1 of 23

Intelligenza Artificiale:�Nuovi Problemi + Nuove Opportunità�in Cybersecurity�

Alberto Bartoli – Ingegneria Informatica UniTrieste

2 of 23

Intelligenza Artificiale (AI)

    • "La" nuova tecnologia

    • Termine "di moda" per indicare:
      1. Tecnologie ampiamente utilizzate da >5 anni(Machine Learning / Deep Learning / ...)

      • Tecnologia esplosa lo scorso anno: ChatGPT(AI generativa, Large Language Model)

https://bartoli.inginf.units.it

2

17-Jan-24

3 of 23

Impatto in Cybersecurity?

  • Rischi:
      • Nuovi strumenti / tecniche di attacco?
  • Opportunità:
      • Nuovi strumenti / tecniche di difesa?

    • Prospettiva breve / medio periodo
    • AI "tradizionale" / "generativa"

https://bartoli.inginf.units.it

3

17-Jan-24

4 of 23

AI & Cybersecurity:�ATTACCO (I)

    • ChatGPT & Friends:
      • Generazione automatica e massiva di spearphishing sempre più sofisticati

https://bartoli.inginf.units.it

4

17-Jan-24

5 of 23

MAI sottovalutare il phishing! (I)

https://bartoli.inginf.units.it

5

17-Jan-24

5!

6 of 23

MAI sottovalutare il phishing! (II)

https://bartoli.inginf.units.it

6

17-Jan-24

7 of 23

AI & Cybersecurity:�ATTACCO (II)

    • ChatGPT & Friends:
      • Generazione automatica e massiva di malware nuovi e diversi dai precedenti

https://bartoli.inginf.units.it

7

17-Jan-24

8 of 23

Dobbiamo preoccuparci?

    • Generazione di Malware:
      • Poco affidabile
      • Nessuna evidenza di uso significativo

    • Generazione di Phishing / Spearphishing:
      • Nessuna evidenza di uso significativo

    • Mia opinione:
      • Continuerà così per molto tempo

https://bartoli.inginf.units.it

8

17-Jan-24

9 of 23

Mia opinione (spiegata) (I)

    • Cybercrime: ritorno economico immediato e certo

    • ChatGPT per spearphishing:
      • Necessari investimenti R&D
      • Ritorno economico: futuro ed incerto
    • Oggi ci sono già ENORMI opportunità di attacco
      • Alta probabilità di successo
      • Cost-effective

    • Mancano incentivi

https://bartoli.inginf.units.it

9

17-Jan-24

10 of 23

Mia opinione (spiegata) (II)

    • Cybercrime necessita ritorno economico�certo e immediato

    • AI (quasi) certamente fornirà "presto" nuovi strumenti malevoli
    • ...ma in ambiti diversi dal Cybercrime

https://bartoli.inginf.units.it

10

17-Jan-24

11 of 23

AI & Cybersecurity:�DIFESA

    • Mission impossible:
      • Trovare strumenti che non sono "AI-powered"

    • Se crediamo ai vendor:
      • "Rilevano attacchi mai visti in precedenza"
      • "Rilevano minimi segnali di attacco anche in volumi enormi di dati"
      • "Eliminano i falsi positivi grazie alla possibilità di correlare molte sorgenti dati diverse"
      • "Forniscono capacità proattive invece che reattive"
      • ...

https://bartoli.inginf.units.it

11

17-Jan-24

12 of 23

Dobbiamo crederci?

    • Risposta (necessariamente) sintetica: no

    • Falso problema: Rilevare attacchi
    • Vero problema: Rilevare solo gli attacchi (con falsi positivi trascurabili)

    • Non ci siamo ancora riusciti�(nonostante la cosiddetta "AI")

https://bartoli.inginf.units.it

12

17-Jan-24

13 of 23

Uno dei molti esempi (I)

    • 1000 SOC members, 100 orgs, 10 countries
    • Orgs with >1000 employees

    • Certamente: alto budget + consapevolezza

https://bartoli.inginf.units.it

13

17-Jan-24

14 of 23

Uno dei molti esempi (II)

    • Riusciamo ad analizzare meno della metà degli alert
    • La maggior parte di quelli che analizziamo sono falsi positivi o di priorità bassa

    • Negli ultimi due anni il tempo speso per analizzare un alert è aumentato

    • Dov'è la capacità di rilevare "attacchi mai visti prima"?

https://bartoli.inginf.units.it

14

17-Jan-24

15 of 23

Altri dati di fatto

    • La gran parte degli alert si basa su:
      • Signature costruite su attacchi già visti
      • Correlazioni tra più signature basate su attacchi già visti o "domain knowledge"
    • Per capire se un alert è un falso positivo,�occorre analizzare "manualmente"�l'ambiente specifico

    • Dov'è la capacità di rilevare "attacchi mai visti prima"?�e quella di "eliminare i falsi positivi"?

https://bartoli.inginf.units.it

15

17-Jan-24

16 of 23

Altri dati di fatto

    • These rapidly evolving malware strains continue to evade

    • Dov'è la capacità di rilevare "attacchi mai visti prima"?
    • Neanche un cenno che sia uno a "AI":�Solo signatures ed IoC

https://bartoli.inginf.units.it

16

17-Jan-24

17 of 23

Incident Response / Forensics:�Nuova tecnica (MOLTO interessante)

    • Incident Response / Forensics
      • No Prevention / Detection
    • Occorre analisi molto rapida di informazioni rinvenute sugli host�
    • Chiedere a Bard / ChatGPT

https://bartoli.inginf.units.it

17

17-Jan-24

18 of 23

Esempio: Cos'è???

https://bartoli.inginf.units.it

18

17-Jan-24

19 of 23

Chiediamo a Bard...Wow!

https://bartoli.inginf.units.it

19

17-Jan-24

The script is used to detect software updates that are applicable to devices managed by Microsoft Intune. It does this by querying the Windows registry for installed software and comparing the versions of the software to the latest version available....

This statement allowed the Mandiant consultants to quickly confirm the context and resolve the alert as benign.

20 of 23

AI & Cybersecurity:�In ESTREMA sintesi

    • Attacco: Nulla di nuovo�(per il Cybercrime)
    • Difesa: Nulla di nuovo�(solite promesse e soliti problemi: falsi positivi)

    • Eccezione: LLM per Incident Response / Forensics
      • Attenzione ai dati privati
      • Indispensabile capacità di validare la risposta

https://bartoli.inginf.units.it

20

17-Jan-24

21 of 23

AI & Cybersecurity:�Il vero rischio (SECONDO ME)

    • Farsi distrarre da "promesse & speranze"

    • Per MOLTI GRAVI problemi abbiamo soluzioni pratiche ed efficaci
    • ...ma non le applichiamo!

https://bartoli.inginf.units.it

21

17-Jan-24

22 of 23

Esempio:�Orange Spain

    • Password per configurare routing IP (!)in vendita da 5 mesi
    • Password banalissima(sito ripe pwd ripeadmin)
    • Niente autenticazione a due fattori

    • Occorre AI per prevenire questi problemi???

https://bartoli.inginf.units.it

22

17-Jan-24

23 of 23

Grazie per l'attenzione

"alberto bartoli trieste"

https://bartoli.inginf.units.it

23

17-Jan-24