Indipendentemente dal settore o dal tuo ruolo specifico, a questo punto si può probabilmente affermare con certezza che stai vivendo un certo grado di attrazione (o forse di spinta) verso l'adozione dell'IA. Forse i tuoi colleghi o amici stanno condividendo le loro esperienze con vari strumenti di IA? Forse i tuoi superiori ti stanno incoraggiando a sperimentare e a verificare se l'IA può farti risparmiare tempo nelle attività quotidiane? O forse tuo figlio miracolosamente non ha più compiti a casa perché ha assunto un agente IA? Che tu sia già un utente esperto o che stia aspettando che il DJ metta la canzone giusta prima di scendere in pista, una cosa è certa: l'IA è il futuro ed è già qui.
Se l'intelligenza artificiale è il futuro, tanto vale sfruttarla a nostro vantaggio.
Poiché esistono diversi tipi di IA, in questa discussione vedremo come l'IA agenziale consentirà un miglior rilevamento, indagine e risposta alle minacce (TDIR) ora e in futuro, in particolare utilizzando un NDR. Un buon punto di partenza è una recente ricerca di Gartner, Emerging Tech: Agentic AI Integration Will Separate TDIR Platform Winners and Losers. Questo articolo spiega bene non solo come l'IA agentica influenzerà il TDIR, ma fornisce anche spunti di riflessione ai responsabili di prodotto su come consentire agli analisti e ai professionisti di collaborare facilmente con l'IA.
Gartner solleva un punto interessante perché se l'usabilità (o la collaborazione con l'IA) non è qualcosa di cui discutiamo quando parliamo di IA, probabilmente dovrebbe esserlo. Sentiamo parlare molto di ciò che possiamo fare con essa, dei compiti che può sostituire, di quanto siano potenti le sue capacità, ecc., ma alla fine dei conti, se non è progettata per adattarsi facilmente alla vita e al flusso di lavoro delle persone, ha davvero importanza quanto sia eccezionale? È lo stesso motivo per cui un numero crescente di studenti, dalle elementari all'università, utilizza ChatGPT e altri LLM (modelli linguistici di grandi dimensioni). Non potrebbe essere più facile porre una domanda e ricevere una risposta esauriente (o una tesina) in pochi secondi.
Il rovescio della medaglia è che gli studenti stanno ora evolvendo e imparando con l'IA e stanno diventando i migliori "armeggiatori di IA", un termine coniato da Mark Wojtasiak, Vectra AI del marketing di prodotto Vectra AI , dopo la sua esperienza alla conferenza Gartner sulla gestione dei rischi di sicurezza. Mark ne parla in termini di consiglio per i professionisti della sicurezza che hanno ora l'opportunità di sperimentare l'IA per vedere quali risultati possono ottenere: in sostanza, è fondamentale che gli addetti alla sicurezza inizino a "armeggiare" con l'IA. Per fare un ulteriore passo avanti, anche se siete solo all'inizio, potrebbe valere la pena considerare come allineare le metriche basate sui risultati con il vostro approccio TDIR basato sull'IA, che renderà più facile la rendicontazione dei risultati in futuro. Si tratta di un consiglio valido, considerando che non mancano certo gli strumenti da testare e soprattutto perché sappiamo che gli aggressori stanno già utilizzando l'IA per raggiungere più rapidamente i loro obiettivi. A questo proposito, di seguito sono riportati alcuni semplici modi in cui i professionisti della sicurezza possono iniziare a incorporare l'IA agentica nel loro flusso di lavoro per ottenere risultati TDIR più rapidi ed efficaci nelle reti moderne.
5 modi per utilizzare l'intelligenza artificiale agentica per migliorare il TDIR
"Il 40% delle violazioni dei dati ha riguardato dati archiviati in più ambienti." - Rapporto IBM 2024 sul costo delle violazioni dei dati
Per i professionisti della sicurezza informatica, l'intelligenza artificiale può garantire la visibilità di ogni mossa compiuta dagli aggressori moderni, aiutando a collegare i punti in tempo reale, in modo da avere il contesto completo necessario per fermarli prima che si verifichi una violazione.
1. Utilizzare agenti AI per smistare automaticamente gli avvisi
Invecedi esaminare manualmente migliaia di avvisi, l'IA agentica è in grado di analizzare continuamente gli eventi, classificarli su reti ibride e filtrare i rilevamenti benigni, offrendo agli analisti un vantaggio competitivo. Ad esempio, l'IA può segnalare comportamenti che corrispondono all'attività degli aggressori su rete, identità e cloud presentare solo gli incidenti più rilevanti per la revisione umana. Ciò significa meno rumore da gestire e un segnale di minaccia notevolmente migliorato.
2. Unire identità, rete e cloud
Gli aggressorinon rimangono fermi in un unico posto. Una delle maggiori opportunità offerte dall'IA agentica è la sua capacità di collegare continuamente le attività su più domini ( cloud esempio rete, identità e cloud ). Quando l'IA è in grado di tracciare una compromissione dell'identità o un movimento laterale nella vostra rete moderna, ottenete un contesto impossibile da vedere con altri strumenti, poiché questi eventi si verificano al di là endpoint già all'interno del vostro ambiente. È qui che la rilevazione e la risposta di rete (NDR) danno il meglio di sé, soprattutto se arricchite con cloud di identità e cloud .
Buona lettura: Scegliere il giusto NDR: le 5 domande di Gartner che ogni acquirente di soluzioni di sicurezza dovrebbe porsi
3. Assegnare priorità agli incidenti in base al rischio reale
Nontutti gli avvisi richiedono attenzione. L'IA agentica è in grado di valutare le minacce in base al comportamento, al contesto e all'impatto sul business, non solo agli IOC o alle firme. Ad esempio, è in grado di distinguere tra comportamenti amministrativi di routine e comunicazioni di comando e controllo nascoste, analizzando i modelli storici e le intenzioni. Ciò significa che non si riceve un avviso solo quando si verifica qualcosa di insolito, ma anche quando qualcosa è pericoloso. La prioritizzazione basata sull'IA aiuta i team a concentrare il loro tempo limitato sugli indicatori di attacco (IoA) che contano davvero.
4. Avviare le indagini senza indugio
Il tempoè fondamentale quando si risponde a un attacco. Gli agenti AI possono avviare le indagini iniziali nel momento stesso in cui viene rilevata un'attività sospetta, raccogliendo i log, mappando le risorse coinvolte, evidenziando le modifiche recenti e persino generando una cronologia degli eventi. Ciò significa che quando un analista viene coinvolto, non parte da zero. Con l'AI agentica, il vostro team passa molto più rapidamente da "cosa è successo?" a "cosa facciamo adesso?".
5. Utilizzare l'NDR come punto di ingresso a basso sforzo e ad alto impatto
Sestate cercando un punto di partenza intelligente per l'IA agentica, NDR è la soluzione giusta. Perché? Potrete vedere tutto su tutte le superfici: dall'accesso iniziale al movimento laterale, al comando e controllo e all'esfiltrazione dei dati. Le piattaforme NDR dotate di IA agentica possono osservare e apprendere continuamente dai modelli di traffico, avviare indagini autonome quando viene rilevato un comportamento sospetto e fornire agli analisti un quadro completo della minaccia. A differenza dei sistemi basati su log che si affidano a dati puliti e strutturati, NDR funziona al meglio in ambienti rumorosi e dinamici, rendendolo una base potente per il TDIR basato sull'IA.
Scarica il Magic Quadrant 2025 di Gartner® per il rilevamento e la risposta di rete (NDR).
Indipendentemente dal tuo ruolo nel SOC o dal fatto che tu sia l'unico responsabile, sperimentare l'IA non richiede una trasformazione completa. Inizia in piccolo. Prova e riprova. Puoi guardare una demo del prodotto o esplorarne le funzionalità da solo (Vectra AI decine di presentazioni dei prodotti sul nostro Hunt Club per vedere come funzionano gratuitamente). Prova uno o due di questi approcci e verifica quanto tempo, chiarezza o informazioni ti offrono.