Impatto dell'AI sulla sicurezza informatica: dal Machine Learning all'Agentic AI

 Impatto dell'AI sulla sicurezza informatica

Un po' di storia

L'integrazione del machine learning (ML) nella sicurezza informatica è iniziata molti anni fa con un'idea semplice ma ambiziosa: sfruttare il potere degli algoritmi per identificare schemi in enormi set di dati. Tradizionalmente, il rilevamento delle minacce si basava pesantemente su tecniche basate su firme - essenzialmente impronte digitali di minacce conosciute. Questi metodi, sebbene efficaci contro malware familiari, lottavano contro attacchi zero-day e le tattiche sempre più sofisticate dei criminali informatici. Questa lacuna ha portato a un aumento dell'interesse nell'uso del ML per identificare anomalie, riconoscere schemi indicativi di comportamento malevolo e, in ultima analisi, prevedere attacchi prima che potessero svilupparsi completamente.

Una delle prime applicazioni di successo del ML nella sicurezza informatica è stata nel rilevamento dello spam, seguita da sistemi di rilevamento delle intrusioni basati su anomalie (IDS). Queste prime iterazioni si basavano pesantemente sull'apprendimento supervisionato, dove i dati storici - sia benigni che malevoli - venivano alimentati agli algoritmi per aiutarli a differenziare tra i due. Nel tempo, le soluzioni alimentate dal ML sono cresciute in complessità, incorporando l'apprendimento non supervisionato e persino l'apprendimento per rinforzo per adattarsi alla natura evolutiva delle minacce informatiche.

Sebbene gli approcci basati sul ML abbiano migliorato drasticamente i tassi di rilevamento e ridotto il carico di lavoro sui team di sicurezza, non erano privi di sfide. I falsi positivi sono diventati un problema significativo, creando "fatica da allerta" tra gli analisti di sicurezza. Inoltre, gli attaccanti hanno iniziato ad adattarsi, sfruttando tecniche avversariali per ingannare i modelli di machine learning. Tuttavia, l'evoluzione del ML ha trasformato la sicurezza informatica, introducendo forme di difesa più dinamiche e adattative.

Il ruolo attuale dei Large Language Models nella sicurezza informatica

Negli ultimi anni, l'introduzione di Large Language Models (LLMs) come GPT-4 ha cambiato la conversazione intorno all'AI nella sicurezza informatica. Questi modelli eccellono in compiti come sintetizzare grandi volumi di informazioni, riassumere rapporti e generare contenuti in linguaggio naturale. Nel campo della sicurezza informatica, i LLMs sono stati utilizzati per analizzare feed di intelligence sulle minacce, generare riassunti esecutivi e assistere nella documentazione - tutti compiti che richiedono la gestione di grandi quantità di dati e la loro presentazione in modo comprensibile.

Tuttavia, nonostante i loro punti di forza, i LLM non hanno ancora trovato un caso d'uso emblematico nella sicurezza informatica. Il loro valore spesso risiede nell'aumentare gli analisti umani piuttosto che sostituirli. Possono migliorare la produttività automatizzando compiti banali, ma mancano della comprensione contestuale profonda e delle capacità decisionali necessarie per la risposta agli incidenti o la caccia alle minacce. I LLM possono essere assistenti utili, ma lottano per superare questo ruolo, limitando il loro impatto nelle operazioni difensive del mondo reale.

La realtà dei copiloti di sicurezza: una soluzione in cerca di un problema?

Con l'ascesa dell'AI nello sviluppo software, è emerso il concetto di un "copilota per la sicurezza" - uno strumento destinato ad assistere gli analisti di sicurezza proprio come i copiloti di codifica aiutano gli sviluppatori a scrivere codice. L'idea era che un copilota alimentato dall'AI potesse agire come un analista virtuale del Centro Operativo di Sicurezza (SOC), aiutando a filtrare gli allarmi, contestualizzare gli incidenti e persino proporre azioni di risposta. Tuttavia, questa visione è in gran parte fallita.

Il problema centrale è che i copiloti di sicurezza non hanno ancora mantenuto la promessa di trasformare le operazioni del SOC. Non sostituiscono l'esperienza di un analista esperto né affrontano efficacemente alcun punto dolente evidente che gli analisti umani affrontano oggi. Piuttosto che servire come un analista virtuale affidabile, questi strumenti spesso diventano una "soluzione in cerca di un problema" - aggiungendo un altro strato di tecnologia che gli analisti devono comprendere e gestire, senza offrire un valore proporzionale. Ad esempio, il Copilota di Sicurezza di Microsoft, sebbene promettente, ha lottato per sostituire efficacemente il ruolo di un analista SOC qualificato, spesso fornendo suggerimenti che mancano di contesto o richiedono un intervento umano aggiuntivo per essere azionabili.

Parte della sfida è che la natura del lavoro di sicurezza informatica è intrinsecamente complessa e contestuale. Gli analisti del SOC operano in un ambiente ad alta pressione, assemblando informazioni frammentate, comprendendo le implicazioni più ampie di una minaccia e prendendo decisioni che richiedono una comprensione sfumata del contesto unico dell'organizzazione. Gli attuali copiloti di AI possono aiutare a restringere le opzioni o riassumere i dati, ma mancano della consapevolezza situazionale e della comprensione profonda necessarie per prendere decisioni critiche di sicurezza in modo efficace.

Il futuro dell'Agentic AI nella sicurezza informatica

Sebbene le implementazioni attuali abbiano lottato per trovare il loro ritmo, il futuro dell'AI nella sicurezza informatica potrebbe risiedere nello sviluppo dell'Agentic AI - sistemi di AI capaci di prendere azioni proattive e autonome. L'Agentic AI si riferisce a sistemi che possono valutare situazioni in modo indipendente e prendere decisioni senza intervento umano, permettendo un approccio più dinamico e adattativo alla sicurezza informatica. L'Agentic AI offre una direzione più promettente per la sicurezza difensiva permettendo potenzialmente a entità alimentate dall'AI di difendere attivamente i sistemi, partecipare alla caccia alle minacce e adattarsi a minacce nuove senza il bisogno costante di direzione umana. Microsoft ha alcuni grandi piani in quest'area per la prossima fase del Copilota di Sicurezza.

L'Agentic AI potrebbe colmare il divario tra automazione e autonomia nella sicurezza informatica. Invece di aspettare che un analista interpreti i dati o emetta comandi, l'Agentic AI potrebbe agire da sola: isolare un endpoint compromesso, reindirizzare il traffico di rete o persino partecipare a tecniche di inganno per confondere gli attaccanti. Tali capacità segnerebbero un salto significativo dai ruoli in gran parte passivi e assistivi che l'AI attualmente svolge.

Fidarsi della macchina

Le organizzazioni sono state tipicamente lente nell'adottare qualsiasi nuova tecnologia di sicurezza che sia capace di prendere azioni da sola. I falsi positivi sono sempre un rischio e nessuno vuole causare un'interruzione nella produzione o impedire a un dirigente senior di usare il proprio laptop basato su un'ipotesi falsa.

Gli attaccanti non hanno questo impedimento - useranno l'AI nella sua massima estensione per rubare dati, causare interruzioni e fare soldi. Telefonate deepfake, videotelefonate deepfake, email di phishing iper-personalizzate - queste minacce sono in aumento. È probabile che le organizzazioni nel 2025 affrontino il panorama di minacce più cupo nella storia della sicurezza informatica, guidato dall'uso malevolo dell'AI. Secondo un rapporto di Gartner, si prevede che la proliferazione di attacchi informatici alimentati dall'AI aumenterà significativamente entro il 2025, portando a un ambiente più impegnativo per i difensori. L'unico modo per combattere questo sarà essere parte della corsa agli armamenti - usando nuovi Agentic AI per prendere decisioni.

Ci saranno danni collaterali, ovviamente, gli utenti si lamenteranno e i team di sicurezza saranno incolpati, ma potrebbe finalmente essere il momento di combattere il fuoco con il fuoco e abbracciare il futuro del controllo dell'AI. Credo che il rischio di minacce di sicurezza alimentate dall'IA supererà il rischio di interruzioni causate dall'AI a causa di falsi positivi nel 2025 - e dovremmo iniziare a riconsiderare i nostri calcoli di rischio in un futuro molto prossimo quando la tecnologia sarà disponibile.

Scopri di più sulle nostre soluzioni di cybersecurity