L’aumento dell’utilizzo dell’intelligenza artificiale generativa all’interno delle aziende, che la utilizzano per automatizzare, ottimizzare e velocizzare produzione e operatività, sta cambiando pesantemente il panorama delle minacce informatiche, costringendo i responsabili della sicurezza a ripensare le strategie di protezione.
Di fronte ad attacchi sempre più evoluti, infatti, i CISO non possono più pensare di utilizzare solamente le soluzioni tradizionali cui fino ad oggi affidavano la sicurezza aziendale: serve una cybersecurity che sia potenziata anch’essa dalla GenAI, ma che sia anche integrata in un ecosistema più esteso, che comprenda i diversi aspetti della protezione aziendale. A segnalare questa esigenza è una recente survey condotta da CrowdStrike coinvolgendo oltre mille responsabili della sicurezza di diversi paesi che indica proprio come i CISO preferiscano utilizzare soluzioni di GenAI che facciano parte di piattaforme di sicurezza unificate, piuttosto che strumenti stand-alone. Una preferenza che nasce dall’esigenza di gestire la sicurezza in maniera centralizzata, sfruttando la potenza dell’intelligenza artificiale integrandola con le altre funzionalità, in modo da avere una difesa completa e coordinata.
“La GenAI che viene sviluppata con un focus specifico sulla cybersecurity, viene percepita dai responsabili della sicurezza IT come un moltiplicatore di forze che potenzia l’expertise umana, piuttosto che come una soluzione generica – ha commentato Luca Nilo Livrieri, director sales engineering Southern Europe di CrowdStrike -. L’indagine che abbiamo svolto mostra, infatti, che circa due terzi degli intervistati hanno già adottato o stanno esplorando soluzioni di GenAI per la sicurezza, e lo stanno facendo non con l’obiettivo di sostituire gli esperti, ma di amplificare le loro capacità. In particolare, la GenAI può migliorare l’efficienza operativa accelerando il cosiddetto “breakout time”, ossia il tempo critico che serve per identificare e rispondere agli attacchi, ed è in grado di gestire in maniera automatica dei workflow complessi, con effetti positivi su tutta la produttività”.
I vantaggi della GenAI in ambito sicurezza IT
Ma a questo si aggiunge un ulteriore elemento, che è la capacità propria della GenAI di consolidare dati che provengono da strumenti diversi, presentando risultati concreti e misurabili. Come, per esempio, nella riduzione del mean time to respond, vale a dire il tempo medio di risposta agli incidenti, che è proprio uno degli indicatori principali per valutare l’efficacia delle soluzioni di sicurezza e, quindi, giustificarne gli investimenti.

La possibilità di avere diverse funzionalità di sicurezza consolidate in un’unica piattaforma aiuta le aziende ad avere una risposta semplificata ai problemi legati alla sicurezza, aumentando la rapidità decisionale e il controllo sugli incidenti.
Il lavoro degli analisti di sicurezza viene quindi migliorato, semplificato e potenziato dall’intelligenza artificiale. E se l’approccio all’AI è ben progettato a fini strategici, il suo utilizzo da parte del personale specializzato contribuisce a rafforzare le sue competenze e a ottimizzare l’impiego delle risorse umane e tecnologiche, riducendo i costi. Si calcola infatti che una buona integrazione della GenAI può portare a risparmi economici e a una gestione più efficiente, con riduzioni dei costi per analista che, in alcuni casi, arrivano fino all’8%.
CrowdStrike avvisa: la GenAI è anche l’arma usata dagli attaccanti
Ma l’uso dell’intelligenza artificiale nella sicurezza può dare, oltre che vantaggi, anche qualche problema. Se la GenAI è ormai diventata uno strumento fondamentale per la difesa, può, infatti, diventare anche un obiettivo per gli attacchi. Il rischio associato all’AI non è trascurabile: solo il 39% degli intervistati ritiene che l’AI generativa sia del tutto sicura, mentre il 61% sottolinea l’importanza di doverla gestire con attenzione, calcolando i potenziali rischi di un suo uso non adeguato.
“Un argomento particolarmente rilevante, anche se non è direttamente affrontato nel report, è poi quello dello “shadow AI” – riprende Livrieri -, ossia l’uso non dichiarato, non censito o inconsapevole di strumenti di intelligenza artificiale all’interno delle aziende. Un’attività che CrowdStrike riesce a rilevare con l’analisi del traffico delle applicazioni, permettendo di identificare e monitorare le AI in uso, valorizzandone il potenziale e riuscendo così a dare una valutazione reale delle vulnerabilità e dei rischi. In particolar modo alla qualità e affidabilità degli output generati dai modelli avanzati di intelligenza artificiale”.
Che l’AI sia ormai di grandissimo supporto nel garantire la sicurezza aziendale è assodato, e Livrieri cita alcuni casi d’uso dove questo è evidente. Come il contributo che può dare nei SOC, dove la GenAI può accelerare il triage degli incidenti, riducendo il tempo che solitamente viene speso per l’investigazione, l’analisi dei falsi positivi e la prioritizzazione delle minacce.
Oppure, l’AI può fare simulazioni dei percorsi di attacco, fornendo una rappresentazione visiva delle possibili strade vulnerabili che gli aggressori potrebbero sfruttare. O, ancora, l’automatizzazione delle query necessarie quando viene integrata una nuova tecnologia all’interno dei SOC, riducendo notevolmente i tempi solitamente necessari per renderla operativa.
Console frammentate: CrowdStrike le unifica nei SOC
“Tra i principali problemi che gli analisti SOC devono affrontare c’è proprio la frammentazione delle console operative – spiega Livrieri -. È la cosiddetta “sindrome dell’analista SOC”, o della “sedia girevole”, che costringe i professionisti a passare continuamente da una console all’altra per monitorare e rispondere alle minacce. Con il rischio, però, di rallentare i processi decisionali e aumentando il rischio di errore. Se la GenAI è presente direttamente nella piattaforma, gli analisti possono lavorare in un ambiente unificato, limitando drasticamente anche i possibili errori”.
Per questi motivi la Generative AI dovrebbe essere già integrata nelle piattaforme di sicurezza “by design”, evitando così di sovraccaricare le infrastrutture esistenti con ulteriori livelli aggiunti e separati dal resto, in modo da riuscire a rispondere in maniera efficace agli attacchi multidominio, una delle tendenze attualmente più preoccupanti.
“Gli attacchi, infatti, possono iniziare su un web server esposto, spostarsi lateralmente su container e infine colpire gli endpoint – dettaglia Livrieri -. Per riuscire a contrastare questo tipo di minacce, bisogna avere una visione completa e unificata di tutto il perimetro di sicurezza aziendale. Le nuove modalità di attacchi puntano spesso al punto di incontro tra identità, dati aziendali e workload. Per questo motivo, l’identity management diventa un elemento fondamentale per la protezione delle infrastrutture”.
Falcon: la risposta CrowdStrike. Ecosistema di soluzioni, GenAI compresa
Le esigenze e preoccupazioni che la survey presso i responsabili della security ha mostrato, CrowdStrike le affronta con la propria piattaforma Falcon, in maniera modulare e scalabile, in modo da potersi di adattare alle esigenze di ambienti particolarmente complessi e frammentati. La piattaforma integra diverse componenti in modo da dare una protezione completa, semplificando il lavoro degli analisti SOC e dei system integrator, che spesso devono lavorare in contesti diversificati e con soluzioni di diversi vendor.
Falcon utilizza l’intelligenza artificiale generativa per automatizzare l’analisi delle minacce e velocizzare la risposta agli attacchi, mentre la modularità della sua architettura permette di gestire velocemente le vulnerabilità critiche come, per esempio, configurazioni errate o attacchi al dataset, garantendo l’affidabilità dei modelli AI.
Sono oltre 2.400 i partner tecnologici con cui CrowdStrike collabora, un’ampia possibilità di integrazioni con soluzioni di altri brand a favore di una flessibilità che permette alle aziende di tutte le dimensioni, comprese le PMI, di accedere a strumenti di protezione avanzata attraverso i servizi offerti da Managed Service Provider, riducendo i costi e semplificando la gestione.