Sarà un’intelligenza artificiale a decidere la gravità dei bug di sicurezza

Il punteggio Common Vulnerability Scoring System (CVSS) assegnato dal National Institute of Standards and Technology (NIST) alle vulnerabilità di sicurezza in futuro sarà deciso da un software di intelligenza artificiale.

Alle vulnerabilità pubblicamente note è assegnato un numero CVE (Common Vulnerabilities and Exposures), per distinguerle in maniera univoca, e un punteggio CVSS che ne indica la gravità.

Tale punteggio viene calcolato prendendo in esame diverse variabili, come ad esempio il livello di privilegi necessario per eseguire l’attacco, o il grado di compromissione dei sistemi. Il sito del NIST ha un calcolatore che consente di ottenere il punteggio a seconda dei parametri inseriti e la pagina su Wikipedia ha una buona spiegazione di tutte le variabili.

Questo calcolo tuttavia prende diverso tempo agli analisti del NIST, da 5 a 10 minuti per le vulnerabilità più semplici da valutare, e molto più tempo per quelle più complesse, come spiega un articolo di Nextgov. Se consideriamo che le vulnerabilità segnalate ogni settimana sono diverse migliaia, si può comprendere come il lavoro svolto dagli analisti umani sia tutt’altro che esiguo. Inoltre, al ritmo esponenziale con cui crescono le tecnologie (software, hardware, sistemi IoT), e di conseguenza il numero di vulnerabilità scoperte e segnalate, mantenere la scalabilità diverrà nel tempo insostenibile.

Per questo motivo il NIST ha iniziato a sperimentare Watson, l’intelligenza artificiale di IBM, per assegnare il punteggio CVSS alle vulnerabilità nel database CVE. Inizialmente il sistema è stato istruito con centinaia di migliaia di punteggi CVSS passati, quindi è stato messo al lavoro (per ora solo internamente) per assegnare i punteggi alle nuove vulnerabilità.

Al NIST hanno riconosciuto che molti dei punteggi assegnati dall’AI erano molto simili rispetto a quelli assegnati dagli analisti umani. Soprattutto in caso di vulnerabilità analoghe a quelle già riscontrate in passato, Watson riesce ad attribuire un punteggio quasi identico a quello calcolato dall’analista, mentre in caso di vulnerabilità molto complesse oppure di nuovo tipo (ad esempio SPECTRE, CVE-2017-5715 e CVE-2017-5753) l’AI ha più difficoltà a comprendere la reale severità del bug. In questi casi interviene un analista.

Al momento l’uso di Watson al NIST fa parte di un esperimento, ma visti i buoni risultati l’istituto vorrebbe iniziare a metterlo in produzione già alla fine di quest’anno, per potergli quindi affidare gran parte del lavoro di assegnazione punteggi CVSS entro ottobre 2019.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.