Sappiamo che è lì con noi. Tiene traccia delle cose, impara le nostre tendenze, ci assiste in vari compiti, ma può ancora essere difficile individuare esattamente cosa fanno le tecnologie AI che usiamo e con cui esistiamo. Tuttavia, la conversazione diventa molto più interessante quando si esaminano le possibilità disponibili e il loro impatto sulla nostra vita quotidiana o sul nostro modo di lavorare. In questa discussione parleremo soprattutto di ciò che gli agenti dell'IA significano per coloro che lavorano nella sicurezza informatica, un argomento che evidenzia anche il percorso che stiamo percorrendo come esseri umani che coesistono con l'IA e il modo in cui la utilizziamo. Ma prima di entrare nel merito di tutto ciò, dovremmo probabilmente considerare di aggiornare la definizione di "agente" nel dizionario in qualcosa di simile:
Una persona, un'azienda o un'intelligenza intelligenza artificiale autorizzata ad agire per conto di un'altra persona.
Forse possiamo aggiungere a questa definizione anche quella di "animale da assistenza"? Un cane o un altro tipo di animale di servizio può agire per conto di un altro? Considerate questo scenario: il vostro cane è addestrato a raccogliere i panni sporchi che vede in casa e a metterli nella lavanderia. Il cane è ora l'agente della lavanderia, che voi avete autorizzato. Ora, quando lasciate il bucato sul pavimento, chiunque abbia un problema può prendersela con l'addetto alla lavanderia.
Mentre Merriam-Webster prende in considerazione la mia richiesta, ecco una definizione di IBM più specifica per gli agenti AI:
Un agente di intelligenza artificiale (AI) si riferisce a un sistema o programma in grado di svolgere autonomamente attività per conto di un utente o di un altro sistema, progettando il proprio flusso di lavoro e utilizzando gli strumenti disponibili. -IBM
Sebbene sia abbastanza semplice, soprattutto se si analizza il modo in cui un agente di IA (o qualsiasi altro agente) viene assegnato a svolgere determinati compiti, se si leggono alcuni dei recenti articoli sugli agenti di IA - e ce ne sono molti - ci si accorge subito che vengono sollevate molte domande. Alcuni articoli suggeriscono che "nessuno può definire chiaramente un agente di IA". E forse questo è solo un titolo intelligente di Fortune che fa un buon lavoro per farci passare sopra a come chiamiamo qualcosa e per portarci al punto della discussione, cioè come può effettivamente aiutarci o cosa possiamo fare con esso. Altri articoli, come questo di Wired, si interrogano sugli agenti di IA chiedendosi: "Quanto dovremmo lasciarli fare?".
Sono tutte considerazioni valide, tuttavia una delle constatazioni interessanti che si possono fare quando si scava negli agenti di IA nella cybersecurity è che ci aiutano a dare una visione più definita dell'impatto che l'IA sta avendo e può avere nei nostri flussi di lavoro. Di recente abbiamo appreso molto sull'adozione dell'IA nella cybersecurity dal rapporto 2024 State of Threat Detection and Response diVectra AI; tuttavia, è necessario andare oltre i numeri dell'adozione per capire come l'IA stia effettivamente avendo un impatto e quali compiti stia aiutando a completare.
Agenti AI nella sicurezza informatica
Quindi, di cosa stiamo parlando con gli agenti AI nella cybersecurity? Consideriamo la questione dal punto di vista del rilevamento, dell'investigazione e della risposta alle minacce: quanto più velocemente un difensore è in grado di individuare e bloccare un attacco, tanto meglio sarà per la sua organizzazione. Secondo il rapporto 2024 State of Thread Detection and Response, i difensori ricevono in media 3.832 avvisi di sicurezza al giorno. Questo numero è in realtà in calo rispetto all'anno precedente, ma se si pensa a ciò che significa in termini di capacità di rispondere a ogni singolo avviso, si tratta di una richiesta spropositata. Mettiamola così: se ogni giorno vi arrivassero quasi 4.000 e-mail nella casella di posta, a quante rispondereste? Non è poi così sorprendente che i professionisti che hanno partecipato allo studio abbiano dichiarato di essere in grado di rispondere in media solo al 38% di questi avvisi. Ciò significa che, come settore, non stiamo affrontando potenziali incidenti reali perché non abbiamo la larghezza di banda necessaria. Ecco che entrano in gioco gli agenti di intelligenza artificiale.
In che modo gli agenti di intelligenza artificiale aiutano i difensori a vedere e fermare gli attacchi?
Se analizziamo il modo in cui gli operatori della sicurezza suddividono le attività durante la giornata lavorativa media, iniziamo a vedere alcune aree in cui gli agenti AI diventano utili. Ad esempio, secondo il Security Team Efficiency Benchmark di Vectra AI, i professionisti della sicurezza dedicano il 18,4% della loro giornata a indagare sui falsi positivi e il 27,7% alla gestione degli avvisi. Questo studio in particolare ha raccolto le risposte di 538 professionisti per aiutare a capire quali attività occupano tempo durante la giornata, ma per questa discussione è anche utile vedere dove un agente AI potrebbe avere senso. È interessante notare che lo studio ha anche evidenziato che una giornata lavorativa di 10 ore è la norma per un team di sei persone. In questo scenario, dove si guadagnerebbe un agente AI? Ci sono diversi modi, ma gli agenti di intelligenza artificiale possono contribuire a eliminare gran parte del lavoro manuale associato agli avvisi e, cosa forse più importante, a elevare il segnale di attacco che i team ricevono dagli strumenti di rilevamento e risposta alle minacce, in modo da sapere quali eventi rappresentano il rischio maggiore. Vediamo come funzionano.
Gli agenti di intelligenza artificiale possono contribuire a ridurre il tempo dedicato agli avvisi di sicurezza falsi positivi?
Ogni avviso di falso positivo deve essere analizzato per determinarne la rilevanza da un analista umano o attraverso una qualche forma di automazione (se disponibile), motivo per cui vediamo che quasi un quinto della giornata di un analista viene speso per i falsi positivi. Dobbiamo sapere se qualcosa è dannoso o benigno, il che può essere un processo altamente manuale che richiede tempo e competenze. Ma deve per forza essere così? La capacità di applicare l'intelligenza artificiale per gestire il triage non è una novità, ma le capacità continuano a migliorare e ora, con gli agenti di triage dell'intelligenza artificiale, i team di sicurezza possono facilmente scaricare i compiti di triage. Ciò significa utilizzare l'intelligenza artificiale per valutare gli avvisi e separare il comportamento normale della rete da quello probabilmente dannoso o per aiutare a determinare quali rilevamenti sono rilevanti per la sicurezza in base all'importanza dell'entità (host o account).
Gli agenti AI possono aiutare a gestire l'elevato numero di avvisi di sicurezza che i team ricevono?
Non è solo la quantità di avvisi che i team ricevono (3.832 al giorno) a rendere le cose impossibili, ma la complessità delle reti moderne che abbracciano data center, campus, lavoratori remoti, cloud, identità e così via rende irrealistica la possibilità di mettere insieme gli avvisi su ogni superficie senza la giusta tecnologia. Gli aggressori prosperano in questi ambienti a causa della latenza introdotta dallo sforzo necessario per mettere insieme avvisi isolati provenienti da ogni possibile direzione. Correlare i rilevamenti o gli avvisi tra le varie superfici non è un concetto nuovo, ma gli agenti di intelligenza artificiale lo rendono più semplice perché i difensori non devono più esaminare ogni singolo avviso su ogni singola superficie. Ad esempio, un avviso in AWS potrebbe essere collegato a un avviso in Entra ID perché associato alla stessa identità: l'intelligenza artificiale lo saprebbe e creerebbe automaticamente un profilo di attacco che include entrambi gli avvisi o un numero qualsiasi di avvisi ricevuti associati a quell'identità da qualsiasi superficie dell'ambiente. In questo modo si riduce il numero di avvisi che i team devono gestire.
Gli agenti AI possono aiutarvi a fermare un attacco informatico?
Anche con un numero inferiore di avvisi, le informazioni più utili per i difensori saranno sempre: sapere quali avvisi segnalano un attacco effettivamente in corso. Come abbiamo detto in precedenza, i difensori devono essere in grado di vedere e fermare gli attacchi, cosa che gli agenti di intelligenza artificiale possono ora aiutare a stabilire le priorità. Un agente di intelligenza artificiale per la prioritizzazione degli attacchi è in grado di rilevare tutti i tipi di comportamenti degli aggressori osservati in un ambiente, di tenere conto di fattori quali la velocità di movimento di un attacco e le tecniche utilizzate e di fornire valutazioni di urgenza per tutti gli avvisi di sicurezza in un ambiente. Un agente di prioritizzazione AI può sostanzialmente prendere in considerazione tutto ciò che sta accadendo in un ambiente e classificarlo in ordine di gravità in base a ciò che rappresenta il rischio maggiore. I difensori hanno quindi a disposizione tutto il contesto di ciascun avviso in un unico posto, già classificato e unito, in modo da poter utilizzare le proprie competenze per indagare ulteriormente, se necessario, o procedere con l'arresto dell'attacco.
Per i difensori, gli agenti di intelligenza artificiale stanno rapidamente diventando più di un modo per aiutare a ripulire i falsi positivi e a gestire gli avvisi, ma un modo per ottenere un segnale di attacco accurato che può essere utilizzato per vedere e fermare gli attacchi senza la latenza introdotta da un'operazione manuale. E oltre a tutto questo, chi non vorrebbe dire: "Prendetevela con il mio agente"?
Per maggiori dettagli sugli agenti AI e su come Vectra AI li utilizza, guardate il podcast: Accelerazione del rilevamento delle minacce con gli agenti AI.
Oppure
Leggete come i team di sicurezza stanno ottenendo risultati aziendali reali dall'IA, tra cui:
- 52% in più di minacce potenziali identificate
- 51% di tempo in meno speso per il monitoraggio e il trattamento degli avvisi
- 60% di tempo in meno speso per valutare e dare priorità agli avvisi