SophosAI compie un ulteriore passo avanti verso procedure e linguaggio che trasformeranno l'industria della sicurezza informatica in un’ottica di sempre maggiore trasparenza e apertura

Milano — Dicembre 18, 2020 —

Sophos, leader globale nella sicurezza informatica di ultima generazione, ha annunciato quattro nuovi sviluppi di Intelligenza Artificiale (AI) aperta per contribuire ad ampliare e affinare le difese contro i cyberattacchi, tra cui dataset, strumenti e metodologie progettati per migliorare la collaborazione del settore e l'innovazione.

Queste importanti innovazioni supportano il principale obiettivo di Sophos, ovvero rendere sempre più open le proprie scoperte nel campo della scienza dei dati e incentivando la trasparenza nell’utilizzo di IA nel campo della sicurezza informatica, il tutto con lo scopo di continuare a proteggere le aziende da ogni forma di attacco informatico.

Mentre in altri ambiti è prassi comune condividere le metodologie e i risultati dell'IA non è lo stesso per quanto riguarda la sicurezza informatica, e ciò rende difficile comprendere appieno come l'IA possa effettivamente fornire protezione contro le minacce informatiche.

Sophos e il suo team di data scientist SophosAI stanno indirizzando questo cambiamento verso una maggiore apertura, in modo che gli IT manager, i security analyst, i CFO, i CEO e gli altri responsabili aziendali possano discutere e valutare i vantaggi dell'IA avendo tutte le informazioni a propria disposizione.

"Con la nuova iniziativa di SophosAI, possiamo contribuire a influenzare il modo in cui l'IA è posizionata e discussa nell’ambito della sicurezza informatica. Al giorno d’oggi il numero sempre crescente di affermazioni dicordanti sulle capacità o sull'efficacia dell'IA rende difficile o addirittura impossibile per gli utenti comprenderle o convalidarle. Questo porta allo scetticismo da parte dei clienti, creando una resistenza al progresso, proprio nel momento in cui stiamo iniziando a ottenere grandi risultati", ha dichiarato Joe Levy, chief technology officer di Sophos. "Tentare di correggere questa situazione attraverso l’adozione di standard o di regolamentazioni esterne non sarebbe abbastanza rapido. Ciò che serve è un cambiamento radicale all'interno della nostra comunità per produrre un insieme di pratiche e un linguaggio che faccia progredire il settore in modo efficace, aperto e trasparente".

Quanto appurato da Sophos dimostra che i responsabili della sicurezza si trovano sempre più spesso ad affrontare avversari che alzano costantemente il tiro, lanciando campagne di falsificazione di Business Email Compromise (BEC) altamente efficaci o sviluppando incessantemente nuove tipologie di attacchi ransomware.

Difese scalabili ed efficaci contro questi e la maggior parte degli altri tipi di cyberattacchi richiedono il supporto dell'IA. L'apertura e la valutazione paritaria tra coloro che utilizzano l'IA per affrontare queste minacce rappresentano uno stimolo all'innovazione e alla ricerca, consentendo all'intero settore di progredire.

Di seguito le quattro aree principali di cui Sophos fornisce dataset, strumenti e metodologie:

Dataset SOREL-20M per accelerare la ricerca sul rilevamento di malware

SOREL-20M, un progetto congiunto tra SophosAI e ReversingLabs, è un dataset production-scale contenente metadati, etichette e caratteristiche per 20 milioni di file Windows Portable Executable (PE). Ciò comprende 10 milioni di campioni di malware, precedentemente resi innocui, disponibili per il download al fine di supportare l’analisi delle funzionalità e migliorare così la sicurezza in tutto il settore. Questo è il primo dataset su scala di produzione sulla ricerca di un malware disponibile al pubblico, che include un set di campioni organizzari ed etichettati e metadati importanti per la sicurezza.

Metodo di Impersonation Protection per mezzo dell’AI

L'Impersonation Protection di SophosAI è stato progettato per proteggere dagli attacchi di spearphishing via e-mail. Questo metodo vede gli aggressori impersonare persone conosciute per indurre le vittime a compiere azioni dannose a vantaggio dell’aggressore. La nuova protezione confronta il nome visualizzato delle e-mail in entrata con quello del top management aziendale, ovvero quelli che con maggiore probabilità sono stati falsificati in un attacco di spearphishing, come ad esempio un CEO o un CFO. I messaggi vengono segnalati se appaiono sospetti. Sophos ha adattato le potenzialità dell’IA grazie all’utilizzo di un ampio campione di milioni di email di attacco conosciute. SophosAI ha reso pubblico questo nuovo metodo innovativo di protezione, di cui ha anche discusso in occasione di Defcon 28 e in un articolo di Arxiv.

Epidemiologia digitale per determinare malware ignoti

SophosAI ha messo a punto anche una serie di modelli statistici ispirati all'epidemiologia per stimare la diffusione totale delle infezioni da malware. Ciò consente a SOPHOS di stimare - e dunque identificare più facilmente- gli aghi in un pagliaio di file PE. SophosAI è stata pioniera e ha reso pubblicamente disponibile questa metodologia che consente di aiutare a determinare la "materia oscura" dannosa, il malware che potrebbe non essere rilevato o classificato erroneamente e il "malware futuro" che è ancora in fase di sviluppo da parte degli aggressori. Il modello è stato progettato per poter essere utilizzato anche per altre classi di file e artefatti del sistema informativo, ed è stato presentato all’interno del nuovo Sophos 2021 Threat Report.

Strumenti per la Signature Generation YaraML

La Signature Generation per il rilevamento di famiglie di malware è un processo manuale  complesso. Nel corso degli anni, i ricercatori hanno proposto una varietà di metodi per la generazione automatica delle firme, la maggior parte delle quali non ha trovato riscontro positivo in quanto sottoperformano con i metodi manuali. SophosAI ha sviluppato un nuovo metodo per la generazione automatica delle firme, chiamato YaraML, che si differenzia notevolmente dalle opzioni precedenti in quanto adotta un approccio al problema basato sull'IA.

SophosAI "compila" direttamente dei veri e propri modelli di machine learning ad uso indistriale  come quelli utilizzati nelle soluzioni di sicurezza a scopo commerciale permettendo essenzialmente all'IA di "scrivere" le firme. Questo si dimostra molto più efficace degli approcci precedenti e rappresenta una vera svolta per la comunità della sicurezza. SophosAI ha reso YaraML open-sourced.

Queste novità sono frutto della ricerca di SophosAI, che opera come promotore di start-up, ma con le risorse intellettuali di un'azienda globale da quasi un miliardo di dollari, tra cui SophosLabsSophos Managed Threat Response e centinaia di migliaia di clienti.

Un ulteriore vantaggio di SophosAI è che può integrare le nuove tecnologie direttamente nei prodotti in uscita, e ciò consente a Sophos di reagire rapidamente alle esigenze del mercato, di prevedere dove il settore deve dirigersi e di far progredire l'apertura per una maggiore collaborazione e innovazione nel settore della sicurezza informatica, il che è essenziale quando si sviluppano difese per fronteggiare avversari in continua evoluzione.

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.