Ontologie e sicurezza informatica

In che modo le ontologie possono offrire al mondo una protezione più rapida ed efficace dalle minacce informatiche? Nel post di oggi parliamo di questo e di tanto altro.

Noi di Kaspersky analizziamo regolarmente le nuove tecnologie e cerchiamo di trovare dei modi per applicarle alla cybersecurity. L’ontologia potrebbe non rappresentare un approccio molto popolare in questo momento, ma può accelerare e semplificare numerosi processi. Credo che sia solo una questione di tempo prima che l’uso dell’ontologia prenda piede nella cybersecurity.

Cos’è l’ontologia nei sistemi informativi?

Nella scienza dell’informazione, un’ontologia è una descrizione sistematica di tutti i termini in una specifica area tematica (caratteristiche, attributi e  relazioni). Per esempio, l’ontologia dell’Universo Marvel include i nomi e altri aspetti di tutti i supereroi (superpoteri, armi, punti deboli), i loro livelli di potenza e così via. Un’ontologia può descrivere qualsiasi cosa, dai vini alle reti elettriche.

Usando un linguaggio come il Web Ontology Language (OWL), si possono sviluppare strumenti per analizzare le ontologie e identificare connessioni nascoste e dettagli mancanti o poco chiari. Per esempio, analizzare l’ontologia dell’universo Marvel può aiutare a determinare la migliore squadra di supereroi e il modo più opportuno per sconfiggere un antagonista.

Per questo, così come per attività simili, potremmo usare la piattaforma Protégé, per esempio. Lo scopo di questo software, sviluppato presso l’Università di Stanford, è quello di analizzare i dati biomedici; ora è anche un editor di ontologie gratuito open-source e un framework per costruire sistemi intelligenti e gestire le conoscenze provenienti da qualsiasi campo.

Ontologie VS apprendimento automatico

Gli strumenti per lavorare con le ontologie hanno molto in comune con gli algoritmi di apprendimento automatico, ma con una differenza chiave: i modelli di apprendimento automatico predicono, gli strumenti ontologici deducono.

I modelli di apprendimento automatico analizzano grandi quantità di dati e li usano per fare previsioni su nuovi oggetti. Per esempio, un modello di apprendimento automatico potrebbe esaminare 100 e-mail dannose ed evidenziare le caratteristiche specifiche che condividono. Poi, se il modello riconosce alcune di queste caratteristiche in una nuova e-mail, può determinare se anche il nuovo messaggio potrà essere considerato dannoso.

Un’ontologia può anche avere un ruolo nell’analisi dei dati, ma invece di portare a previsioni, indica informazioni che derivano logicamente dai parametri forniti. Non impara o attinge a esperienze precedenti per analizzare le informazioni. Per esempio, se nell’ontologia indichiamo che l’e-mail A è un’e-mail di phishing e che tutte le e-mail di phishing sono dannose, e poi affermiamo che l’e-mail B è un’e-mail di phishing, l’ontologia concluderà che l’e-mail B è dannosa. Se ci proponiamo di analizzare l’e-mail C ma non forniamo alcuna caratteristica, l’ontologia non trarrà alcuna conclusione.

Le ontologie e l’apprendimento automatico possono completarsi a vicenda. Per esempio, le ontologie possono ottimizzare e accelerare l’elaborazione di modelli di apprendimento automatico. Rendono il processo di addestramento dei modelli molto più facile simulando il ragionamento logico, essendo in grado di classificare e collegare automaticamente le informazioni. L’uso di assiomi ontologici e di regole che descrivono le relazioni tra i concetti fa risparmiare tempo, restringendo la gamma di input per il modello di apprendimento automatico e accelerando la sua capacità di trovare una risposta.

Altri usi delle ontologie nella sicurezza informatica

Le ontologie possono anche aiutare a identificare opportunità nascoste o aree deboli. Per esempio, possiamo analizzare il livello di protezione di un’infrastruttura aziendale nei confronti di una specifica minaccia informatica, come i ransomware. Per farlo, creiamo un’ontologia di potenziali misure anti-ransomware e la applichiamo all’elenco delle misure di sicurezza esistenti nell’azienda.

L’ontologia vi dirà se l’infrastruttura è protetta abbastanza e o se è necessaro apportare miglioramenti. Possiamo usare lo stesso metodo per determinare se un sistema di sicurezza IT soddisfa gli standard IEC, NIST o altri. Questo può anche essere fatto manualmente, ma richiederebbe molto più tempo e i costi lieviterebbero.

Le ontologie rendono anche più facile la vita degli specialisti in sicurezza informatica, che possono comunicare tra di loro nella stessa lingua. L’uso dell’ontologia può migliorare la cybersicurezza, aiutando gli specialisti a contestualizzare i problemi e gli attacchi in cui si sono imbattuti gli altri, il che porta ad elaborare migliori misure di sicurezza. Questo genere di informazioni è utile anche quando gli esperti creano da zero le architetture di sicurezza delle informazioni, offrendo una visione sistematica delle vulnerabilità, degli attacchi e delle connessioni esistenti.

Il concetto stesso può sembrare complicato e astratto, eppure sperimentiamo le ontologie quasi ogni giorno. Considerate le ricerche su Internet, per esempio. Le ontologie sono alla base delle ricerche semantiche, che ci permettono di cercare le risposte alle query reali piuttosto che impantanarci nel significato di ogni singola parola. Questo aumenta notevolmente la qualità dei risultati di ricerca. Pinterest, un social network per la condivisione di immagini, usa tecnologie simili, basandosi sulle ontologie per analizzare le azioni e le reazioni degli utenti, e poi impiegando questi dati per ottimizzare i suggerimenti e la pubblicità mirata.

Quanto descritto riguarda solo alcune idee su come l’uso delle ontologie possa migliorare molti aspetti del business e della tecnologia informatica. A noi di Kaspersky interessano le prospettive dell’ontologia non solo per la sicurezza informatica, ma anche ida un punto di vista più ampio, ovvero in che modo l’ontologia possa offrire importanti opportunità per il business.

Consigli