Cybersecurity: università e ricerca a che punto siamo?

Dalle frontiere dell’AI, alla collaborazione con enti pubblici e aziende: ecco come il mondo dell’università e della ricerca sta affrontando le sfide della sicurezza

In ambito ICT, l’attenzione ai temi della sicurezza è sempre crescente così come la complessità che c’è dietro. Degli attuali scenari in ambito cyber e del ruolo che la comunità dell’università e della ricerca può avere nel supportare la prevenzione, il rilevamento e la risposta agli attacchi informatici, se n’è parlato a Brescia durante la Conferenza GARR.

Con ospiti illustri del mondo dell’accademia e della PA, durante la tavola rotonda, moderata da Ilaria Comelli, responsabile dell’Unita’ Operativa Sicurezza ITT dell’Università di Parma, è stato evidenziato come la collaborazione tra soggetti diversi sia una chiave fondamentale per avere progressi significativi nella protezione delle infrastrutture digitali e nell’evoluzione delle tecniche difensive. E in questo campo, l’ormai immancabile AI può davvero dare una mano concreta, non solo per sviluppare tecniche più sofisticate e condurre analisi migliori ma anche per supportare la formazione di nuove figure professionali.

Università, ricerca, PA e aziende: un ecosistema aperto alla collaborazione

I laboratori universitari, in collaborazione con aziende private e istituzioni governative, sono spesso l’incubatore di idee innovative e approcci inediti per affrontare le sfide della sicurezza informatica. Questo rapporto è fondamentale in un campo dove la complessità e l’evoluzione continua delle minacce richiedono costanti aggiornamenti e nuove competenze.

Il professore Simon Pietro Romano, dell’Università di Napoli Federico II ha portato alcuni esempi concreti quali la collaborazione con la Direzione Nazionale Antimafia (DNA), dove l’Università di Napoli e altri atenei riuniti nel Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica) lavorano insieme alla reingegnerizzazione dei processi digitali per migliorare la sicurezza e l’efficienza delle infrastrutture informatiche della DNA. Queste collaborazioni permettono di combinare l’approccio teorico e accademico con le esigenze pratiche di enti governativi e aziende, creando soluzioni efficaci e innovative. “Da tempo abbiamo capito che noi docenti non possiamo essere soltanto accademici se ci occupiamo di sicurezza, ma dobbiamo portare un contributo anche pratico-operativo, e questo cambia anche il modo di fare lezione in aula” ha raccontato il professor Romano.

L’AI come strumento nella cybersecurity

L’adozione dell’intelligenza artificiale ha cambiato profondamente il modo in cui vengono gestiti gli attacchi informatici. Grazie alla capacità di permettere analisi di grandi quantità di dati in tempo reale, l’AI è in grado di identificare comportamenti anomali, rilevare vulnerabilità e prevenire minacce prima che possano causare danni significativi.

Uno degli ambiti più promettenti è l’utilizzo di tecnologie che permettono di monitorare gli attacchi informatici simulando ambienti vulnerabili, come le honeypot e le darknet. Come spiegato dal prof. Marco Mellia del Politecnico di Torino: “l’AI può essere utilizzata per analizzare i milioni di pacchetti di dati raccolti dalle honeypot, individuando nuovi pattern di attacco e migliorando la capacità di difesa contro le botnet e altri tipi di minacce”. Al Politecnico di Torino si stanno, inoltre, riscontrando buoni risultati nella ricerca sull’uso degli LLM per predire quali IP possano essere malevoli, sulla base della sequenza con cui vengono registrati, oppure nel campo del cybersquatting, la creazione di domini fasulli per ingannare gli utenti. Anche in questo caso, le tecniche degli LLM permettono di scoprire in anticipo molti più domini (circa il 70% in più), che possono essere associati foneticamente a quello giusto, e in questo modo agire in prevenzione, addirittura bloccandone in anticipo la attivazione.

Uno degli aspetti più critici riguarda la capacità dell’AI di supportare in modo efficace le decisioni degli operatori umani. In ambito sicurezza infatti non è sufficiente bloccare una minaccia ma occorre anche individuarne le ragioni. Come sottolineato dal professor Stefano Zanero del Politecnico di Milano, l’intelligenza artificiale deve essere “explainable”, ossia in grado di spiegare in modo trasparente perché ha preso determinate decisioni. Questo è fondamentale per garantire che le scelte basate sull’AI siano affidabili e comprensibili.

Oltre che per le finalità di ricerca, l’AI è può avere un alto impatto anche in alcuni aspetti organizzativi. Come affermato da Roberto Caramia, Capo della Divisione CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale (ACN), questi strumenti riducono il carico di lavoro degli analisti perché possono automatizzare i compiti più ripetitivi, come la classificazione delle minacce e la gestione degli alert. In questo modo, liberando risorse preziose e qualificate, si riesce anche ad accelerare il processo di onboarding di nuovo personale che è sempre più richiesto e necessario.

Per difendere bene è necessario saper attaccare

Nonostante le potenzialità dell’AI e i successi in alcuni ambiti, permangono le difficoltà legate alla quantità e alla complessità delle minacce e alla rapidità con cui evolvono. Per questo, nei sistemi di apprendimento si parla di active training, perché le condizioni cambiano in continuazione. Lo stesso indirizzo IP malevolo ad esempio dopo alcuni minuti potrebbe non esserlo più e ciò richiede un costante aggiornamento delle tecniche di difesa.

La prevenzione passa attraverso una raffinata conoscenza di ciò che si vuole contrastare. Simon Pietro Romano lo ha spiegato molto bene “la capacità di creare algoritmi in grado di generare autonomamente codice malevolo rappresenta una delle nuove sfide del settore. L’obiettivo non è solo proteggere i sistemi dalle minacce esistenti, ma anche sviluppare strumenti che possano anticipare e prevenire futuri attacchi”.

Un momento del panel "Cybersecurity: quali novità all’orizzonte?" che si è svolto durante la Conferenza GARR 2024

Per fare questo non occorre solo essere dei buoni difensori ma anche conoscere le tecniche di offesa. Tra le attività di ricerca alla Federico II di Napoli, stanno dando risultati incoraggianti quelle relative all’exploit del software, ovvero l’identificazione di vulnerabilità di codice, che richiede competenze avanzate in programmazione e una profonda conoscenza dei sistemi operativi, cose che l’AI già possiede. Lo studio ha compiuto un passo successivo: ha messo a lavorare due LLM (LLaMA-2 di Meta e ChatGPT di OpenAI) facendoli interagire da soli, senza l’intervento diretto dell’uomo, per generare automaticamente codici di attacco effettivamente efficaci. Commissionare all’AI la creazione di codice malevolo offre nuovi scenari che permettono di conoscere meglio le mosse dell’avversario.

Del rapporto di forza tra attaccante e difensore ne ha parlato anche Stefano Zanero, evidenziando che tutto dipende dalla motivazione dell’aggressore: “Se l’attaccante è motivato finanziariamente, la difesa è relativamente semplice: basta rendere l’attacco non redditizio e si può alzare l’asticella della sicurezza in proporzione alla grandezza dell’organizzazione. Tuttavia, se l’aggressore è uno Stato, come nei casi di cyberwar, o ha scopi di sabotaggio, di danno o di generazione di campagne di influenza, la difesa diventa molto più difficile, poiché i modelli di attacco non sono proporzionati ai budget difensivi delle aziende o delle infrastrutture critiche. In questo scenario, diventa quasi impossibile arrivare ad una prevenzione totale, perciò è più corretto e realistico parlare di resilienza, ovvero della capacità di resistere e sopravvivere all’attacco”.

La formazione delle nuove generazioni

Un aspetto cruciale, che riguarda peraltro tutto il settore ICT, è la formazione delle nuove generazioni di esperti. La carenza di figure specializzate è una delle sfide principali e le università hanno il compito di colmare questo divario. Alcune iniziative sono già in campo, come ad esempio la Hackademy, promossa dall’Università Federico II di Napoli in collaborazione con il settore dell’impresa, oppure i progetti dual use, ovvero con finalità civili e militari, nei quali le università lavorano a stretto contatto con enti di difesa per sviluppare simulazioni di attacchi cibernetici e testare metodologie di difesa. Queste collaborazioni permettono di creare una forza lavoro altamente qualificata e pronta a gestire sia le minacce commerciali che quelle legate alla sicurezza nazionale.

Si tratta di esperienze significative, ma c’è ancora molto da fare soprattutto perché la velocità con cui vanno affrontate le minacce richiede tempi rapidi e che ci si metta a correre davvero.