Il punteggio Common Vulnerability Scoring System (CVSS) assegnato dal National Institute of Standards and Technology (NIST) alle vulnerabilità di sicurezza in futuro sarà deciso da un software di intelligenza artificiale.
Alle vulnerabilità pubblicamente note è assegnato un numero CVE (Common Vulnerabilities and Exposures), per distinguerle in maniera univoca, e un punteggio CVSS che ne indica la gravità.
Tale punteggio viene calcolato prendendo in esame diverse variabili, come ad esempio il livello di privilegi necessario per eseguire l’attacco, o il grado di compromissione dei sistemi. Il sito del NIST ha un calcolatore che consente di ottenere il punteggio a seconda dei parametri inseriti e la pagina su Wikipedia ha una buona spiegazione di tutte le variabili.
Questo calcolo tuttavia prende diverso tempo agli analisti del NIST, da 5 a 10 minuti per le vulnerabilità più semplici da valutare, e molto più tempo per quelle più complesse, come spiega un articolo di Nextgov. Se consideriamo che le vulnerabilità segnalate ogni settimana sono diverse migliaia, si può comprendere come il lavoro svolto dagli analisti umani sia tutt’altro che esiguo. Inoltre, al ritmo esponenziale con cui crescono le tecnologie (software, hardware, sistemi IoT), e di conseguenza il numero di vulnerabilità scoperte e segnalate, mantenere la scalabilità diverrà nel tempo insostenibile.
Per questo motivo il NIST ha iniziato a sperimentare Watson, l’intelligenza artificiale di IBM, per assegnare il punteggio CVSS alle vulnerabilità nel database CVE. Inizialmente il sistema è stato istruito con centinaia di migliaia di punteggi CVSS passati, quindi è stato messo al lavoro (per ora solo internamente) per assegnare i punteggi alle nuove vulnerabilità.
Al NIST hanno riconosciuto che molti dei punteggi assegnati dall’AI erano molto simili rispetto a quelli assegnati dagli analisti umani. Soprattutto in caso di vulnerabilità analoghe a quelle già riscontrate in passato, Watson riesce ad attribuire un punteggio quasi identico a quello calcolato dall’analista, mentre in caso di vulnerabilità molto complesse oppure di nuovo tipo (ad esempio SPECTRE, CVE-2017-5715 e CVE-2017-5753) l’AI ha più difficoltà a comprendere la reale severità del bug. In questi casi interviene un analista.
Al momento l’uso di Watson al NIST fa parte di un esperimento, ma visti i buoni risultati l’istituto vorrebbe iniziare a metterlo in produzione già alla fine di quest’anno, per potergli quindi affidare gran parte del lavoro di assegnazione punteggi CVSS entro ottobre 2019.