L’intelligenza artificiale (IA) è uno degli strumenti più all’avanguardia nella corsa agli armamenti per la sicurezza informatica. Oggi i criminali informatici si servono dell’IA per accelerare la frequenza degli attacchi e sferrare campagne quanto mai complesse, in parte grazie all’uso dell’automazione ottimizzata con l’IA.
All’adozione delle tecnologie IA da parte dei nostri avversari fa da contraltare la comparsa di soluzioni di sicurezza informatica fondate sull’IA e concepite per fornire una protezione rapida, accurata ed efficace dagli attacchi informatici. In questo white paper si osserva come WatchGuard utilizzi l’intelligenza artificiale nel suo portafoglio di soluzioni per la sicurezza di rete per automatizzare i processi di sicurezza e aumentare la capacità delle aziende di reagire alle minacce emergenti.
L’intelligenza artificiale nella piattaforma WatchGuard
Gli approcci tradizionali alla protezione si basano quasi totalmente su processi manuali e criteri preconfigurati per bloccare gli attacchi, senza però prevenire la natura in costante evoluzione delle minacce. Firme e criteri diventano obsoleti in breve tempo; se vengono utilizzati da soli, possono creare lacune significative nella sicurezza e sovraccaricare i team con compiti amministrativi, distraendoli dai principali obiettivi aziendali. Non ci si può aspettare che un peggioramento del problema, perché i criminali informatici adottano approcci sempre più sofisticati, come l’impiego dell’intelligenza artificiale, per aggirare i sistemi di sicurezza.
La forza dell’intelligenza artificiale è la capacità di elaborare grandi quantità di dati complessi ed eseguire compiti altamente ripetitivi che normalmente richiederebbero l’impegno di una persona o, più probabilmente, di molte persone. L’automazione di processi generalmente manuali consente ai malintenzionati, in special modo ai criminali informatici, di rendere più mirati gli attacchi ed espanderne la portata, accelerando in modo esponenziale la velocità di creazione di nuovi malware.
L’IA apporta un notevole vantaggio anche a livello di protezione, in quanto consente di risparmiare tempo, correlare più dati, accelerare il processo decisionale, ridurre al minimo l’errore umano e prevedere i trend futuri delle minacce, migliorando nettamente la capacità di garantire protezione.
WatchGuard ha investito molto per integrare l’IA nel proprio portafoglio di soluzioni per la sicurezza di rete, promuovendo lo sviluppo all’interno dell’azienda e stringendo rapporti di partnership con esponenti leader del settore.

IntelligentAV: prevenzione degli attacchi con la protezione predittiva
È stato dimostrato che l’uso di sistemi di IA nel rilevamento del malware consente di prevedere in che modo si presenteranno le minacce future, eliminando così il divario tra il momento del rilevamento e quello di applicazione della difesa.
IntelligentAV, basato su un fondamento di IA di Cylane, utilizza l’intelligenza artificiale per:
- Sviluppare profili di file dannosi e innocui.
- Valutare la potenziale minaccia.
- Bloccare il malware senza firme.
APT Blocker: uso dell’IA per rilevare attacchi molto elusivi
L’IA offre agli aggressori nuovi metodi per evitare il rilevamento da parte dei metodi comportamentali, con la creazione di malware intelligente capace di analizzare un ambiente e restare inattivo fino a quando non colpisce uno specifico obiettivo. Questa situazione diventa un vero problema quando le aziende tentano di rilevare malware che potrebbe avere eluso le difese.
WatchGuard APT Blocker è un innovativo sandbox su cloud che durante il processo di analisi dettagliata sfrutta l’intelligenza artificiale per eseguire un esame completo dei file. Di norma un esame di questo tipo richiederebbe un team di analisti della sicurezza esperti che osservino centinaia di migliaia di caratteristiche comportamentali per stabilire il possibile intento doloso.
PT Blocker, basato sulla piattaforma Lastline, utilizza l’IA con apprendimento automatico durante il processo di
analisi dettagliata per:
- Rilevare malware elusivo incoraggiando la detonazione tramite l’emulazione dell’intero sistema.
- Analizzare il codice inattivo, identificare i relativi attributi e valutarlo prima che venga eseguito.
- Sviluppare livelli base e rilevare le anomalie.
- Determinare se un file è dannoso o innocuo in base a un’analisi finale di modelli di comportamento.
ThreatSync: risposte celeri con triage automatico e classificazione attendibile delle minacce
L’eliminazione tempestiva dei ceppi di malware richiede la capacità di individuare gli indicatori dannosi quando si presentano e di identificare i file associati a tali comportamenti, in modo da poterli mettere in quarantena. Da sempre gli amministratori IT fanno affidamento sull’analisi dei registri per trovare le anomalie potenzialmente indicative dei rischi per la sicurezza. Gli attacchi sono però diventati più complessi e frequenti e questa prassi è sempre più faticosa. Gli strumenti di analisi dei registri e le soluzioni SIEM hanno contribuito a rendere più efficiente il processo, ma sono tecnologie troppo complesse, confondono gli utenti con falsi positivi e sono troppo costose per le organizzazioni più piccole. Pur potendo disporre di tali strumenti, l’analisi dei dati richiede tempo prezioso perché la valutazione di ogni singolo dato è un processo fondamentalmente manuale.
ThreatSync utilizza l’IA per:
- Facilitare il processo di triage delle minacce.
- Accelerare i tempi di risposta.
Quando le minacce vengono identificate, APT Blocker genera subito una valutazione, consentendo a ThreatSync di rispondere automaticamente per isolare l’host infetto, mettere in quarantena i file, eliminare i valori dal registro di sistema e sopprimere i processi dannosi. In sostanza, l’IA interagisce con ThreatSync e APT Blocker per svolgere il ruolo di un analista della sicurezza esperto, 24 ore al giorno, 7 giorni alla settimana, tutti i giorni dell’anno.