L'idea che qualsiasi tipo di tecnologia prenda autonomamente decisioni e porti a termine compiti per conto degli esseri umani non è necessariamente una pillola facile da ingoiare, almeno non senza un certo livello di comprensione di ciò che la tecnologia sta facendo esattamente. Forse è per questo che sembra che ogni fiera, incontro e conferenza tecnologica sia incentrata su argomenti relativi all'IA e, più recentemente, all'IA agenziale? Nel mio ultimo post abbiamo parlato un po' del significato degli agenti di IA nella sicurezza informatica, ma oggi vorrei andare oltre le parole d'ordine e capire come l'IA stia rapidamente diventando lo strumento giusto per i difensori incaricati di fermare i moderni attacchi informatici, soprattutto quando viene applicata al problema giusto.
Per fare ciò, solleviamo alcune questioni generali relative al rilevamento e alla risposta alle minacce e discutiamo dove si collocano l'IA agenziale e l'IA genetica - perché non usare le due parole più in voga per questo esercizio? Come promemoria, gli agenti di IA (IA agentica) sono in grado di eseguire compiti per conto di un utente, mentre l'IA Gen si riferisce all'IA focalizzata sulla creazione di contenuti come testo o immagini - un LLM (Large Language Model), ad esempio, è un tipo di IA Gen in grado di generare testo.
L'intelligenza artificiale può aiutare i difensori a individuare e fermare più rapidamente i moderni attacchi informatici?
Secondo il Global Threat Report 2025 di CrowdStrike, il tempo medio che intercorre tra l'infiltrazione e il momento in cui gli aggressori iniziano a muoversi lateralmente all'interno di una rete è di 48 minuti, in calo rispetto ai 62 minuti del 2024. Gli attaccanti sono sempre più veloci. Quindi, quando penso se la Gen AI possa aiutare a rilevare e fermare un moderno attacco informatico, la mia reazione iniziale è "no", considerando che è difficile capire come un LLM, ad esempio, possa accelerare il rilevamento attraverso la generazione di contenuti, almeno in superficie. Tuttavia, è emerso che la Gen AI si sta rivelando una risorsa preziosa per chi costruisce modelli di rilevamento.
Come spiega Matt Silver, VP of Data Science di Vectra AI nel podcast: Quantificare il moltiplicatore di forza dell'IA: Entità e rilevamento - l'intelligenza artificiale può essere utilizzata per apprendere rappresentazioni di dati di sicurezza benigni, che possono essere utili per "addestrare i rilevatori a valle". In sostanza, i rilevatori di minacce sono costruiti per individuare comportamenti super specifici degli aggressori, ma per farlo con precisione è necessario sapere anche quali comportamenti non sono dannosi. Grazie alla capacità di Gen AI di elaborare grandi serie di dati, non dobbiamo più costruire da zero le serie di dati da utilizzare per la modellazione del rilevamento, il che può richiedere molto tempo. Ora siamo in grado di sfruttare enormi quantità di dati di cybersecurity esistenti e di applicare un pre-training auto-supervisionato per aiutare a costruire modelli di rilevamento a una velocità molto più elevata. Se pensiamo alla velocità con cui si muovono i moderni cyberattacchi, è certamente utile eliminare qualsiasi latenza durante il processo di engineering del rilevamento.
Perché i difensori stanno aggiungendo l'intelligenza artificiale agenziale ai loro kit di strumenti per fermare i moderni attacchi informatici?
Ecco di nuovo quel ronzio. Ma se mi metto nei panni di un analista della sicurezza, è qui che mi assicuro di sintonizzarmi sulla conversazione. Analogamente al modo in cui posso usare la Gen AI come scrittore e addetto ai contenuti per svolgere parte o tutto il lavoro di preparazione di un contenuto scritto (se l'avessi usata per questo post, sarebbe uscito prima), l'AI agenziale si affianca agli analisti e dice: "Ciao, vuoi che dia un'occhiata a quei circa tremila avvisi e ti faccia sapere quali devi affrontare?".
Naturalmente c'è molto di più sul backend, che questo podcast tratta in dettaglio, ma gli agenti AI servono proprio a gestire le cose che non si possono fare, che non si vogliono fare o che si vorrebbero scaricare perché il proprio tempo e la propria esperienza potrebbero essere utilizzati in modo più efficace da qualche altra parte. I Defender possono utilizzare gli agenti di intelligenza artificiale per aiutare a determinare quali rilevamenti o avvisi sono legati a host o account specifici, in modo da sapere quali sono rilevanti. Possono anche unire i rilevamenti tra le superfici della rete, dell'identità e del cloud , in modo da sapere quali sono correlati, o persino fornire una valutazione dell'urgenza, in modo da sapere quale attività rappresenta il rischio maggiore per un'organizzazione. Gli agenti di intelligenza artificiale avvicinano i difensori a un contesto di rilevamento più rapido, il che significa ovviamente che è più facile bloccare gli attacchi piuttosto che spendere cicli di tempo in attività di triage manuale, ad esempio.
È interessante pensare a tutti gli strumenti, le applicazioni o i programmi che utilizziamo nel nostro lavoro, indipendentemente dal tipo di lavoro che svolgiamo. La maggior parte di noi probabilmente utilizza gli stessi strumenti da anni o, quando ne introduce uno nuovo, lo fa perché ritiene che possa migliorare il proprio lavoro e che il valore sia superiore al costo o al tempo investito per adattarsi a qualcosa di nuovo. Con tutte le parole d'ordine che girano intorno all'IA in questo momento, si tratta solo di uno strumento che possiamo usare per aiutarci a svolgere il nostro lavoro e, a seconda dei risultati che cerchiamo, potrebbe essere quello giusto per il nostro lavoro.
Per ulteriori conversazioni sull'IA nella cybersecurity, guardate la trasmissione AI in Action sulcanale YouTube di Vectra AI .