Se non potete impedire al ladro di entrare in casa, almeno fate in modo che ne esca a mani vuote. È un po’ questo il nocciolo di una ricerca di Darktrace, un’azienda che si occupa di sicurezza informatica. Ha sviluppato un nuovo modo di individuare le intrusioni informatiche, e tentare di impedire il furto di informazioni.
Quello che accade è semplice: quasi tutte le soluzioni per la sicurezza cercano di impedire ai cybercriminali di entrare in una rete. Darktrace, in collaborazione con i matematici dell’Università di Cambridge, ha invece sviluppato un modo per limitare i danni una volta che i criminali sono entrati. L’obiettivo è far sì che restino a mani vuote.
Se questo vi sembra curioso, sappiate che non è finita. L’altro fatto singolare è che il metodo che hanno studiato adopera un software autonomo e intelligente, che non richiede di essere addestrato. C’è un motivo ben preciso. Per istruire un computer a riconoscere un intruso, bisogna dargli in pasto un pari numero di casi positivi e negativi. Sul fronte della sicurezza informatica questo è molto difficile, perché i dati sono fortemente sbilanciati: ci sono pochissimi esempi di comportamenti minacciosi, sepolti in una quantità esagerata di comportamenti normali. Inoltre, un addestramento di questo tipo porta a buoni risultati solo con le minacce conosciute.
Partendo da un altro presupposto le cose cambiano. Se il “guardiano” conosce a menadito il sistema come dovrebbe essere, non ha difficoltà a riconoscere qualcosa che non ci dovrebbe essere. Il principio della soluzione di Darktrace è proprio questo. Come spiega Nicole Eagan, numero uno dell’azienda, la soluzione è “molto simile al sistema immunitario del corpo umano. Nella sua complessità, ha un innato senso di ciò che è normale e di ciò che non lo è. E quando individua qualcosa di insolito – qualcosa che non appartiene a sé stesso – risponde in modo molto rapido e preciso”.
Così facendo l’Intelligenza artificiale non ha bisogno di essere istruita e continuamente aggiornata. Individua da sola “i pezzi” che non seguono lo schema tipico, li mette in quarantena impedendo loro di lavorare (per esempio di trasmettere informazioni all’esterno) fino a quando agli operatori umani non hanno risolto la criticità.
Quanto è efficace questa soluzione? Abbastanza, perché gli algoritmi attivi sono più di 60 e sono in competizione tra loro per scovare gli intrusi e bloccarli. Un algoritmo “master” mette a confronto i risultati e individua i falsi positivi.
Non vuol dire che abbiamo vinto la guerra: come sempre quando si parla di sicurezza informatica, l’arma definitiva non esiste. Gli hacker troveranno qualche stratagemma per aggirare anche questa soluzione. Ecco perché il lavoro dei ricercatori è una ricerca senza sosta di “migliori architetture e soluzioni più efficaci per rendere più sicuri i sistemi”. Chissà quali altre idee originali sono in cantiere!