Sappiamo che è lì con noi. Tiene traccia delle cose, impara le nostre tendenze, ci assiste in vari compiti, ma può essere ancora difficile individuare con esattezza cosa fanno le tecnologie di IA che utilizziamo e con cui conviviamo. Tuttavia, la conversazione diventa molto più interessante quando guardiamo alle possibilità disponibili e al modo in cui influenzano effettivamente la nostra vita quotidiana o persino il nostro modo di lavorare. In questa discussione, parleremo principalmente di cosa significano gli agenti di IA per chi lavora nel campo della sicurezza informatica, un argomento che mette in luce anche il percorso che stiamo seguendo come esseri umani che coesistono con l'IA e il modo in cui la utilizziamo. Ma prima di addentrarci in tutto questo, dovremmo probabilmente considerare l'idea di aggiornare la definizione del dizionario di "agente" con qualcosa del tipo:
Una persona, un'azienda o intelligenza artificiale autorizzata ad agire per conto di un'altra persona.
Forse potremmo anche aggiungere "animale di servizio" a questa definizione? Un cane o un altro tipo di animale di servizio può agire per conto di qualcun altro? Consideriamo questo scenario: il vostro cane è addestrato a raccogliere tutta la biancheria sporca che trova in casa e a metterla nella lavanderia. Il vostro cane è ora l'agente di lavanderia, da voi autorizzato. Ora, quando lasciate la biancheria sporca sul pavimento, chiunque abbia un problema al riguardo può rivolgersi all'agente di lavanderia.
Mentre Merriam-Webster valuta la mia richiesta, ecco una definizione di IBM più specifica per gli agenti di IA:
Un agente di intelligenza artificiale (AI) è un sistema o un programma in grado di eseguire autonomamente attività per conto di un utente o di un altro sistema, progettando il proprio flusso di lavoro e utilizzando gli strumenti disponibili. -IBM
È abbastanza semplice, soprattutto una volta compreso come un agente AI (o qualsiasi altro agente) verrebbe assegnato per svolgere determinati compiti; tuttavia, se leggete alcuni dei recenti articoli sugli agenti AI (e ce ne sono molti), vi renderete subito conto che sono state sollevate molte domande. Alcuni articoli suggeriscono che "nessuno è in grado di definire chiaramente un agente AI". E forse questo è solo un titolo accattivante di Fortune che riesce bene a farci andare oltre il nome che diamo a qualcosa e ad arrivare al punto della discussione, ovvero come può effettivamente aiutarci o cosa possiamo fare con esso. Altri articoli, come questo su Wired, sollevano interrogativi sugli agenti AI chiedendo: "quanto dovremmo lasciar loro fare?".
Tutte considerazioni valide, tuttavia, una delle interessanti conclusioni che si possono trarre analizzando gli agenti di IA nel campo della sicurezza informatica è che essi ci aiutano a comprendere meglio l'impatto che l'IA sta avendo e può avere sui nostri flussi di lavoro. Recentemente abbiamo appreso molto sull'adozione dell'IA nella sicurezza informatica dal rapporto 2024 State of Threat Detection and ResponseVectra AI, ma è necessario andare oltre i numeri relativi all'adozione per capire come l'IA stia effettivamente avendo un impatto e quali compiti stia aiutando a completare.
Agenti AI nella sicurezza informatica
Ma di cosa stiamo parlando quando parliamo di agenti AI nella sicurezza informatica? Consideriamo il punto di vista del rilevamento delle minacce, dell'indagine e della risposta: più velocemente un difensore è in grado di individuare e bloccare un attacco, meglio sarà per la sua organizzazione. In media, i difensori ricevono 3.832 avvisi di sicurezza al giorno, secondo il rapporto 2024 State of Thread Detection and Response. Questo numero è in realtà in calo rispetto all'anno precedente, ma se si pensa a cosa significa in termini di capacità di affrontare ogni singolo avviso, è una richiesta esagerata. Mettiamola così: se aveste quasi 4.000 e-mail nella vostra casella di posta ogni giorno, a quante rispondereste? Non sorprende che i professionisti che hanno partecipato allo studio abbiano riferito di essere in grado di rispondere in media solo al 38% di tali avvisi. Ciò significa che, come settore, non stiamo affrontando potenziali incidenti reali perché non abbiamo la larghezza di banda necessaria. Entrano in gioco gli agenti AI.
In che modo gli agenti AI aiutano i difensori a individuare e bloccare gli attacchi?
Se ci concentriamo su come gli addetti alla sicurezza suddividono i compiti durante una giornata lavorativa media, iniziamo a vedere alcune aree in cui gli agenti di IA diventano utili. Ad esempio, secondo il Security Team Efficiency Benchmark Vectra AI, i professionisti della sicurezza dedicano il 18,4% della loro giornata all'analisi dei falsi positivi e il 27,7% alla gestione degli avvisi. Questo studio specifico ha raccolto le risposte di 538 professionisti per aiutare a capire quali compiti richiedono più tempo durante la giornata, ma per questa discussione è anche utile vedere dove potrebbe essere utile un agente AI. È interessante notare che lo studio ha anche rivelato che una giornata lavorativa di 10 ore era la norma per un team di sei persone in media. In questo scenario, dove potrebbe essere utile un agente AI? Ci sono diversi modi, ma gli agenti AI possono aiutare a eliminare gran parte del lavoro manuale associato agli avvisi e, forse ancora più importante, elevare il segnale di attacco che i team ricevono dagli strumenti di rilevamento e risposta alle minacce, in modo che sappiano quali eventi rappresentano il rischio maggiore. Vediamo come funzionano.
Gli agenti AI possono aiutare a ridurre il tempo dedicato agli avvisi di sicurezza falsi positivi?
Ogni falso positivo deve essere valutato per determinarne la rilevanza da un analista umano o tramite una qualche forma di automazione (se disponibile), motivo per cui quasi un quinto della giornata lavorativa di un analista è dedicata ai falsi positivi. Dobbiamo sapere se qualcosa è dannoso o innocuo, il che può essere un processo altamente manuale che richiede tempo e competenze. Ma deve essere così? La possibilità di applicare l'intelligenza artificiale alla gestione della valutazione non è una novità, ma le capacità continuano a migliorare e ora, con l'aggiunta di agenti di valutazione basati sull'intelligenza artificiale, i team di sicurezza possono facilmente alleggerire i compiti di valutazione. Ciò significa utilizzare l'intelligenza artificiale per valutare gli allarmi e separare il comportamento normale della rete da quello potenzialmente dannoso o per aiutare a determinare quali rilevamenti sono rilevanti per la sicurezza in base all'importanza dell'entità (host o account).
Gli agenti AI possono aiutare a gestire l'elevato numero di avvisi di sicurezza che i team ricevono?
Non è solo la quantità di avvisi che i team ricevono (3.832 al giorno) a rendere le cose impossibili, ma anche la complessità delle reti moderne che abbracciano data center, campus, lavoratori remoti, cloud, identità, ecc. rende irrealistica la possibilità di mettere insieme gli avvisi provenienti da ogni superficie senza la tecnologia adeguata. Gli aggressori prosperano in questi ambienti a causa della latenza introdotta dallo sforzo necessario per mettere insieme gli avvisi isolati provenienti da ogni direzione possibile. La correlazione dei rilevamenti o degli avvisi su varie superfici non è un concetto nuovo, tuttavia gli agenti di intelligenza artificiale lo rendono facile perché i difensori non devono più esaminare ogni singolo avviso su ogni singola superficie. Ad esempio, un avviso in AWS potrebbe essere collegato a un avviso in Entra ID perché sono associati alla stessa identità: l'IA lo saprebbe e creerebbe automaticamente un profilo di attacco che include entrambi gli avvisi o qualsiasi numero di avvisi ricevuti associati a quell'identità da qualsiasi superficie all'interno del vostro ambiente. Ciò riduce il numero di avvisi che i team devono affrontare.
Gli agenti di IA possono aiutarti a fermare un attacco informatico?
Anche con un numero inferiore di avvisi, le informazioni più utili per i difensori saranno sempre quelle che indicano quali avvisi segnalano un attacco effettivamente in corso. Come accennato in precedenza, i difensori devono essere in grado di individuare e bloccare gli attacchi, un compito che ora gli agenti AI possono aiutare a rendere prioritario. Un agente AI per la definizione delle priorità degli attacchi può rilevare tutti i tipi di comportamenti degli aggressori osservati in un ambiente, tenere conto di fattori quali la velocità con cui si sta muovendo un attacco e le tecniche utilizzate e fornire valutazioni di urgenza per tutti gli avvisi di sicurezza all'interno di un ambiente. Un agente di prioritizzazione basato sull'intelligenza artificiale può fondamentalmente prendere in considerazione tutto ciò che accade in un ambiente e classificare gli eventi in ordine di gravità in base al rischio che comportano. I difensori hanno quindi a disposizione tutto il contesto relativo a ciascun avviso in un unico posto, già smistato e assemblato, in modo da poter utilizzare la loro esperienza per indagare ulteriormente, se necessario, o procedere con il blocco dell'attacco.
Per i difensori, gli agenti AI stanno rapidamente diventando più di un semplice strumento per aiutare a eliminare i falsi positivi e gestire gli avvisi, ma un modo per ottenere un segnale di attacco accurato che può essere utilizzato per vedere e fermare gli attacchi senza la latenza introdotta dall'esecuzione manuale. E oltre a tutti questi vantaggi, chi non vorrebbe dire la frase "parlane con il mio agente"?
Per ulteriori dettagli sugli agenti AI e su come Vectra AI li Vectra AI , guarda il podcast: Accelerare il rilevamento delle minacce con gli agenti AI.
Oppure
Scopri come i team di sicurezza stanno ottenendo risultati aziendali concreti grazie all'IA, tra cui:
- Identificate il 52% in più di potenziali minacce
- 51% di tempo in meno dedicato al monitoraggio e alla classificazione degli avvisi
- 60% di tempo in meno dedicato alla valutazione e alla prioritizzazione degli avvisi