A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
Max Heinemeyer spiega come l’evoluzione dell’eXplainable AI (XAI) consoliderà il rapporto tra essere umano e intelligenza artificiale attraverso il rafforzamento della security e una migliore comprensione degli insights utilizzati nei processi decisionali, unendo le tecnologie di elaborazione del linguaggio naturale (NLP) al rilevamento delle minacce.
La sicurezza informatica non rappresenta più un problema “human-scale”. Gli ambienti digitali e i requisiti per renderli sicuri sono diventati, infatti, troppo complessi perché i singoli individui siano in grado di gestirli sempre con successo, anche perché per riuscire nel proprio intento a un cybercriminale basta non fallire in una particolare occasione, mentre chi protegge i sistemi deve essere pronto tutto il tempo.
Nelle organizzazioni moderne risiede una quantità di dati troppo elevata affinché gli esseri umani possano tenere il passo e anticipare ogni attacco informatico. Analizzare manualmente tutti i log di sicurezza di un’organizzazione e mettere in atto rilevazioni statiche non è più una scelta efficace né scalabile.
Per questo motivo, l’intelligenza artificiale è diventata un elemento imprescindibile per la sicurezza informatica, e l’eXplainable AI (XAI) nei prossimi mesi svolgerà un ruolo cruciale in questo processo di potenziamento delle capacità della security, sia per i professionisti del settore sia per i responsabili aziendali.
Chi opera nella security aziendale è per sua natura scettico; se deve fidarsi delle tecnologie con cui lavora, ha bisogno innanzitutto di capirle! L’intelligenza artificiale e i team aziendali devono lavorare insieme per difendersi da aggressori sempre più sofisticati, che dispongono di tecnologie avanzate. Le rilevazioni delle minacce abilitate dall’AI possono aiutare i team di sicurezza a migliorare il proprio lavoro, ma è altrettanto vero che non è possibile affidarsi in modo cieco ed esclusivo ad algoritmi matematici avanzati. Gli esseri umani devono avere il pieno controllo dei propri sistemi ed essere perfettamente in grado di capire come l’AI li influenza.
In netto contrasto con il concetto di “black box”, l’attenzione alla XAI è destinata a crescere nei prossimi mesi. Nella cybersicurezza, una scatola nera è un sistema che può essere visto in termini di input e output senza la conoscenza del suo funzionamento interno. In questo contesto, gli output sono spesso prodotti senza spiegazioni, ma se la sicurezza informatica rientra ora tra le priorità del management aziendale, chi se ne occupa ha bisogno di spiegare in modo chiaro e comprensibile quali siano le ripercussioni previste dall’AI, le sue potenziali distorsioni e le azioni da intraprendere.
L’eXplainabile AI, quindi, capovolge lo scenario, assicurando che i professionisti della sicurezza possano accedere ai meccanismi delle black box per comprendere a pieno le scelte intraprese dalla tecnologia (in questo caso, dalla AI). L’XAI è in grado di eseguire un ragionamento dettagliato per chiarire le decisioni dell’AI stessa. Questo processo aiuta ad accrescere la fiducia necessaria, mantenendo il controllo e comprendendo il processo decisionale che c’è dietro un motore AI. Non si tratta di dover per forza comprendere e mettere in discussione ogni decisione, ma piuttosto essere in grado di approfondire il processo, se necessario; una capacità che è cruciale nel momento in cui si indaga su incidenti informatici e si valuta come agire di conseguenza.
Oggi non è possibile accettare passivamente che c’è qualcosa di nuovo: i team di sicurezza devono comprendere tutti i come e i perché dietro a quell’innovazione. Tutto questo perché non è possibile identificare una vulnerabilità o una falla nella sicurezza senza comprendere come sia stato possibile all’hacker superare le difese o perché l’AI sia stata in grado di contenere la minaccia.
Approcciarsi alla XAI comporta riuscire a garantire l’accesso umano all’input sottostante i vari livelli e spiegare cosa è stato fatto durante il processo. Si tratta, in sostanza, di ottenere risposte comprensibili.
Dove è possibile e sicuro, l’eXplainabile AI rende disponibili questi dati sottostanti al team aziendale e tutto questo viene presentato in un linguaggio semplice, spesso con visualizzazioni o altri strumenti. Questi processi e metodi che permettono agli utenti umani di comprendere e avere quindi fiducia nei risultati e negli output forniti dalle tecnologie di machine learning devono essere in prima linea nei Security Operations Center (SOC).
L’XAI offre una visione dei diversi livelli del processo decisionale, dall’astrazione più vicina all’output finale fino alla visione sugli stati di bassa astrazione, più vicini all’input. Programmando l’AI per spiegare il perché dietro le micro-decisioni quotidiane, i team di sicurezza acquistano fiducia nel prendere quelle macro-decisioni che generano un impatto sul business a livello complessivo e che necessitano quindi di un contesto umano.
Un esempio concreto è l’elaborazione del linguaggio naturale (NLP) nell’analisi dei dati sulle minacce. Se combinata con il rilevamento e la risposta sofisticata alle minacce dell’AI, la tecnologia NLP può aiutare a dare un senso ai dati e a “scrivere” autonomamente report completi sull’accaduto, in grado di spiegare l’intero processo di attacco passo dopo passo, dalle prime fasi al suo sviluppo, fino alle azioni necessarie da intraprendere. In alcuni casi, l’elaborazione del linguaggio naturale può essere applicata anche a framework esistenti, come il framework MITRE ATT&CK, comunemente usato per aiutare a tracciare ed esprimere i risultati aggiungendo valore ai flussi di lavoro degli analisti di sicurezza più esperti.
Le tecnologie NLP possono aiutare anche a formulare delle ipotesi rispetto a un attacco informatico, trasmettendo quindi il “come“, oltre al “cosa“. Questo permette non solo di scomporre le azioni di rilevamento delle minacce e di risposta in modo semplice, ma anche di informare i team su come impedire che queste minacce si ripetano.
In questo scenario, l’importanza della XAI non è stata colta solo i leader della sicurezza ma anche dagli enti regolatori, che hanno compreso come gli strumenti utilizzati per addestrare l’AI possano potenzialmente presentare anch’essi dei rischi. Di solito, infatti, l’AI viene addestrata su set di dati estesi quanto sensibili, che possono essere condivisi tra team, organizzazioni e regioni, complicando così le misure di conformità da adottare.
Per semplificare il più possibile l’operato delle organizzazioni e delle autorità di regolamentazione quando si affrontano questioni così complesse, è necessario implementare l’XAI allo scopo di garantire trasparenza, obiettività e, in definitiva, resilienza della stessa tecnologia. Per tutte le aziende, in realtà, se emergono imparzialità o imprecisioni negli algoritmi, è fondamentale fare affidamento su una tecnologia di XAI in grado di identificare dove hanno avuto origine questi errori, e prendere misure per mitigarli (oltre a comprendere i processi dietro le sue decisioni).
In conclusione, ritengo che l’evoluzione dell’XAI, potenziando ulteriormente gli algoritmi di intelligenza artificiale con un nuovo livello di comprensione, si rivelerà fondamentale per rafforzare le difese delle aziende e affrontare le sfide che attendono i team della sicurezza in futuro.
