Situational Awareness, Artificial Intelligence, cyber security e sistemi adattivi

04/10/21

Nel mondo moderno è sempre più importante prendere decisioni consapevolmente in tempi relativamente brevi. È il caso dei decisori politici di fronte ad una crisi nazionale o dei decisori militari di fronte ad una scelta strategica.

In un mondo sempre più interconnesso ogni decisione, a qualunque livello, può provocare conseguenze indesiderate e causare "danni collaterali" non indifferenti.

Il quinto dominio, il cyberspace, è per sua caratteristica trasversale a tutti gli altri (Terra, Mare, Aria e Spazio) e conseguentemente ogni decisione in questo campo può avere delle ripercussioni in tutti gli altri domini, ecco perché occorre prendere decisioni consapevoli in tempi ristretti ed ecco perché è necessario sviluppare sistemi di cyber situational awareness capaci di supportare i decisori nelle loro scelte, dove per "situational awareness" intendo la percezione dell'ambiente circostante, dei suoi elementi costituenti e degli eventi che vi si verificano e soprattutto la consapevolezza del significato di elementi ed eventi e la capacità di capire i possibili e più probabili stati futuri del sistema, oltre che le possibili variazioni proposte rispetto agli obbiettivi originali in base alla situazione attuale e prospettica aggiornata, oltre alle possibili variazioni proposte rispetto agli obiettivi originali in base alla situazione attuale e prospettica aggiornata.

Lo sviluppo dell'Intelligenza Artificiale sta entrando prepotentemente nel mondo militare e le sue caratteristiche possono farne un utile alleato nello sviluppo di sistemi di cyber situational awareness e in particolare nello sviluppo di sistemi di cyber threat intelligence, entrambi a supporto dei decisori.
L'obiettivo di questo articolo è quello di stimolare la discussione su alcuni temi per consentire il raggiungimento di una migliore comprensione dell'ambiente cyber nel mondo moderno, attraverso la definizione di un possibile strumento di cyber situational awareness.

Se consideriamo l'Intelligence come "il prodotto risultante dalla raccolta, processamento, integrazione, analisi, valutazione ed interpretazione delle informazioni (e dati) disponibili concernenti paesi o regioni straniere, o ancora informazioni e conoscenze su un avversario ottenute attraverso l'osservazione, investigazione, analisi o comprensione" è chiaro che tale definizione si applica senza alcuna differenza anche al dominio cyber.

È chiaro a tutti come l'intelligence possa fornirci degli strumenti per prendere delle decisioni, forse però è meno chiaro che ognuno di noi si fa un'idea della situazione in modo diverso, sulla base dell'esperienza, dei suoi studi, dell'attitudine al rischio, dei suoi pregiudizi e cosi via. In pratica, per ogni realtà esistono tante letture possibili quante sono le persone che la osservano e che in qualche modo vi si basano per prendere delle decisioni.

Già questo dovrebbe essere sufficiente a spingerci ad indagare sulle metodologie e sugli strumenti, in particolare visivi, che possono migliorare la "consapevolezza dell'ambiente cyber" (Cyber Situational Awareness) e agevolare conseguentemente il processo decisionale nelle organizzazioni attive nell'area della valutazione delle minacce (CTI - Cyber Threat Intelligence). 

La Cyber Threat Intelligence consente alle organizzazioni di prevenire o mitigare eventuali cyber-attacks studiando i trend di rischio e fornendo informazioni sugli avversari.

La CTI aiuta nell'identificazione, preparazione, prevenzione, degli attacchi, fornendo informazioni sugli attaccanti, sulla loro organizzazione, sulla motivazione, e sulle loro capacità, preparando le organizzazioni ad essere proattive, sfruttando capacità predittive invece che reattive, per i futuri attacchi.

La comprensione delle vulnerabilità di sicurezza, degli indicatori delle minacce e di come queste sono poste in essere aiuta a combattere efficacemente i cyber-attacchi.

L'impiego di professionisti e di sistemi di cyber intelligence possono contribuire a prevenire e contenere gli attacchi più velocemente, permettendo di risparmiare sui costi in caso di un evento dannoso.

Sistemi di cyber intelligence che integrano sistemi di intelligenza artificiale consentirebbero di migliorare la prontezza nella risposta della organizzazione, velocizzando l'analisi delle minacce e coordinando le risposte in caso di un cyber attacco complesso.

In questo contesto, il concetto di cyber kill chain può probabilmente essere migliorato con l'introduzione di sistemi di AI, e sfruttato in favore dell'ecosistema della cyber defense.

Nell'area dei sistemi di Intelligenza Artificiale sembra che una posizione speciale potrebbe essere riservata ai sistemi di Intelligenza Artificiale Cognitiva (CAI).

Tali sistemi possono essere utilizzati per diversi scopi: 

  • estrazione della conoscenze da un sistema d'informazione integrato; 
  • nei robot di tipo cognitivo probabilistico e nella coordinazione tra sistemi autonomi; 
  • nell'individuazione di problemi di salute umana; 
  • nelle misurazioni elettriche strumentali.

Parte di queste applicazioni sembrano molto promettenti nel settore dell'intelligence sulle minacce informatiche e dei sistemi di difesa informatica in cui un'efficace estrazione della conoscenza da un'enorme mole di dati grezzi o di informazioni poco fruibili è alla base per un'accurata analisi delle minacce.

A ben guardare esistono anche delle analogie tra il controllo dello stato di salute del corpo umano e di un sistema. Ciò fa pensare che i sistemi di CAI possano, in qualche modo, essere impiegati anche nel rilevamento dello stato (di salute) del sistema e utilizzati per rilevare l'infezione da malware.

La visualizzazione è l'ultima, ma non meno importante, preziosa area di ricerca a causa dell'elevata importanza della percezione nei processi decisionali. Naturalmente tutti i sensi possono in qualche modo essere stimolati per migliorare la consapevolezza ed è chiaro da sempre che una situazione di pericolo salta subito all'occhio (ne abbiamo coscienza) se associata ad un allarme sonoro di intensità e frequenza adeguata.

Ci si deve chiedere dunque: in che modo l'Intelligenza Artificiale può migliorare la percezione attraverso la visualizzazione e l'analisi dei modelli?

Il feedback fornito da diversi sistemi potrebbe essere utilizzato per alimentare un sistema di Intelligenza Artificiale incaricato di analizzare, sviluppare e adattare continuamente processi organizzativi, le strutture e il flusso di informazioni, interno ed esterno, (sto parlando di sistemi adattivi) migliorando la struttura generale e i processi e promuovendo la condivisione delle informazioni.

La progettazione e realizzazione di un tale sistema, a partire da uno schema logico di un sistema prototipico della "cyber situational awareness", con l'impiego di tutte le tecnologie sopra indicate costituirebbe un progetto di ricerca ambizioso ma sicuramente importante allo scopo di facilitare le decisioni strategiche in un ambiente altamente complesso.

L'impiego dell'intelligenza artificiale per la produzione di conoscenza e per supervisionare la salute dei sistemi potrebbe rappresentare un grande miglioramento nel settore della Difesa dove l'approccio basato su visualizzazione e "gamification" porteranno alla realizzazione di una nuova generazione di sistemi intelligenti capaci di migliorare la consapevolezza della situazione in supporto ai decisori.

Alessandro Rugolo, Giorgio Giacinto

Bibliografia
- A.Rugolo, Sistemi adattivi e Situational Awareness - Difesa Online;
CyGraph: Cybersecurity Situational Awareness That’s More Scalable, Flexible & Comprehensive - Neo4j Graph Database Platform;
 - M.R Endsley, “Toward a theory of situational awareness in dynamic systems”, Human Factors and Ergonomic Society, 1995; 
- K. Podins, J. Stinissen, M. Maybaum. Towards a Cyber Common Operating Picture. 2013 5th International Conference on Cyber Confict (Eds.) 2013 © NATO CCD COE Publications, Tallinn. 
- Strengthening the EU’s Cyber Defence Capabilities. Report of a CEPS Task Force November 2018. Cybersecurity in the EU Common Security and Defence Policy 
- Challenges and risks for the EU. EPRS - European Parliamentary Research Service Scientific Foresight Unit (STOA) PE 603.175. 
- Manuel Esteve / Israel Pérez / Carlos Palau / Federico Carvajal/ Javier Hingant D. Cyber Common Operational Picture: A Tool for Cyber Hybrid Situational Awareness Improvement. Comunicaciones. Universitat Politècnica de Valencia Camino de Vera S/N, Valencia 46022 SPAIN; 
- S. Royston, C. De Fanti, K. Perlin, "GraphiteVR: A Collaborative Untethered Virtual Reality Environment for Interactive Social Network Visualization", IEEE Scientific Visualization (SciVis) Conference, 2016; 
- Panagiotis Trimintzios, Roger Holfeldt, Mats Koraeus, Baris Uckan, Razvan Gavrila and Georgios Makrodimitris. Report on Cyber Crisis Cooperation and Management. European Union Agency for Network and Information Security. 
- Michael Muckin, Scott C. Fitch Lockheed Martin Corporation. A Threat-Driven Approach to Cyber Security. Methodologies, Practices and Tools to Enable a Functionally Integrated Cyber Security Organization. 2019. 
- Kwasi Mitchell, Joe Mariani, Adam Routh, Akash Keyal, and Alex Mirkow. The future of intelligence analysis A task-level view of the impact of artifcial intelligence on intel analysis. THE DELOITTE CENTER FOR GOVERNMENT INSIGHT. 2019. 
- Richard Horton et al., Automation with intelligence: Reimagining the organization in the ‘Age of With’, Deloitte Insights, September 6, 2019. - Shawn Brimley et al., “Building the future force: Guaranteeing American leadership in a contested environment,” March 29, 2018.