L'idea che qualsiasi tipo di tecnologia possa prendere decisioni in modo autonomo e svolgere compiti per conto degli esseri umani non è necessariamente facile da accettare, almeno non senza un certo livello di comprensione di ciò che la tecnologia sta facendo esattamente. Forse è per questo che sembra che ogni fiera, incontro e conferenza tecnologica sia incentrata su argomenti relativi all'IA e, più recentemente, all'IA agentica? Nel mio ultimo post abbiamo parlato un po' del significato degli agenti di IA nella sicurezza informatica, ma oggi vorrei andare oltre le parole d'ordine e approfondire come l'IA stia rapidamente diventando lo strumento giusto per i difensori incaricati di fermare i moderni attacchi informatici, soprattutto quando viene applicata al problema giusto.
Per farlo, poniamo alcune domande generali sul rilevamento e la risposta alle minacce e discutiamo dove si collocano sia l'IA agentica che l'IA generativa, perché non utilizzare le due parole d'ordine più in voga per questo esercizio? Ricordiamo che gli agenti AI (AI agentica) sono in grado di eseguire compiti per conto di un utente, mentre l'AI generativa si riferisce all'AI incentrata sulla creazione di contenuti come testi o immagini: un LLM (Large Language Model), ad esempio, è un tipo di AI generativa in grado di generare testi.
L'intelligenza artificiale generativa può aiutare i difensori a individuare e bloccare più rapidamente i moderni attacchi informatici?
Secondo il CrowdStrike 2025 Global Threat Report, il tempo medio che intercorre tra l'infiltrazione e il momento in cui gli aggressori iniziano a muoversi lateralmente all'interno di una rete è di 48 minuti, in realtà in calo rispetto ai 62 minuti del 2024. Gli aggressori stanno diventando più veloci. Quindi, quando penso se l'intelligenza artificiale di nuova generazione possa aiutare a rilevare e fermare un attacco informatico moderno, la mia reazione iniziale è "no", considerando che è difficile capire come un LLM, ad esempio, possa accelerare il rilevamento attraverso la generazione di contenuti, almeno in apparenza. Tuttavia, l'intelligenza artificiale di nuova generazione si sta rivelando una risorsa preziosa per chi sviluppa modelli di rilevamento.
Come Vectra AI Matt Silver, vicepresidente del reparto Data Science di Vectra AI nel podcast Quantify Your AI Force Multiplier: Entities and Detection (Quantifica il tuo moltiplicatore di forza AI: entità e rilevamento ), l'intelligenza artificiale generativa può essere utilizzata per apprendere rappresentazioni di dati di sicurezza benigni, che possono essere utili per "addestrare i rilevatori a valle". In sostanza, i rilevatori di minacce sono progettati per individuare comportamenti degli aggressori estremamente specifici, ma per farlo in modo accurato è necessario anche sapere quali comportamenti non sono dannosi. Grazie alla capacità di Gen AI di elaborare grandi set di dati, non è più necessario creare da zero set di dati da utilizzare nella modellazione del rilevamento, operazione che può richiedere molto tempo. Ora siamo in grado di sfruttare enormi quantità di dati esistenti sulla sicurezza informatica e applicare un pre-addestramento auto-supervisionato per aiutare a costruire modelli di rilevamento a una velocità molto maggiore. Se pensiamo alla rapidità con cui si muovono i moderni attacchi informatici, è sicuramente utile eliminare qualsiasi latenza possibile durante il processo di ingegnerizzazione del rilevamento.
Perché i difensori stanno aggiungendo l'IA agentica al loro arsenale di strumenti per fermare i moderni attacchi informatici?
Ecco di nuovo quel brusio. Ma, se mi mettessi nei panni di un analista della sicurezza, probabilmente a questo punto mi assicurerei di sintonizzarmi sulla conversazione. Proprio come io, in qualità di scrittore e creatore di contenuti, posso usare l'intelligenza artificiale generativa per svolgere parte o tutto il lavoro di routine necessario per mettere insieme un contenuto scritto (se l'avessi usata per questo post, sarebbe stato pubblicato prima), l'intelligenza artificiale agenziale si affianca agli analisti e dice: "Ciao, vuoi che dia un'occhiata a quei tremila avvisi e ti dica quali devi affrontare?".
Naturalmente c'è molto di più nel backend, che questo podcast tratta in dettaglio, ma gli agenti AI si occupano semplicemente di gestire le cose che non puoi fare, che non vuoi fare o che vorresti delegare perché il tuo tempo e la tua esperienza potrebbero essere utilizzati in modo più efficace altrove. I difensori possono utilizzare gli agenti AI per determinare quali rilevamenti o avvisi sono collegati a host o account specifici, in modo da sapere quali sono rilevanti. Possono anche mettere insieme i rilevamenti su rete, identità e cloud in modo da sapere quali sono correlati, o persino fornire una valutazione di urgenza, in modo da sapere quale attività rappresenta il rischio maggiore per un'organizzazione. Gli agenti AI consentono ai difensori di ottenere più rapidamente il contesto di rilevamento, il che ovviamente significa avvicinarsi all'arresto degli attacchi piuttosto che dedicare tempo a compiti di triage manuale, ad esempio.
È interessante pensare a tutti gli strumenti, le app o i programmi che utilizziamo nel nostro lavoro, indipendentemente dalla nostra professione. Probabilmente la maggior parte di noi utilizza gli stessi strumenti da anni o, quando ne introduciamo uno nuovo, è perché riteniamo che ci renderà più efficienti nel nostro lavoro e che il valore aggiunto superi il costo o il tempo necessario per adattarsi a qualcosa di nuovo. Nonostante tutte le parole alla moda che circondano l'intelligenza artificiale in questo momento, si tratta solo di uno strumento che possiamo utilizzare per aiutarci a svolgere il nostro lavoro e, a seconda dei risultati che cerchiamo, potrebbe essere proprio quello giusto per il lavoro da svolgere.
Per ulteriori approfondimenti sull'intelligenza artificiale nella sicurezza informatica, guarda il programma AI in Action sulcanale YouTube Vectra AI .