Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics

Questo articolo presenta un nuovo framework basato sull'elaborazione del linguaggio naturale e su un modello di intelligenza artificiale ottimizzato che, attraverso il "Cyber Catalog", automatizza il collegamento tra incidenti informatici, tecniche MITRE ATT&CK, controlli di sicurezza CIS e metriche misurabili, offrendo alle organizzazioni, in particolare quelle con risorse limitate, uno strumento pratico per una gestione del rischio e una risposta agli incidenti più efficace e basata su evidenze.

L'essenziale

Immagina di essere il responsabile della sicurezza di una piccola azienda. Un giorno, il tuo sistema di allarme suona: qualcuno ha tentato di entrare. Ma invece di un semplice "allarme", hai davanti un rapporto scritto in un linguaggio complicatissimo, pieno di termini tecnici che sembrano una lingua aliena.

Il tuo compito? Capire chi è l'attaccante, come ha fatto, e cosa devi fare per bloccarlo. Il problema è che le piccole aziende spesso non hanno esperti di sicurezza che parlano questa "lingua aliena" o il tempo per leggere centinaia di pagine di rapporti.

Questo articolo scientifico parla di come l'Intelligenza Artificiale (AI) può risolvere esattamente questo caos, trasformando il caos in un piano d'azione chiaro e misurabile. Ecco la spiegazione semplice, con qualche metafora per rendere tutto più chiaro.

1. Il Problema: Il "Muro di Babel" della Sicurezza

Attualmente, ci sono tre mondi separati che non parlano tra loro:

• I Rapporti degli Attacchi: Descrizioni disordinate di cosa è successo (es. "Hackerato il server").
• La "Bibbia" degli Attaccanti (MITRE ATT&CK): Un enorme catalogo che descrive ogni possibile trucco che un hacker può usare (come un dizionario di tutti i modi per scassinare una serratura).
• Le Regole di Difesa (CIS Controls): Una lista di cose da fare per proteggersi (es. "Installa un antivirus", "Cambia le password").

L'analogia: Immagina di avere un libro di ricette (gli attacchi), un manuale di cucina (le difese) e un elenco di ingredienti (i controlli). Ma non c'è nessuno che ti dica: "Se vuoi fare la torta (difesa), devi usare questo ingrediente specifico perché qualcuno ha provato a rubarti la torta con questo metodo specifico (attacco)". Le aziende, specialmente quelle piccole, devono fare questo collegamento a mano, perdendo ore e commettendo errori.

2. La Soluzione: Il "Catalogo Cyber" (Il Grande Traduttore)

Gli autori hanno creato qualcosa chiamato "Cyber Catalog".
Pensa a questo catalogo come a un traduttore universale magico o a un ponte sospeso che collega direttamente i tre mondi separati.

• Prende la descrizione confusa di un attacco.
• La traduce immediatamente nel "linguaggio degli hacker" (MITRE ATT&CK).
• Ti dice esattamente quale "trucco" usare per difenderti (CIS Controls).
• Ti dà una misura precisa (una metrica) per dire: "Hai fatto un buon lavoro? Sì, perché il rischio è sceso del 20%".

3. Come l'AI ha imparato a fare questo lavoro

Per costruire questo traduttore, gli scienziati non hanno solo dato all'AI un libro di testo. Hanno fatto un allenamento speciale, come un allenatore di calcio che prepara una squadra per il mondiale.

• Il Dilemma dei Dati: Non c'erano abbastanza esempi reali di attacchi per insegnare all'AI.
  • La soluzione: Hanno usato un'altra AI (una molto potente, come GPT-5) per inventare migliaia di nuovi scenari di attacco che sembravano reali ma erano diversi nei dettagli (nomi di città, date, nomi di aziende). È come se un allenatore facesse giocare alla squadra contro avversari finti ma realistici, per prepararla a qualsiasi situazione.
• L'Allenamento Intenso: Hanno preso un modello AI generico (che sa parlare bene in generale) e lo hanno "specializzato" solo sulla cybersecurity.
  • Il trucco: Hanno insegnato all'AI a distinguere le differenze sottili. Se due attacchi sembrano simili ma sono diversi, l'AI deve capire la differenza. Hanno usato una tecnica chiamata "Hard Negative Mining", che è come dire all'AI: "Attenzione! Questi due casi sembrano uguali, ma in realtà sono diversi. Non confonderli!".

4. I Risultati: Da "Buono" a "Eccellente"

Prima di questo studio, le AI generiche facevano un lavoro "accettabile" (circa il 60% di precisione nel collegare le cose).
Dopo l'allenamento speciale:

• L'AI è diventata molto più precisa (quasi l'80% di correlazione perfetta).
• Ha commesso molto meno errori.
• È diventata più veloce e affidabile.

L'analogia finale:
Immagina che prima, per capire un attacco, dovessi chiamare un esperto che ti rispondesse dopo 3 giorni. Ora, hai un assistente AI che legge il rapporto in 1 secondo, ti dice: "Ehi, questo è un attacco tipo 'Furto di Chiavi', quindi devi attivare subito il 'Lucchetto Biometrico' (Controllo CIS)", e ti mostra un grafico che dice: "Se lo fai, riduci il rischio del 90%".

Perché è importante per tutti?

Questo lavoro è una manna per le piccole e medie imprese (PMI).
Non devono più spendere milioni per assumere team di esperti di sicurezza. Possono usare questo strumento per:

1. Risparmiare tempo: Non perdono ore a leggere documenti incomprensibili.
2. Spendere meglio: Sanno esattamente quali difese comprare per il problema che hanno davvero.
3. Dimostrare valore: Possono mostrare ai loro dirigenti o assicuratori dati concreti su quanto sono sicuri, non solo "speranze".

In sintesi, gli autori hanno creato un ponte digitale che trasforma la paura degli hacker in un piano di difesa chiaro, misurabile e automatico, rendendo il mondo digitale un posto più sicuro anche per chi ha poche risorse.

Sommario tecnico

Titolo: Operazionalizzazione della Gestione del Rischio Cyber tramite AI: Collegamento di Incidenti Cyber alle Tecniche MITRE ATT&CK, Controlli di Sicurezza e Metriche

1. Il Problema

Il panorama delle minacce informatiche è caratterizzato da un aumento senza precedenti nella frequenza e nella sofisticazione degli attacchi. Le organizzazioni, in particolare le Piccole e Medie Imprese (PMI), affrontano sfide critiche dovute alla mancanza di risorse finanziarie, competenze tecniche interne e personale qualificato.
I principali colli di bottiglia operativi identificati sono:

• Analisi manuale: I processi tradizionali di analisi degli incidenti richiedono un enorme dispendio di tempo per trasformare descrizioni di incidenti non strutturati in classificazioni tecniche strutturate (es. MITRE ATT&CK).
• Disconnessione dei framework: Esiste una frammentazione tra l'intelligence sulle minacce (ATT&CK), i controlli difensivi (es. CIS Critical Security Controls) e le metriche di valutazione. Collegare manualmente un incidente a una tecnica e poi a un controllo specifico richiede una competenza trasversale rara.
• Mancanza di metriche oggettive: La valutazione dell'efficacia dei controlli di sicurezza si basa spesso su giudizi soggettivi piuttosto che su dati quantificabili, rendendo difficile dimostrare il ritorno sull'investimento (ROI) o la conformità normativa.
• Scalabilità: I processi manuali non riescono a scalare con il volume crescente degli incidenti, creando ritardi e lacune nella copertura.

2. Metodologia

Gli autori hanno sviluppato un framework end-to-end composto da cinque fasi principali:

A. Sviluppo del "Cyber Catalog"
È stata creata una base di conoscenza unificata che integra tre livelli:

1. Livello Fondamentale: I 18 CIS Critical Security Controls (v8) e i relativi 153 "Safeguards".
2. Livello di Minaccia: Le tecniche MITRE ATT&CK, mappate bidirezionalmente ai controlli CIS.
3. Livello di Metrica: Ogni controllo è associato a metriche quantificabili che rispettano i criteri SMART (Specifiche, Misurabili, Raggiungibili, Rilevanti, Temporalmente definite), permettendo una valutazione oggettiva dell'efficacia.
   Il catalogo è stato reso disponibile in formato CSV strutturato per facilitare l'automazione.

B. Preparazione dei Dati di Addestramento

• Dataset Base: Utilizzo di 762 coppie "incidente-tecnica" annotate manualmente da esperti, estratte dal database EuRepoC.
• Augmentation Sintetica: Per superare la scarsità di dati, è stato utilizzato un modello LLM (GPT-5) per generare 100 varianti semantiche diverse per ogni incidente originale, ottenendo 76.200 esempi.
• Qualità e Filtraggio: I dati sintetici sono stati filtrati utilizzando BERTScore (soglia F1 > 0.75) per garantire la fedeltà semantica rispetto agli incidenti originali. Il dataset finale contiene 74.986 coppie ad alta qualità.
• Hard Negative Mining: Per gestire il problema delle relazioni "uno-a-molti" (più incidenti per una stessa tecnica), è stata implementata una strategia di hard negative mining tramite GPT-5. Questo processo identifica tecniche semanticamente simili ma distinte per forzare il modello a imparare discriminazioni fini.

C. Architettura del Modello e Addestramento

• Modello Base: È stato selezionato all-mpnet-base-v2, un sentence-transformer noto per la sua capacità di catturare il significato contestuale.
• Funzione di Loss Modificata: È stata utilizzata una versione modificata della MultipleNegativesRankingLoss (MNRL). Per evitare falsi negativi causati dalla presenza di più esempi positivi con la stessa etichetta nello stesso batch, è stato implementato un NoDuplicatesDataLoader (approccio "duplicate-aware").
• Configurazione: Addestramento su 10 epoche con un learning rate di $2 \times 10^{-5}$ e batch size di 16, utilizzando PyTorch e la libreria Sentence-Transformers.

3. Contributi Chiave

1. Cyber Catalog: Una risorsa di conoscenza pubblica che colma il divario tra intelligence sulle minacce, controlli difensivi e metriche misurabili, permettendo alle organizzazioni di collegare direttamente le minacce alle azioni difensive.
2. Pipeline di Dati di Alta Qualità: Un approccio rigoroso per la creazione di dati di addestramento sintetici, validati tramite BERTScore e arricchiti con hard negative mining per gestire le complessità delle mappature cybersecurity.
3. Modello Fine-Tuned (ft_mpnet_v6): Dimostrazione che il fine-tuning di un modello transformer generico su dati specifici del dominio cyber porta a miglioramenti sostanziali rispetto ai modelli base, rendendo possibile la mappatura automatizzata su larga scala.
4. Open Source: La disponibilità pubblica del catalogo, del dataset di addestramento, del modello addestrato e del codice di implementazione per favorire la ricerca e il deployment pratico.

4. Risultati

Il modello fine-tuned (ft_mpnet_v6) ha superato significativamente i modelli baseline (inclusi all-distilroberta-v1 e all-MiniLM-L12-v2):

• Correlazione di Spearman ($\rho$): Il modello ha raggiunto 0.7894, superando la soglia di "correlazione molto forte" (>0.7). Questo rappresenta un miglioramento di circa +0.21 rispetto ai baseline (che si attestavano intorno a 0.56-0.59).
• Correlazione di Pearson: 0.8756, indicando una forte relazione lineare tra i punteggi previsti e quelli reali.
• Errori di Predizione:
  • MAE (Mean Absolute Error): 0.1352 (riduzione del ~67% rispetto ai baseline).
  • MSE (Mean Squared Error): 0.0272 (riduzione drastica rispetto ai valori di 0.24-0.33 dei baseline).
• Distribuzione degli Errori: L'analisi ha mostrato che il modello proposto ha una distribuzione degli errori molto più stretta e concentrata vicino allo zero, indicando una maggiore stabilità e affidabilità rispetto ai modelli generici, che mostrano una probabilità non trascurabile di errori gravi.

5. Significato e Impatto

Questo lavoro offre un contributo fondamentale alla gestione del rischio cyber:

• Automazione e Velocità: Riduce drasticamente il tempo necessario per il triage degli incidenti, permettendo agli analisti di classificare rapidamente le minacce e collegarle ai controlli di sicurezza appropriati.
• Decisioni Basate sui Dati: Fornisce alle organizzazioni, specialmente alle PMI con risorse limitate, strumenti per passare da valutazioni soggettive a metriche oggettive e quantificabili (SMART).
• Gestione Proattiva del Rischio: Consente di identificare lacune nella postura di sicurezza mappando gli incidenti ricorrenti su tecniche per le quali i controlli non sono implementati.
• Scalabilità: Il framework è progettato per essere integrato in piattaforme di orchestrazione della sicurezza (SOAR) o sistemi di rilevamento delle intrusioni, supportando una difesa dinamica e informata dalle minacce.

In conclusione, la ricerca dimostra che l'uso di NLP avanzato e tecniche di apprendimento profondo specifiche per il dominio può trasformare la gestione della sicurezza informatica da un processo manuale e reattivo a uno automatizzato, scalabile e basato su evidenze.