Con l'avvicinarsi della fine del 2024, l'entusiasmo per l'intelligenza artificiale sembra avvicinarsi all'inevitabile fase di disillusione. L'entusiasmo iniziale che circondava il potenziale dell'intelligenza artificiale nella sicurezza informatica sta rallentando, poiché il settore si ferma a valutare i costi dell'intelligenza artificiale rispetto al valore effettivo fornito. In questo blog, gli esperti di Vectra AI le loro previsioni per il 2025, sottolineando gli aspetti che tutti i team di sicurezza, i CISO e i responsabili SOC dovrebbero tenere a mente all'inizio del nuovo anno.
L'ascesa dell'IA autonoma mentre i copiloti IA perdono slancio
Oliver Tavakoli, Chief Technology Officer, prevede che l'entusiasmo iniziale suscitato dai copiloti di sicurezza inizierà a diminuire man mano che le organizzazioni valuteranno i costi rispetto al valore effettivo fornito. Di conseguenza, assisteremo a un cambiamento di prospettiva verso sistemi di IA più autonomi.
A differenza dei copiloti AI, queste soluzioni autonome sono progettate per funzionare in modo indipendente, richiedendo un intervento umano minimo. A partire dal prossimo anno, le iniziative di marketing metteranno sempre più in evidenza questi modelli AI autonomi come la prossima frontiera nella sicurezza informatica, promuovendo la loro capacità di rilevare, rispondere e persino mitigare le minacce in tempo reale, il tutto senza alcun intervento umano.
Distinguished AI Researcher Kazerounian concorda, affermando che, con il declino dell'entusiasmo per la GenAI, nel 2025 il settore della sicurezza rivolgerà la propria attenzione ai modelli di IA agentica come mezzo principale per creare sistemi di IA robusti e di livello produttivo, pronti per essere sottoposti al vaglio dei clienti. A differenza dei primi approcci al lavoro con i modelli linguistici di grandi dimensioni (LLM), gli approcci agentici faranno sempre più uso di "agenti" LLM che sono stati istruiti, messi a punto e dotati di accesso solo agli strumenti necessari per raggiungere un obiettivo ben definito e specifico, piuttosto che essere incaricati di una missione completa end-to-end.
Tuttavia, non dovremmo antropomorfizzare eccessivamente questi agenti. Pensate a dare istruzioni a una persona affinché risolva un compito complesso in un unico passaggio, senza suddividerlo in nessuna delle sotto-attività necessarie per realizzarlo. Il modello agentico, invece, suddivide gli obiettivi di alto livello in sotto-attività ben definite e definisce e dota i singoli agenti della capacità di eseguire ciascuno di questi sotto-obiettivi. Consentendo agli agenti di interagire, esaminarsi a vicenda e così via, essi possono collaborare tra loro in modo da migliorare in ultima analisi l'accuratezza e la robustezza dei modelli di IA generativa.
Gli hacker diventeranno più sofisticati grazie all'intelligenza artificiale e sfrutteranno i chatbot GenAI
Non saranno solo i difensori a diventare più sofisticati grazie all'IA. Chief Technology Officer Wade prevede che nel 2025 inizieremo a vedere emergere una chiara distinzione tra i gruppi che applicano l'IA in modo magistrale e quelli che la adottano in modo più semplicistico. Gli aggressori che sfruttano abilmente l'IA saranno in grado di coprire più terreno più rapidamente, adattare meglio i loro attacchi, prevedere le misure difensive e sfruttare i punti deboli in modo altamente adattivo e preciso.
Sharat Nautiyal, direttore dell'ingegneria della sicurezza per APJ, prevede che entro il 2025 gli autori delle minacce sfrutteranno l'intelligenza artificiale per ottenere l'accesso iniziale attraverso tattiche come i deepfake e phishing sofisticato. Sebbene l'intelligenza artificiale sia in continua evoluzione, i comportamenti fondamentali degli aggressori, come stabilire un punto d'appoggio e creare un tunnel di comando e controllo, abusare dell'identità e muoversi lateralmente, persisteranno.
Kazerounian ritiene che nel 2025 i chatbot GenAI causeranno violazioni dei dati di alto profilo. Afferma che sentiremo parlare di numerosi casi in cui gli autori delle minacce inganneranno una soluzione Gen AI aziendale per ottenere informazioni sensibili e causare violazioni dei dati di alto profilo. Molte aziende utilizzano Gen AI per creare chatbot rivolti ai clienti al fine di fornire assistenza in ogni ambito, dalle prenotazioni al servizio clienti. Infatti, per essere utili, gli LLM devono avere accesso alle informazioni e ai sistemi per rispondere alle domande e intraprendere azioni che altrimenti sarebbero state assegnate a un essere umano. Come per qualsiasi nuova tecnologia, assisteremo a numerose aziende che concederanno agli LLM l'accesso a enormi quantità di dati potenzialmente sensibili, senza adeguate considerazioni di sicurezza.
A causa dei mezzi apparentemente semplici e umani con cui possiamo "istruire" gli LLM (cioè il linguaggio naturale), molte organizzazioni trascurano i vari modi in cui gli aggressori possono effettuare il jailbreak di una chat per indurre tali sistemi a comportarsi in modi non previsti. A complicare le cose, questi tipi di jailbreak potrebbero essere sconosciuti ai professionisti della sicurezza che non hanno tenuto il passo con la tecnologia LLM. Ad esempio, le violazioni possono verificarsi a seguito di interazioni apparentemente disparate, come quando gli utenti chiedono a un LLM di iniziare la sua risposta con una frase particolare (ad esempio, "Certo, sarò lieto di aiutarti"). Gli autori delle minacce potrebbero anche istruire un LLM a fingere di essere l'autore di romanzi di fantasia, scrivendo una storia che includa qualsiasi segreto che la vostra organizzazione sta cercando di tenere lontano dalle mani degli aggressori. In entrambi i casi, il mondo degli attacchi agli LLM sarà diverso da qualsiasi cosa abbiamo visto in passato in contesti di sicurezza più tradizionali.
Il sovraccarico normativo darà vantaggio agli aggressori
Christian Borst, Chief Technology Officer EMEA, prevede che, con l'avvicinarsi del 2025, la crescente attenzione alla conformità normativa inizierà a sopraffare i difensori, dando involontariamente un vantaggio agli aggressori. I team sono già al limite delle loro capacità, dedicando risorse significative al rispetto dei requisiti di conformità che, sebbene essenziali, a volte possono distrarre da strategie più dinamiche di rilevamento e risposta alle minacce. Questo approccio incentrato sulla conformità rischia di creare una mentalità basata su liste di controllo, in cui le organizzazioni si concentrano sul spuntare caselle piuttosto che sulla creazione di una posizione di sicurezza olistica e proattiva.
Massimiliano Galvagna, Country Manager per l'Italia, concorda, affermando che la maggiore attenzione alla conformità normativa introdotta da regolamenti come la direttiva NIS2 dell'UE potrebbe rischiare di sopraffare le organizzazioni, rendendo più facile per gli aggressori avere il sopravvento. Per contrastare questo pericolo, le organizzazioni dovranno trovare un migliore equilibrio tra l'aderenza normativa e la gestione adattiva delle minacce, investendo in tecnologie come gli strumenti di sicurezza informatica basati sull'intelligenza artificiale che possono aiutare ad automatizzare sia gli sforzi di conformità che quelli di difesa.
L'intelligenza artificiale darà vita a una "corsa della Regina Rossa" che cambierà il ritmo dell'innovazione nella sicurezza informatica.
Cosa dovrebbero fare le organizzazioni? Borst prevede che, con i progressi dell'IA che forniscono ai criminali informatici gli strumenti necessari per sferrare attacchi più rapidi e mirati, le organizzazioni dovranno impegnarsi a fondo per mantenere la propria resilienza. Come nella teoria evoluzionistica della corsa della Regina Rossa, tratta dal romanzo di Lewis Carroll Attraverso lo specchio, ci troviamo in un mondo nuovo, impegnati in una corsa in costante accelerazione. Non è più sufficiente limitarsi a tenere il passo, e chi lo farà andrà incontro all'estinzione.
I team SOC devono agire più rapidamente rispetto al 2024 per rimanere all'avanguardia, creando un buffer di innovazione nel caso in cui si verifichi un cambiamento significativo nelle tecniche di attacco. Ciò potrebbe accadere in qualsiasi momento: ad esempio, un nuovo sviluppo GenAI potrebbe fornire agli aggressori una potenza di fuoco aggiuntiva che le organizzazioni potrebbero non essere preparate a gestire.
Per accelerare il proprio ritmo di innovazione e vincere la corsa della Regina Rossa, le organizzazioni devono concentrarsi con precisione sull'ottimizzazione del proprio stack di sicurezza, assicurandosi di puntare su soluzioni in grado di eliminare tutte le interferenze e aiutarle a identificare e rispondere più rapidamente alle minacce in futuro.