Intelligence: disciplina culturale, o cultura di molte discipline? (2 di 2)

Nella prima parte di questo articolo, a conclusione dello stesso, ho volutamente accennato ai sistemi SIEM (Security Information and Event Management) e IoC (Indicator of Compromise), spiegando che, mentre il primo si occupa di analizzare e gestire gli eventi (le informazioni), il secondo, si occupa di individuare gli indicatori di compromissione. Questi due sistemi, logicamente, richiedono informazioni d’intelligence, e le stesse, una volta analizzate, indicano in fase preventiva un eventuale attacco in corso e  l’affidabilità alla non-penetrazione dei sistemi sensibili informatizzati di banche dati e/o enti governativi da salvaguardare. Questo più ampio scenario, come già scritto, è chiamato Cyber Threat Intelligence.

In parole povere, se in questi termini la vogliamo presentare, la CTI analizza è studia il così detto ‘worst case scenario’, ossia: ‘la peggiore situazione o condizione (scenario) possibile’. Concretizza cioè, il maggior danno che è plausibile subire da un attacco che interessi la cyber security. Quindi, il profiler della sezione Event Management, cerca di rispondere all’interrogativo: ‘quanto male potrebbe fare un cracker che abbia in mano un sistema informatico connesso al world wide web’? Per rispondere correttamente al quesito, all’IoC, viene affiancato IoA (Indicator of Attack); questo perché, da solo, il sistema IoC potrebbe non essere in grado di rilevare un attacco in corso al sistema, se perpetrato senza l’uso di exploit o malaware. In gergo informatico, questo tipo di attacco, viene chiamato exploit zero-day; ed essendo il più subdolo, è quello più difficile da riconoscere.

Ecco del perché, lasciandovi immaginare quanto possa essere dannoso un attacco informatico ad altissimo impatto, negli ultimi anni, il radar di investimenti del comparto intelligence mondiale, ha individuato nella cyber security, il settore più sensibile nel quale investire risorse, strutture, ed unità operative.

Questi investimenti, hanno portato il comparto intelligence, in un piano, ove l’utilizzo delle Intelligenze artificiali e l’emergente quantum intelligence, sono divenute tangibili realtà operative. Nel campo delle elaborazioni statistiche infatti, le intelligenze artificiali applicate a software ed applicazioni DAR (Defence and Response), non fanno altro che elaborare tutti gli scenari di attacco possibili, e determinarne le risposte da attuare. …ma a questo punto, dobbiamo tornare un po’ indietro.

Sempre nel primo articolo, vi scrissi: ‘che alcune tipologie di area operative, sono peculiari di alcuni Stati mondiali rispetto ad altri, e questo dipende molto, non tanto da una deficienza di risorse umane, quanto da una scarsità di quelle strumentali e tecnologiche’.

Tra queste tipologie, che sono, oltre che peculiari, anche ‘prerogative’ di alcuni stati, vi è propriamente la OSInt (Open Source Intelligence). Perché questo?

Perché: ‘la ricerca, raccolta ed analisi di dati e di notizie d’interesse pubblico tratte da fonti aperte (mezzi di comunicazione audio/visivi e stampa, dati pubblici e rapporti di governo o piani finanziari, osservazioni dirette e osservazioni satellitari o fotografiche, conferenze/simposi di professionisti e studiosi, etc)’, gestisce una così corposa massa di informazioni, che coordinarle tutte al meglio, diventa difficilissimo, ed impegna un gran numero di risorse umane e tecnologiche.

Ecco perché, alla OSInt, sono state affiancate delle ‘sorelle minori’ che gestiscono settorialmente queste informazioni, ognuna nella propria e per la propria specificità. E’ superfluo credo, a questo punto, spiegarne del perché.

Un processo d’intelligence all’americana?

Il principio di ogni processo d’intelligence è il ‘side’ (lato). Due sono i side per cui sia possibile iniziare la gestione di una ‘strategia d’intelligence’: l’attacco o la difesa. La prevenzione, è una fase propedeutica. Al ciò, il reperimento delle informazioni, sarà destinato per la gestione di un attacco da pianificare, o per difendersi da un eventuale minaccia d’attacco; e quindi l’obiettivo del ‘side’.

Una volta stabilito l’obiettivo per il quale si sta predisponendo il reperimento d’informazioni, c’è la pianificazione logistica di quali risorse e strumenti utilizzare per la loro acquisizione. Una volta acquisite le informazioni ricercate, bisogna verificarne l’attendibilità e la veridicità, e queste sono analisi molto complesse. Spesso, oltre le fake news, s’incorre nell’analisi di notizie di ‘propaganda’ informativa e/o dis-informativa, ove in tal caso, bisognerà ponderare se operare ed impiegare, anche strumenti di CI (Counter intelligence) contro-spionaggio.  A questo punto, nell’analisi della veridicità informazioni, entra a gamba tesa nella gestione informativa, la variabile umana, e non solo intesa come HUMInt, ma quale alternativa e/o cooperativa ad una AI (Artificial Intelligence); quale infatti è da ritenersi più affidabile?

…’ritengo che, nessuna attuale tecnologia informatizzata disponibile, sia in grado di sostituire la componente d’intelligence umana’. La HUMInt, non solo dispone dell’operatività dell’uomo, ma oltre a quella intellettiva e ragionata, possiede di serie, delle capacità e delle peculiarità fisiologiche, che nei SIEM-AI non sono nemmeno previsti come optional: istinto, esperienza ed etica reattiva.  

In ultima fase, vi è l’azione. Il decisorio politico, deciderà quale sia la più coerente ed efficace a garantire la Sicurezza Nazionale.

Tra l’obiettivo e la risposta delle analisi oggetto della ricerca però, ci sono altri valori da considerare, ovvero, se la strategia è finalizzata al DAD (Deterrence and Defence), al DAR (Defence and Reply) o al BFA (Brute Force Attack). La loro differenza strategica sostanziale, è l’indice della valutazione del rischio dell’obbiettivo. Come gli acronimi stessi le identificano, avremo, ad un estremo, una strategia molto difensiva e di deterrenza (che non prevede un immediato intervento attivo); una intermedia, senza alcuna deterrenza, ma di esclusiva difesa e successivo attacco (che prevede una reazione pianificata ad una prima azione di difesa), ed infine, all’altro estremo, avremo una strategia puramente attiva, d’attacco, che solitamente prevede un’azione risolutiva e quasi sempre non più ripetibile. In ultima, ma non meno plausibile, è quella del Drafting an Effective Reply and Answer (DaERaA), ossia: 'ove un’azione d’intelligence, venisse per errore resa pubblica o scoperta, qualsiasi sia il punto del processo nel quale la stessa è diventata di dominio pubblico, (come specifica lo stesso acronimo), si cercherà di spostare la risposta di dominio pubblico, de-focalizzandone il più possibile l’impatto sui media, trasformandola in domanda, e quindi, di contenere i danni collaterali, declassificando l’operazione stessa o propagandandola come fake’.

Ma a questo, chi ci pensa?

L’analisi delle informazioni, delle strategie, della gestione e pianificazione d’intelligence, sono processi che potremmo certamente definire, ancora oggi, ibridazioni (man to machine) uomo-macchina. I processi cibernetici d’intelligence invece, prevedono solo interazioni (machine to machine) macchina-macchina. Qual è la loro sostanziale differenza? I processi machine to machine, si sviluppano attraverso l’esclusiva interazione tra due intelligenze artificiali, che attualizzando i due distinti ‘side’, nel quale uno sarà il Virtual Machine Attacker, e l’altro il Virtual Machine Victim, elaboreranno azioni, risposte e reazioni gli uni verso l’altro, analizzandone statisticamente i risultati, dati ed effetti. Cercheranno ognuno per se, di raggiungere il proprio obiettivo, qualsiasi sia lo scenario di computazione. Altresì, nei processi man to machine, le simulazioni, avverranno sostituendo una volta per lato, la posizione nella quale interagisce l’uomo rispetto la Virtual Machine.

Questo interrogativo, nasce da quello che, verso un’analisi futuristica, il comparto intelligence, per come già anticipatovi, sta approntando in collaborazione con le agenzie che si occupano di aero-spazio e di fisica quantistica, anche nello sviluppo delle intelligenze artificiali generali o ‘forti’; effettuando così di fatto, un upgrade anche strutturale ed ideologico delle attuali intelligenze artificiali deboli. Sostanzialmente, mentre quelle deboli si limitano ad effettuare calcoli, analisi, e decidere le azioni da attuare (semplicemente secondo la tecnica di apprendimento automatico machine learning), riferendosi quindi, esclusivamente a sistemi progettati per risolvere problemi specifici noti a priori, ma dai quali non si ha alcuna pretesa di replicare il funzionamento del cervello umano, nel caso dell’intelligenza artificiale forte si fa, invece, riferimento a sistemi in grado di comportarsi in maniera del tutto autonoma, a prescindere dal contesto e dal compito loro assegnato. Rispetto quindi all’IA debole o ristretta, viene meno il nesso tra problema da risolvere e la soluzione prospettata; e perciò, non si procede più all’elaborazione ‘caso per caso’, ma attraverso delle tecniche di reti neuronali profonde che, simulando le connessioni dei neuroni celebrali, sviluppano non più un apprendimento di machine learning ma di deep learning. Perciò, l'unica risposta verosimile che potremmo fornire alla domanda che ci siam posti sopra, solo il 'tempo' potrà darcela; ma nel frattempo, possiamo sempre operare d'intelligence.

…’di gran lunga, il più grande pericolo dell’intelligenza artificiale è che le persone concludano troppo presto di averla compresa’ - Elizier Yudkowsky.

Fine parte seconda

Emilio FERRARA