Indipendentemente dal settore o dal vostro ruolo specifico, è probabile che a questo punto stiate sperimentando un certo livello di attrazione (o forse di spinta) verso l'adozione dell'IA. Forse i colleghi o gli amici stanno condividendo le loro esperienze con vari strumenti di IA? Forse i dirigenti vi incoraggiano a sperimentare e a vedere se l'IA può farvi perdere un po' di tempo dalle attività quotidiane? O forse vostro figlio miracolosamente non ha più compiti a casa perché ha assunto un agente di IA? Che siate già power user o che stiate aspettando che il DJ suoni la canzone giusta prima di scendere in pista, una cosa è certa: l'IA è il futuro, ed è già qui.
Se l'intelligenza artificiale è il futuro, tanto vale usarla a nostro vantaggio
Poiché esistono diversi tipi di IA, in questa sede ci occuperemo di come l'IA agenziale consentirà di migliorare l'individuazione, l'investigazione e la risposta alle minacce (TDIR) oggi e in futuro, in particolare utilizzando un NDR. Un buon punto di partenza è una recente ricerca di Gartner, Emerging Tech: Agentic AI Integration Will Separate TDIR Platform Winners and Losers. Questo articolo fa un ottimo lavoro per spiegare non solo come l'IA agenziale avrà un impatto sul TDIR, ma fornisce anche alcuni spunti di riflessione per i leader di prodotto in termini di come devono pensare a consentire ad analisti e professionisti di collaborare facilmente con l'IA.
Gartner solleva un buon punto, perché se l'usabilità (o la collaborazione con l'IA) non è qualcosa di cui si parla quando si parla di IA, probabilmente dovrebbe esserlo. Sentiamo parlare molto di ciò che possiamo fare con l'IA, delle attività che può sostituire, di quanto siano potenti le sue capacità e così via, ma alla fine della giornata, se non è costruita per adattarsi facilmente alla vita e al flusso di lavoro delle persone, ha davvero importanza quanto sia grande? È lo stesso motivo per cui un numero crescente di studenti dalle elementari all'università utilizza ChatGPT e altri LLM (modelli linguistici di grandi dimensioni). Non potrebbe essere più facile fare una domanda e ricevere una risposta esauriente (o una tesina) in pochi secondi.
Il rovescio della medaglia è che gli studenti si stanno evolvendo e imparando con l'IA, diventando i "tinkerers dell'IA" per eccellenza, un termine che Mark Wojtasiak, vicepresidente del marketing di prodotto Vectra AI , ha scritto in seguito alla sua esperienza alla conferenza Gartner Security Risk and Management. Mark ne parla in termini di consigli per gli operatori della sicurezza che hanno l'opportunità di sperimentare con l'IA per vedere quali risultati possono ottenere: in sostanza, è fondamentale che gli addetti alla sicurezza inizino a "armeggiare" con l'IA. Per fare un ulteriore passo avanti, anche se siete solo all'inizio, potrebbe anche valere la pena di considerare come allineare le metriche basate sui risultati con il vostro approccio TDIR alimentato dall'IA, che renderà più facile il reporting sui risultati in futuro. Un consiglio valido, visto che gli strumenti da testare non mancano di certo e soprattutto perché sappiamo che gli aggressori stanno già usando l'IA per avvicinarsi più rapidamente ai loro obiettivi. A questo proposito, ecco alcuni semplici modi in cui gli operatori della sicurezza possono iniziare a incorporare l'IA agenziale nel loro flusso di lavoro per contribuire a ottenere risultati TDIR più rapidi ed efficaci nelle reti moderne.
5 modi per utilizzare l'IA agenziale per migliorare il TDIR
"Il 40% delle violazioni di dati ha riguardato dati archiviati in più ambienti". - Rapporto IBM 2024 sul costo di una violazione di dati
Per i professionisti della sicurezza informatica, l'intelligenza artificiale può garantire la visione di ogni mossa dei moderni aggressori, aiutando a collegare i punti in tempo reale, in modo da avere il contesto completo necessario per fermarli prima che si verifichi una violazione.
1. Utilizzare agenti di intelligenza artificiale per il triage automatico degli avvisi
Invecedi passare manualmente al setaccio migliaia di avvisi, l'intelligenza artificiale agenziale è in grado di esaminare continuamente gli eventi, classificarli su reti ibride e filtrare i rilevamenti benigni, dando agli analisti un vantaggio. Ad esempio, l'intelligenza artificiale è in grado di segnalare i comportamenti che corrispondono all'attività di un aggressore su rete, identità e cloud e di presentare solo gli incidenti più rilevanti per l'esame umano. Ciò significa meno rumore da gestire e un segnale di minaccia notevolmente migliorato.
2. Ricucire l'identità, la rete e l'attività cloud
Gli aggressorinon rimangono nello stesso luogo. Una delle maggiori opportunità offerte dall'intelligenza artificiale agenziale è la sua capacità di unire continuamente le attività in più domini (rete, identità e cloud , ad esempio). Quando l'intelligenza artificiale è in grado di tracciare una compromissione dell'identità o un movimento laterale attraverso la rete moderna, si ottiene un contesto impossibile da vedere con altri strumenti, poiché questi eventi si verificano al di là dell'endpoint e già all'interno del vostro ambiente. È qui che il rilevamento e la risposta di rete (NDR) brillano, soprattutto se arricchiti con segnali di identità e cloud .
Buona lettura: Scegliere il giusto NDR: le 5 domande che ogni acquirente di sicurezza dovrebbe porsi secondo Gartner
3. Dare priorità agli incidenti in base al rischio reale
Nontutti gli allarmi richiedono attenzione. L'intelligenza artificiale agenziale è in grado di valutare le minacce in base al comportamento, al contesto e all'impatto sull'azienda, non solo ai CIO o alle firme. Ad esempio, è in grado di distinguere tra il comportamento di routine dell'amministratore e le comunicazioni furtive di comando e controllo analizzando gli schemi storici e l'intento. Ciò significa che non si viene avvisati solo di qualcosa di insolito, ma anche di qualcosa di pericoloso. La prioritizzazione dell'intelligenza artificiale aiuta i team a concentrare il loro tempo limitato sugli indicatori di attacco (IoA) che sono effettivamente importanti.
4. Avviare le indagini
Il tempoè tutto quando si risponde a un attacco. Gli agenti di intelligenza artificiale possono avviare le indagini iniziali nel momento in cui viene rilevata un'attività sospetta, raccogliendo i registri, mappando le risorse coinvolte, evidenziando le modifiche recenti e persino generando una cronologia degli eventi. In questo modo, quando un analista viene coinvolto, non deve partire da zero. Con l'intelligenza artificiale agenziale, il team passa molto più rapidamente dal "cosa è successo?" al "cosa facciamo adesso?".
5. Utilizzare l'NDR come punto d'ingresso a basso sollevamento e ad alto impatto.
Sestate cercando un punto di partenza intelligente per l'IA agenziale, l'NDR è il posto giusto. Perché? Sarete in grado di vedere tutto su tutte le superfici, dall'accesso iniziale ai movimenti laterali, al command-and-control e all'esfiltrazione dei dati. Le piattaforme NDR dotate di intelligenza artificiale agenziale sono in grado di osservare e apprendere continuamente i modelli di traffico, di attivare indagini autonome quando viene rilevato un comportamento dell'aggressore e di fornire agli analisti un quadro completo della minaccia. A differenza dei sistemi basati sui log, che si basano su dati puliti e strutturati, l'NDR prospera in ambienti rumorosi e dinamici, rappresentando una base potente per il TDIR guidato dall'intelligenza artificiale.
Scaricate il Magic Quadrant Gartner® 2025 per il Network Detection and Response (NDR).
Indipendentemente dal vostro ruolo nel SOC o dal fatto che siate un'azienda individuale, sperimentare l'IA non richiede una trasformazione completa. Iniziate in piccolo. Armeggiare. Potreste partecipare a una demo del prodotto o esplorare le funzionalità per conto vostroVectra AI offre decine di briefing sui prodotti nel nostro Hunt Club Podcast per vedere come funzionano le cose gratuitamente). Provate uno o due di questi approcci e vedete che tipo di tempo, chiarezza o intuizione vi offre.