È indiscutibile che la tecnologia sia ormai una parte fondamentale e inestricabile della nostra esistenza quotidiana:per la maggior parte delle persone, il nostro impiego, trasporto, assistenza sanitaria, formazione scolastica, e altre misure di qualità della vita dipendono completamente dalla tecnologia. La nostra dipendenza ha creato un'urgente necessità di sicurezza informatica dinamica che protegga il governo degli Stati Uniti, risorse della ricerca e dell'industria di fronte ai progressi tecnologici e ad avversari sempre più sofisticati.

L'Argonne National Laboratory del Dipartimento dell'Energia degli Stati Uniti (DOE) sta aiutando ad aprire la strada alla ricerca e allo sviluppo di una sicurezza informatica proattiva, comprese le misure che sfruttano l'apprendimento automatico, per aiutare a proteggere i dati e le infrastrutture critiche dagli attacchi informatici.

L'apprendimento automatico è una categoria di intelligenza artificiale che prevede l'addestramento delle macchine per apprendere e identificare continuamente modelli nei set di dati.

"Applicare approcci di apprendimento automatico agli sforzi per la sicurezza informatica ha senso a causa della grande quantità di dati coinvolti, "ha detto Nate Evans, responsabile del programma per la ricerca sulla sicurezza informatica nella divisione Scienze della sicurezza strategica (SSS). "Non è efficiente per gli esseri umani estrarre i dati per questi modelli utilizzando algoritmi tradizionali".

Gli informatici di Argonne sviluppano algoritmi di apprendimento automatico utilizzando grandi set di dati, che comprendono dati di registro da diversi dispositivi, informazioni sul traffico di rete, e istanze di comportamenti dannosi, che consentono agli algoritmi di riconoscere modelli specifici di eventi che portano ad attacchi. Quando tali modelli sono identificati, un team di risposta esamina le istanze che corrispondono a tali modelli.

A seguito di un attacco, il team di risposta corregge la vulnerabilità nei sistemi di protezione dalle intrusioni del laboratorio. L'analisi forense può quindi portare a modifiche che prevengono attacchi futuri simili.

"Stiamo cercando modi per fermare gli attacchi prima che accadano, " ha detto Evans. "Non ci interessa solo proteggere il nostro laboratorio, stiamo anche sviluppando metodi per proteggere altri laboratori nazionali, e il paese nel suo insieme, da potenziali attacchi informatici".

L'approccio di apprendimento automatico consente a un computer di fungere da cacciatore di minacce informatiche, estrarre grandi volumi di dati mentre gli esseri umani sono liberi di concentrarsi sulle minacce a più alto rischio.

Con enormi quantità di dati generati non solo da Argonne ma anche da altri laboratori nazionali e altrove nel DOE, l'analisi richiede supercomputer ad alta velocità, come Theta presso la Leadership Computing Facility di Argonne, una struttura per gli utenti dell'Office of Science del DOE.

"Parliamo di miliardi e miliardi di record al giorno, "Evans ha detto, "e il computer sta identificando dove potrebbe esserci traffico insolito o dannoso."

I ricercatori stanno lavorando per testare i loro metodi di apprendimento automatico anche sui dati del settore privato, ha detto Evans. Tali studi futuri potrebbero produrre conoscenze trasferibili al settore bancario e ad altre infrastrutture critiche degli Stati Uniti, Egli ha detto.

Insegnare ai computer la nostra lingua

Gli scienziati di Argonne stanno usando l'intelligenza artificiale per combattere le minacce alla sicurezza informatica su molti fronti. L'informatico Sandeep Madireddy della Divisione Matematica e Informatica (MCS) di Argonne conduce ricerche per facilitare l'uso sicuro delle applicazioni informatiche:elaboratori di testi, fogli di calcolo, browser web, e simili. Le tecniche di apprendimento automatico possono essere un potente strumento per combattere gli attacchi informatici che sfruttano le vulnerabilità della sicurezza in questi programmi onnipresenti.

L'apprendimento automatico gestisce dati strutturati e non strutturati. I dati strutturati sono organizzati in modelli formali come tabelle che possono essere facilmente inseriti in un modello. I dati non strutturati assumono spesso la forma di testo, un modulo dati molto più sfumato e complesso.

"Per i dati non strutturati, " ha detto Maddieddy, "i nostri ricercatori costruiscono algoritmi che estraggono informazioni dai log di dati in formato testo utilizzando approcci come l'elaborazione del linguaggio naturale, ispirato dai metodi utilizzati nel mondo commerciale per la comprensione del testo."

Con l'elaborazione del linguaggio naturale, sequenze di lettere fungono da input per il modello di apprendimento automatico. Gli algoritmi si basano quindi su modelli linguistici statistici in continuo miglioramento per sviluppare associazioni tra termini e fare previsioni sulla legittimità di determinate comunicazioni.

"Stiamo cercando di estrarre somiglianze tra questi testi, identificare modelli ripetitivi significativi, e classificarli come buoni o cattivi in ​​termini di sicurezza informatica, " ha detto Madireddy. "Vogliamo estrarre le anomalie."

Per esempio, l'elaborazione del linguaggio naturale può aiutare a distinguere le comunicazioni legittime da quelle di phishing, al fine di prevenire una violazione della sicurezza tramite applicazioni di posta elettronica.

Inoltre, I ricercatori di Argonne stanno sviluppando metodi per estrarre dati di serie temporali, dati raccolti in successive, intervalli di tempo noti, per fornire un altro mezzo per rilevare gli attacchi informatici. Quando un sistema viene attaccato, spesso si verifica un improvviso cambiamento comportamentale nei dati delle serie temporali ricevuti dal sistema. I cosiddetti algoritmi di rilevamento del punto di cambiamento possono utilizzare i dati storici e attuali per individuare l'ora esatta in cui si è verificato un cambiamento così drastico.

"Questo ci avvisa di una sorta di comportamento anomalo in modo che possiamo dare un'occhiata più da vicino, ", ha detto Maddieddy.

Mantenimento della sicurezza e della funzionalità

Oltre ai suoi programmi di ricerca sulla sicurezza informatica, Argonne è sede di un Cybersecurity Program Office (CSPO) che utilizza l'apprendimento automatico per proteggere le informazioni digitali del laboratorio. Per esempio, gli informatici di CSPO stanno sviluppando algoritmi di apprendimento automatico per creare un protocollo di protezione delle password più flessibile.

"Vogliamo prevenire falsi positivi per quanto riguarda il rilevamento delle minacce, quindi quando qualcuno accede, ci stiamo allontanando dal rigido protocollo di consentire tre tentativi prima che vengano bloccati, " ha affermato il vicedirettore della sicurezza delle informazioni Matt Kwiatkowski. "Invece, possiamo addestrare i computer ad apprendere modelli di come le persone accedono alle nostre reti, come la loro posizione e l'ora in cui stanno effettuando l'accesso, rendere il protocollo più flessibile per i dipendenti, mantenendo al tempo stesso sicura la rete."

Il Cybersecurity Program Office sta inoltre sviluppando algoritmi di apprendimento automatico come misura di risparmio sui costi. Per esempio, le istituzioni in genere pagano servizi di terze parti per classificare diversi siti Web come informativi, governativo, o sui social. Il team sta cercando di utilizzare l'apprendimento automatico per riconoscere i modelli nelle funzionalità del sito Web al fine di classificarli da soli.

La ricerca sulla sicurezza informatica di Argonne, insieme alla forte cultura della sicurezza delle informazioni dell'organizzazione, mantenere il laboratorio all'avanguardia, ha detto Kwiatkowski.

"I nostri dipendenti riconoscono la necessità di sicurezza, e lo prendono sul serio, " ha detto. "Se una misura di sicurezza ostacola il loro lavoro, cerchiamo di trovare modi creativi per mantenere la sicurezza e la funzionalità. Si tratta di essere reattivi verso le nostre persone, essere adattabili ed esplorare sempre nuovi modi di fare le cose mentre il mondo della sicurezza informatica continua a evolversi rapidamente".

Ogni laboratorio nazionale DOE ha un braccio operativo di sicurezza informatica che si concentra sulla protezione dagli attacchi informatici. Alcuni degli altri laboratori si concentrano sull'analisi delle minacce attuali e sulla loro provenienza, mentre altri si concentrano sulla protezione dell'infrastruttura elettrica della nazione. Argonne è uno dei laboratori nazionali che dispone anche di un solido braccio di ricerca sulla sicurezza informatica.