e “sapere qualcosa non ha importanza, se non si fa qualcosa al riguardo; l’industria è la prima che può agire”.
