Come può essere utilizzata l'intelligenza artificiale generativa nella sicurezza informatica?

Introduzione

L'IA generativa – sistemi di intelligenza artificiale in grado di creare nuovi contenuti o previsioni – sta emergendo come una forza trasformativa nella sicurezza informatica. Strumenti come GPT-4 di OpenAI hanno dimostrato la capacità di analizzare dati complessi e generare testo di tipo umano, consentendo nuovi approcci alla difesa dalle minacce informatiche. Professionisti della sicurezza informatica e decisori aziendali di tutti i settori stanno esplorando come l'IA generativa possa rafforzare le difese contro gli attacchi in continua evoluzione. Dalla finanza alla sanità, dalla vendita al dettaglio alla pubblica amministrazione, le organizzazioni di ogni settore affrontano sofisticati tentativi di phishing, malware e altre minacce che l'IA generativa potrebbe contribuire a contrastare. In questo white paper, esaminiamo come l'IA generativa può essere utilizzata nella sicurezza informatica , evidenziando applicazioni concrete, possibilità future e importanti considerazioni per l'adozione.

L'IA generativa si differenzia dall'IA analitica tradizionale non solo perché rileva modelli, ma anche crea contenuti, simulando attacchi per addestrare le difese o producendo spiegazioni in linguaggio naturale per dati di sicurezza complessi. Questa duplice capacità la rende un'arma a doppio taglio: offre nuovi e potenti strumenti difensivi, ma anche gli aggressori possono sfruttarli. Le sezioni seguenti esplorano un'ampia gamma di casi d'uso dell'IA generativa nella sicurezza informatica, dall'automazione del rilevamento del phishing al miglioramento della risposta agli incidenti. Discuteremo anche i vantaggi promessi da queste innovazioni di IA, insieme ai rischi (come le "allucinazioni" dell'IA o l'uso improprio da parte degli avversari) che le organizzazioni devono gestire. Infine, forniremo spunti pratici per aiutare le aziende a valutare e integrare responsabilmente l'IA generativa nelle loro strategie di sicurezza informatica.

Intelligenza artificiale generativa nella sicurezza informatica: una panoramica

L'intelligenza artificiale generativa nella sicurezza informatica si riferisce a modelli di intelligenza artificiale – spesso modelli linguistici di grandi dimensioni o altre reti neurali – in grado di generare insight, raccomandazioni, codice o persino dati sintetici per supportare le attività di sicurezza. A differenza dei modelli puramente predittivi, l'intelligenza artificiale generativa può simulare scenari e produrre output leggibili dall'uomo (ad esempio report, avvisi o persino esempi di codice dannoso) basati sui suoi dati di addestramento. Questa capacità viene sfruttata per prevedere, rilevare e rispondere alle minacce in modi più dinamici rispetto al passato ( Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks ). Ad esempio, i modelli generativi possono analizzare ampi log o repository di threat intelligence e produrre un riepilogo conciso o un'azione consigliata, funzionando quasi come un "assistente" di intelligenza artificiale per i team di sicurezza.

Le prime implementazioni dell'intelligenza artificiale generativa per la difesa informatica si sono rivelate promettenti. Nel 2023, Microsoft ha introdotto Security Copilot , un assistente basato su GPT-4 per gli analisti della sicurezza, per aiutare a identificare le violazioni e a setacciare i 65 trilioni di segnali che Microsoft elabora quotidianamente ( Microsoft Security Copilot è un nuovo assistente AI basato su GPT-4 per la sicurezza informatica | The Verge ). Gli analisti possono avviare questo sistema in linguaggio naturale (ad esempio "Riepiloga tutti gli incidenti di sicurezza nelle ultime 24 ore" ) e il copilota produrrà un utile riepilogo narrativo. Analogamente, l'intelligenza artificiale di Threat Intelligence utilizza un modello generativo chiamato Gemini per abilitare la ricerca conversazionale attraverso il vasto database di informazioni sulle minacce di Google, analizzando rapidamente il codice sospetto e riassumendo i risultati per aiutare i cacciatori di malware ( Come si può utilizzare l'intelligenza artificiale generativa nella sicurezza informatica? 10 esempi reali ). Questi esempi illustrano il potenziale: l'intelligenza artificiale generativa può elaborare dati di sicurezza informatica complessi e su larga scala e presentare informazioni in un formato accessibile, accelerando il processo decisionale.

Allo stesso tempo, l'IA generativa può creare contenuti falsi altamente realistici, il che rappresenta un vantaggio per la simulazione e l'addestramento (e, purtroppo, per gli aggressori che elaborano tecniche di ingegneria sociale). Passando a casi d'uso specifici, vedremo che la capacità dell'IA generativa di sintetizzare e analizzare le informazioni è alla base delle sue numerose applicazioni di sicurezza informatica. Di seguito, analizzeremo i principali casi d'uso, che spaziano dalla prevenzione del phishing allo sviluppo di software sicuro, con esempi di come ciascuno di essi viene applicato in diversi settori.

Principali applicazioni dell'intelligenza artificiale generativa nella sicurezza informatica

Figura: I principali casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica includono copiloti di intelligenza artificiale per i team di sicurezza, analisi delle vulnerabilità del codice, rilevamento adattivo delle minacce, simulazione di attacchi zero-day, sicurezza biometrica avanzata e rilevamento del phishing ( 6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ).

Rilevamento e prevenzione del phishing

Il phishing rimane una delle minacce informatiche più diffuse, inducendo gli utenti a cliccare su link dannosi o a divulgare credenziali. L'intelligenza artificiale generativa viene impiegata sia per rilevare i tentativi di phishing sia per rafforzare la formazione degli utenti, al fine di prevenire attacchi riusciti. Sul fronte difensivo, i modelli di intelligenza artificiale possono analizzare il contenuto delle email e il comportamento dei mittenti per individuare sottili segnali di phishing che i filtri basati su regole potrebbero non rilevare. Imparando da ampi set di dati di email legittime e fraudolente, un modello generativo può segnalare anomalie nel tono, nella formulazione o nel contesto che indicano una truffa, anche quando grammatica e ortografia non la rivelano più. Infatti, i ricercatori di Palo Alto Networks osservano che l'intelligenza artificiale generativa può identificare "sottili segnali di email di phishing che altrimenti potrebbero passare inosservati", aiutando le organizzazioni a rimanere un passo avanti ai truffatori ( Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks ).

I team di sicurezza utilizzano l'intelligenza artificiale generativa anche per simulare attacchi di phishing a scopo di formazione e analisi. Ad esempio, Ironscales ha introdotto uno strumento di simulazione di phishing basato su GPT che genera automaticamente false email di phishing personalizzate per i dipendenti di un'organizzazione ( Come si può utilizzare l'intelligenza artificiale generativa nella sicurezza informatica? 10 esempi concreti ). Queste email create dall'intelligenza artificiale riflettono le più recenti tattiche degli aggressori, offrendo al personale una pratica realistica nell'individuazione di contenuti di phishing. Questa formazione personalizzata è fondamentale poiché gli aggressori stessi adottano l'intelligenza artificiale per creare esche più convincenti. In particolare, mentre l'intelligenza artificiale generativa può produrre messaggi di phishing molto curati (sono finiti i giorni dell'inglese stentato facilmente individuabile), i difensori hanno scoperto che l'intelligenza artificiale non è imbattibile. Nel 2024, i ricercatori di IBM Security hanno condotto un esperimento confrontando email di phishing scritte da esseri umani con quelle generate dall'intelligenza artificiale e "sorprendentemente, le email generate dall'intelligenza artificiale erano comunque facili da rilevare nonostante la grammatica fosse corretta" ( 6 casi d'uso per l'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Ciò suggerisce che l'intuizione umana, combinata con il rilevamento assistito dall'intelligenza artificiale, può ancora riconoscere sottili incongruenze o segnali di metadati nelle truffe scritte dall'intelligenza artificiale.

L'intelligenza artificiale generativa supporta la difesa dal phishing anche in altri modi. I modelli possono essere utilizzati per generare risposte automatiche o filtri che testano le email sospette. Ad esempio, un sistema di intelligenza artificiale potrebbe rispondere a un'email con determinate query per verificare la legittimità del mittente o utilizzare un LLM per analizzare i link e gli allegati di un'email in una sandbox, quindi riassumere eventuali intenti malevoli. La piattaforma di sicurezza Morpheus dimostra la potenza dell'intelligenza artificiale in questo ambito: utilizza modelli di NLP generativi per analizzare e classificare rapidamente le email e ha dimostrato di migliorare il rilevamento delle email di spear-phishing del 21% rispetto agli strumenti di sicurezza tradizionali ( 6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Morpheus profila persino i modelli di comunicazione degli utenti per rilevare comportamenti insoliti (come un utente che invia improvvisamente email a molti indirizzi esterni), che possono indicare un account compromesso che invia email di phishing.

Nella pratica, le aziende di tutti i settori stanno iniziando ad affidarsi all'intelligenza artificiale per filtrare e-mail e traffico web dagli attacchi di ingegneria sociale. Le società finanziarie, ad esempio, utilizzano l'intelligenza artificiale generativa per analizzare le comunicazioni alla ricerca di tentativi di impersonificazione che potrebbero portare a frodi telematiche, mentre gli operatori sanitari utilizzano l'intelligenza artificiale per proteggere i dati dei pazienti dalle violazioni legate al phishing. Generando scenari di phishing realistici e identificando i tratti distintivi dei messaggi dannosi, l'intelligenza artificiale generativa aggiunge un potente livello alle strategie di prevenzione del phishing. La conclusione: l'intelligenza artificiale può aiutare a rilevare e disarmare gli attacchi di phishing in modo più rapido e accurato, anche quando gli aggressori utilizzano la stessa tecnologia per migliorare le proprie strategie.

Rilevamento malware e analisi delle minacce

Il malware moderno è in continua evoluzione: gli aggressori generano nuove varianti o offuscano il codice per aggirare le firme antivirus. L'intelligenza artificiale generativa offre nuove tecniche sia per rilevare il malware che per comprenderne il comportamento. Un approccio consiste nell'utilizzare l'intelligenza artificiale per generare "gemelli malvagi" del malware : i ricercatori di sicurezza possono inserire un campione di malware noto in un modello generativo per creare numerose varianti mutate di quel malware. In questo modo, anticipano efficacemente le modifiche che un aggressore potrebbe apportare. Queste varianti generate dall'intelligenza artificiale possono quindi essere utilizzate per addestrare i sistemi antivirus e di rilevamento delle intrusioni, in modo che anche le versioni modificate del malware vengano riconosciute in the wild ( 6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questa strategia proattiva aiuta a interrompere il ciclo in cui gli hacker modificano leggermente il loro malware per eludere il rilevamento e i difensori devono affrettarsi a scrivere nuove firme ogni volta. Come sottolineato in un podcast del settore, gli esperti di sicurezza ora utilizzano l'intelligenza artificiale generativa per "simulare il traffico di rete e generare payload dannosi che imitano attacchi sofisticati", sottoponendo a stress test le proprie difese contro un'intera famiglia di minacce anziché una singola istanza. Questo rilevamento adattivo delle minacce significa che gli strumenti di sicurezza diventano più resilienti al malware polimorfico che altrimenti sfuggirebbe.

Oltre al rilevamento, l'intelligenza artificiale generativa supporta l'analisi del malware e il reverse engineering , che tradizionalmente sono attività laboriose per gli analisti delle minacce. I modelli linguistici di grandi dimensioni possono essere incaricati di esaminare codice o script sospetti e spiegare in linguaggio semplice a cosa serve il codice. Un esempio concreto è VirusTotal Code Insight , una funzionalità di VirusTotal di Google che sfrutta un modello di intelligenza artificiale generativa (Sec-PaLM di Google) per produrre riepiloghi in linguaggio naturale di codice potenzialmente dannoso ( Come si usa l'intelligenza artificiale generativa nella sicurezza informatica? 10 esempi concreti ). Si tratta essenzialmente di "un tipo di ChatGPT dedicato alla codifica di sicurezza", che funge da analista di malware basato sull'intelligenza artificiale e lavora 24 ore su 24, 7 giorni su 7 per aiutare gli analisti umani a comprendere le minacce ( 6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Invece di dover analizzare attentamente uno script o un codice binario sconosciuto, un membro del team di sicurezza può ottenere una spiegazione immediata dall'IA, ad esempio: "Questo script tenta di scaricare un file dal server XYZ e quindi di modificare le impostazioni di sistema, il che è indicativo del comportamento di un malware". Ciò accelera notevolmente la risposta agli incidenti, poiché gli analisti possono classificare e comprendere i nuovi malware più velocemente che mai.

L'intelligenza artificiale generativa viene utilizzata anche per individuare malware in enormi set di dati . I motori antivirus tradizionali analizzano i file alla ricerca di firme note, ma un modello generativo può valutare le caratteristiche di un file e persino prevedere se è dannoso in base a modelli appresi. Analizzando gli attributi di miliardi di file (dannosi e benigni), un'intelligenza artificiale potrebbe individuare intenti malevoli anche in assenza di firme esplicite. Ad esempio, un modello generativo potrebbe contrassegnare un eseguibile come sospetto perché il suo profilo comportamentale "sembra" una leggera variazione del ransomware rilevato durante l'addestramento, nonostante il binario sia nuovo. Questo rilevamento basato sul comportamento aiuta a contrastare malware nuovi o zero-day. L'intelligenza artificiale per l'intelligence delle minacce di Google (parte di Chronicle/Mandiant) utilizza il suo modello generativo per analizzare codice potenzialmente dannoso e "assistere in modo più efficiente ed efficace i professionisti della sicurezza nella lotta contro malware e altri tipi di minacce". ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ).

D'altro canto, dobbiamo riconoscere che gli aggressori possono utilizzare l'IA generativa anche in questo caso, per creare automaticamente malware che si adattano. Infatti, gli esperti di sicurezza avvertono che l'IA generativa può aiutare i criminali informatici a sviluppare malware più difficili da rilevare ( Cos'è l'IA generativa nella sicurezza informatica? - Palo Alto Networks ). Un modello di IA può essere istruito a modificare ripetutamente un malware (modificandone la struttura dei file, i metodi di crittografia, ecc.) fino a eludere tutti i controlli antivirus noti. Questo uso antagonistico è una preoccupazione crescente (a volte definito "malware basato sull'IA" o malware polimorfico come servizio). Discuteremo di questi rischi più avanti, ma sottolinea che l'IA generativa è uno strumento in questo gioco del gatto e del topo utilizzato sia dai difensori che dagli aggressori.

Nel complesso, l'intelligenza artificiale generativa migliora la difesa dal malware consentendo ai team di sicurezza di pensare come un aggressore , generando internamente nuove minacce e soluzioni. Che si tratti di produrre malware sintetico per migliorare i tassi di rilevamento o di utilizzare l'intelligenza artificiale per spiegare e contenere malware reali presenti nelle reti, queste tecniche sono applicabili a tutti i settori. Una banca potrebbe utilizzare l'analisi del malware basata sull'intelligenza artificiale per analizzare rapidamente una macro sospetta in un foglio di calcolo, mentre un'azienda manifatturiera potrebbe affidarsi all'intelligenza artificiale per rilevare malware che prendono di mira i sistemi di controllo industriale. Potenziando l'analisi tradizionale del malware con l'intelligenza artificiale generativa, le organizzazioni possono rispondere alle campagne malware in modo più rapido e proattivo rispetto al passato.

Threat Intelligence e analisi automatizzata

Ogni giorno, le organizzazioni vengono bombardate da dati di threat intelligence, dai feed di indicatori di compromissione (IOC) appena scoperti ai report degli analisti sulle tattiche emergenti degli hacker. La sfida per i team di sicurezza è setacciare questa marea di informazioni ed estrarre informazioni utili. L'intelligenza artificiale generativa si sta rivelando preziosa nell'automatizzare l'analisi e l'utilizzo di threat intelligence . Invece di leggere manualmente decine di report o voci di database, gli analisti possono utilizzare l'intelligenza artificiale per riassumere e contestualizzare le informazioni sulle minacce alla velocità di una macchina.

Un esempio concreto è Threat Intelligence , che integra l'intelligenza artificiale generativa (il modello Gemini) con i dati sulle minacce di Google provenienti da Mandiant e VirusTotal. Questa intelligenza artificiale fornisce una "ricerca conversazionale nell'ampio archivio di informazioni sulle minacce di Google" , consentendo agli utenti di porre domande naturali sulle minacce e ottenere risposte distillate ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Ad esempio, un analista potrebbe chiedere: "Abbiamo visto malware correlato al gruppo di minacce X che prende di mira il nostro settore?" e l'intelligenza artificiale estrarrà le informazioni pertinenti, magari annotando "Sì, il gruppo di minacce X è stato collegato a una campagna di phishing il mese scorso utilizzando il malware Y" , insieme a un riepilogo del comportamento di tale malware. Questo riduce drasticamente il tempo necessario per raccogliere informazioni che altrimenti richiederebbero l'interrogazione di più strumenti o la lettura di lunghi report.

L'intelligenza artificiale generativa può anche correlare e riassumere le tendenze delle minacce . Potrebbe analizzare migliaia di post di blog sulla sicurezza, notizie sulle violazioni e discussioni sul dark web e quindi generare un riepilogo esecutivo delle "principali minacce informatiche della settimana" per il briefing di un CISO. Tradizionalmente, questo livello di analisi e reporting richiedeva un notevole sforzo umano; ora un modello ben ottimizzato può elaborarlo in pochi secondi, con gli esseri umani che si limitano a perfezionare l'output. Aziende come ZeroFox hanno sviluppato FoxGPT , uno strumento di intelligenza artificiale generativa specificamente progettato per "accelerare l'analisi e la sintesi dell'intelligence su grandi set di dati", inclusi contenuti dannosi e dati di phishing ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi reali ). Automatizzando il pesante lavoro di lettura e di incrocio dei dati, l'intelligenza artificiale consente ai team di intelligence sulle minacce di concentrarsi sul processo decisionale e sulla risposta.

Un altro caso d'uso è la caccia alle minacce conversazionale . Immaginate un analista della sicurezza che interagisce con un assistente AI: "Mostrami eventuali segnali di esfiltrazione di dati nelle ultime 48 ore" o "Quali sono le principali nuove vulnerabilità sfruttate dagli aggressori questa settimana?". L'AI può interpretare la query, cercare nei log interni o in fonti di intelligence esterne e rispondere con una risposta chiara o persino con un elenco di incidenti rilevanti. Non è un'ipotesi inverosimile: i moderni sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) stanno iniziando a integrare le query in linguaggio naturale. La suite di sicurezza QRadar di IBM, ad esempio, aggiungerà funzionalità di AI generativa nel 2024 per consentire agli analisti di "porre [...] domande specifiche sul percorso di attacco riassuntivo" di un incidente e ottenere risposte dettagliate. Può anche automaticamente informazioni sulle minacce altamente rilevanti" Come può l'AI generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). In sostanza, l'AI generativa trasforma montagne di dati tecnici in informazioni dettagliate delle dimensioni di una chat su richiesta.

Questo ha implicazioni significative in tutti i settori. Un operatore sanitario può utilizzare l'intelligenza artificiale per rimanere aggiornato sulle ultime minacce informatiche dei gruppi ransomware che prendono di mira gli ospedali, senza dover dedicare un analista alla ricerca a tempo pieno. Il SOC di un'azienda di vendita al dettaglio può riassumere rapidamente le nuove tattiche malware POS durante il briefing con il personale IT del punto vendita. E nella pubblica amministrazione, dove i dati sulle minacce provenienti da diverse agenzie devono essere sintetizzati, l'intelligenza artificiale può produrre report unificati che evidenziano gli avvisi chiave. Automatizzando la raccolta e l'interpretazione delle informazioni sulle minacce , l'intelligenza artificiale generativa aiuta le organizzazioni a reagire più rapidamente alle minacce emergenti e riduce il rischio di perdere avvisi critici nascosti nel rumore di fondo.

Ottimizzazione del Security Operations Center (SOC)

I Security Operations Center sono noti per la loro eccessiva gestione degli avvisi e per l'enorme quantità di dati che li caratterizza. Un tipico analista SOC potrebbe dover analizzare migliaia di avvisi ed eventi ogni giorno, indagando su potenziali incidenti. L'intelligenza artificiale generativa agisce come un moltiplicatore di forza nei SOC automatizzando il lavoro di routine, fornendo riepiloghi intelligenti e persino orchestrando alcune risposte. L'obiettivo è ottimizzare i flussi di lavoro dei SOC in modo che gli analisti umani possano concentrarsi sui problemi più critici mentre il copilota dell'intelligenza artificiale si occupa del resto.

Un'applicazione importante è l'utilizzo dell'IA generativa come "copilota dell'analista" . Security Copilot di Microsoft, come già accennato, ne è un esempio: "è progettato per supportare il lavoro di un analista della sicurezza piuttosto che sostituirlo", aiutando nelle indagini e nella segnalazione degli incidenti ( Microsoft Security Copilot è un nuovo assistente di IA GPT-4 per la sicurezza informatica | The Verge ). In pratica, questo significa che un analista può inserire dati grezzi – registri del firewall, una cronologia di eventi o una descrizione di un incidente – e chiedere all'IA di analizzarli o riassumerli. Il copilota potrebbe produrre una descrizione del tipo: "Sembra che alle 2:35 del mattino, un accesso sospetto dall'IP X sia riuscito sul server Y, seguito da trasferimenti di dati insoliti, indicando una potenziale violazione di quel server". Questo tipo di contestualizzazione immediata è preziosissima quando il tempo è essenziale.

I copiloti dell'IA contribuiscono anche a ridurre l'onere del triage di livello 1. Secondo i dati del settore, un team di sicurezza può dedicare 15 ore a settimana solo a esaminare circa 22.000 avvisi e falsi positivi ( 6 casi d'uso dell'IA generativa nella sicurezza informatica [+ esempi] ). Con l'IA generativa, molti di questi avvisi possono essere automaticamente classificati: l'IA può ignorare quelli chiaramente benigni (con una motivazione) ed evidenziare quelli che necessitano realmente attenzione, a volte persino suggerendone la priorità. Infatti, la capacità dell'IA generativa di comprendere il contesto le consente di correlare in modo incrociato avvisi che potrebbero sembrare innocui se presi singolarmente, ma che insieme indicano un attacco in più fasi. Questo riduce la possibilità di perdere un attacco a causa della "stanchezza da avviso".

Gli analisti SOC utilizzano anche il linguaggio naturale con l'intelligenza artificiale per accelerare la ricerca e le indagini. Purple AI , ad esempio, combina un'interfaccia basata su LLM con dati di sicurezza in tempo reale, consentendo agli analisti di "porre domande complesse sulla ricerca delle minacce in un linguaggio semplice e ottenere risposte rapide e accurate" ( Come si usa l'intelligenza artificiale generativa nella sicurezza informatica? 10 esempi concreti ). Un analista potrebbe digitare: "Qualche endpoint ha comunicato con il dominio badguy123[.]com nell'ultimo mese?" e Purple AI cercherà nei log per rispondere. Questo evita all'analista di dover scrivere query o script per il database: l'intelligenza artificiale lo fa da sé. Ciò significa anche che gli analisti junior possono gestire attività che in precedenza richiedevano un ingegnere esperto con competenze nei linguaggi di query, migliorando efficacemente le competenze del team grazie all'assistenza dell'intelligenza artificiale . In effetti, gli analisti segnalano che la guida dell'intelligenza artificiale generativa "aumenta le loro competenze e abilità" , poiché il personale junior può ora ottenere supporto di codifica su richiesta o suggerimenti di analisi dall'intelligenza artificiale, riducendo la necessità di chiedere sempre aiuto ai membri senior del team ( 6 casi d'uso per l'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ).

Un'altra ottimizzazione del SOC è la sintesi e la documentazione automatizzate degli incidenti . Dopo la gestione di un incidente, qualcuno deve redigere il report, un compito che molti trovano noioso. L'intelligenza artificiale generativa può acquisire i dati forensi (log di sistema, analisi del malware, cronologia delle azioni) e generare una prima bozza del report sull'incidente. IBM sta integrando questa funzionalità in QRadar in modo che con un solo clic sia possibile produrre un riepilogo di un incidente per diverse parti interessate (dirigenti, team IT, ecc.) ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Questo non solo fa risparmiare tempo, ma garantisce anche che nulla venga trascurato nel report, poiché l'intelligenza artificiale può includere tutti i dettagli rilevanti in modo coerente. Allo stesso modo, per la conformità e l'audit, l'intelligenza artificiale può compilare moduli o tabelle di prova in base ai dati dell'incidente.

I risultati concreti sono convincenti. I primi ad adottare la soluzione SOAR (security orchestration, automation and response) basata sull'intelligenza artificiale di Swimlane segnalano enormi guadagni di produttività: Global Data Systems, ad esempio, ha visto il proprio team SecOps gestire un carico di lavoro molto più ampio; un direttore ha affermato: "Quello che faccio oggi con 7 analisti probabilmente richiederebbe 20 membri dello staff senza" l'automazione basata sull'intelligenza artificiale ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica ). In altre parole, l'intelligenza artificiale nel SOC può moltiplicare la capacità . In tutti i settori, che si tratti di un'azienda tecnologica che gestisce avvisi di sicurezza cloud o di uno stabilimento di produzione che monitora i sistemi OT, i team SOC possono ottenere rilevamento e risposta più rapidi, meno incidenti persi e operazioni più efficienti adottando assistenti basati sull'intelligenza artificiale generativa. Si tratta di lavorare in modo più intelligente, consentendo alle macchine di gestire le attività ripetitive e ad alto contenuto di dati, in modo che gli esseri umani possano applicare il loro intuito e la loro competenza dove più conta.

Gestione delle vulnerabilità e simulazione delle minacce

Identificare e gestire le vulnerabilità – debolezze di software o sistemi che gli aggressori potrebbero sfruttare – è una funzione fondamentale della sicurezza informatica. L'intelligenza artificiale generativa sta migliorando la gestione delle vulnerabilità accelerandone l'individuazione, facilitando la prioritizzazione delle patch e persino simulando attacchi a tali vulnerabilità per migliorare la preparazione. In sostanza, l'intelligenza artificiale aiuta le organizzazioni a individuare e correggere più rapidamente le falle nella propria armatura e proattivamente le difese prima che lo facciano i veri aggressori.

Un'applicazione significativa è l'utilizzo dell'IA generativa per la revisione automatica del codice e l'individuazione delle vulnerabilità . Le basi di codice di grandi dimensioni (in particolare i sistemi legacy) spesso nascondono falle di sicurezza che passano inosservate. I modelli di IA generativa possono essere addestrati su pratiche di codifica sicure e modelli di bug comuni, quindi attivati ​​sul codice sorgente o sui binari compilati per individuare potenziali vulnerabilità. Ad esempio, i ricercatori NVIDIA hanno sviluppato una pipeline di IA generativa in grado di analizzare i contenitori software legacy e identificare le vulnerabilità "con elevata precisione, fino a 4 volte più velocemente degli esperti umani" ( 6 casi d'uso per l'IA generativa nella sicurezza informatica [+ esempi] ). L'IA ha essenzialmente imparato l'aspetto del codice non sicuro ed è stata in grado di analizzare software vecchi di decenni per segnalare funzioni e librerie rischiose, accelerando notevolmente il processo normalmente lento di auditing manuale del codice. Questo tipo di strumento può rappresentare una svolta per settori come la finanza o la pubblica amministrazione che si affidano a basi di codice di grandi dimensioni e datate: l'IA aiuta a modernizzare la sicurezza individuando problemi che il personale potrebbe impiegare mesi o anni per trovare (se mai lo fa).

L'intelligenza artificiale generativa supporta anche i flussi di lavoro di gestione delle vulnerabilità elaborando i risultati delle scansioni di vulnerabilità e assegnando loro la priorità. Strumenti come ExposureAI utilizzano l'intelligenza artificiale generativa per consentire agli analisti di interrogare i dati sulle vulnerabilità in un linguaggio semplice e ottenere risposte immediate ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). ExposureAI può "riassumere l'intero percorso di attacco in una narrazione" per una determinata vulnerabilità critica, spiegando come un aggressore potrebbe concatenarla ad altre debolezze per compromettere un sistema. Raccomanda persino azioni correttive e risponde a domande di follow-up sul rischio. Ciò significa che quando viene annunciata una nuova CVE (vulnerabilità ed esposizioni comuni) critica, un analista potrebbe chiedere all'intelligenza artificiale: "Qualcuno dei nostri server è interessato da questa CVE e qual è lo scenario peggiore se non applichiamo una patch?" e ricevere una valutazione chiara basata sui dati di scansione dell'organizzazione. Contestualizzando le vulnerabilità (ad esempio, questa è esposta a Internet e su un server di alto valore, quindi ha la massima priorità), l'intelligenza artificiale generativa aiuta i team ad applicare patch in modo intelligente con risorse limitate.

Oltre a individuare e gestire vulnerabilità note, l'IA generativa contribuisce ai penetration test e alla simulazione di attacchi , scoprendo essenzialmente sconosciute o testando i controlli di sicurezza. Le reti generative avversarie (GAN), un tipo di IA generativa, sono state utilizzate per creare dati sintetici che imitano il traffico di rete reale o il comportamento degli utenti, che possono includere modelli di attacco nascosti. Uno studio del 2023 ha suggerito di utilizzare le GAN per generare un traffico di attacco zero-day realistico per addestrare i sistemi di rilevamento delle intrusioni ( 6 casi d'uso per l'IA generativa nella sicurezza informatica [+ esempi] ). Alimentando l'IDS con scenari di attacco creati dall'IA (che non comportano il rischio di utilizzare malware reale sulle reti di produzione), le organizzazioni possono addestrare le proprie difese a riconoscere nuove minacce senza aspettare di esserne colpite nella realtà. Allo stesso modo, l'IA può simulare un aggressore che sonda un sistema, ad esempio provando automaticamente diverse tecniche di exploit in un ambiente sicuro per vedere se qualcuna ha successo. La Defense Advanced Research Projects Agency (DARPA) degli Stati Uniti vede in questo un potenziale promettente: la sua AI Cyber ​​Challenge del 2023 utilizza esplicitamente l'intelligenza artificiale generativa (come i modelli linguistici di grandi dimensioni) per "trovare e correggere automaticamente le vulnerabilità nel software open source" nell'ambito di una competizione ( DARPA mira a sviluppare applicazioni di intelligenza artificiale e autonomia di cui i combattenti possano fidarsi > Dipartimento della Difesa degli Stati Uniti > Notizie del Dipartimento della Difesa ). Questa iniziativa sottolinea che l'intelligenza artificiale non si limita a colmare le falle note, ma ne scopre attivamente di nuove e propone soluzioni, un compito tradizionalmente riservato a ricercatori esperti (e costosi) nel campo della sicurezza.

L'intelligenza artificiale generativa può persino creare honeypot intelligenti e gemelli digitali per la difesa. Le startup stanno sviluppando sistemi di esca basati sull'intelligenza artificiale che emulano in modo convincente server o dispositivi reali. Come ha spiegato un CEO, l'intelligenza artificiale generativa può "clonare sistemi digitali per imitare quelli reali e attirare gli hacker" ( 6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questi honeypot generati dall'intelligenza artificiale si comportano come l'ambiente reale (ad esempio, un falso dispositivo IoT che invia telemetria normale), ma esistono solo per attirare gli aggressori. Quando un aggressore prende di mira l'esca, l'intelligenza artificiale lo ha essenzialmente ingannato, inducendolo a rivelare i suoi metodi, che i difensori possono quindi studiare e utilizzare per rafforzare i sistemi reali. Questo concetto, basato sulla modellazione generativa, fornisce un modo lungimirante per ribaltare la situazione nei confronti degli aggressori , utilizzando l'inganno potenziato dall'intelligenza artificiale.

In tutti i settori, una gestione delle vulnerabilità più rapida e intelligente si traduce in un minor numero di violazioni. Nell'IT sanitario, ad esempio, l'IA potrebbe individuare rapidamente una libreria obsoleta e vulnerabile in un dispositivo medico e richiedere una correzione del firmware prima che un aggressore la sfrutti. Nel settore bancario, l'IA potrebbe simulare un attacco interno a una nuova applicazione per garantire la sicurezza dei dati dei clienti in qualsiasi scenario. L'IA generativa funge quindi sia da microscopio che da stress test per la sicurezza delle organizzazioni: evidenzia difetti nascosti e sollecita i sistemi in modi creativi per garantirne la resilienza.

Generazione di codice sicuro e sviluppo software

Le potenzialità dell'IA generativa non si limitano al rilevamento degli attacchi, ma si estendono anche alla creazione di sistemi più sicuri fin dall'inizio . Nello sviluppo software, i generatori di codice basati sull'IA (come GitHub Copilot, OpenAI Codex, ecc.) possono aiutare gli sviluppatori a scrivere codice più velocemente suggerendo frammenti di codice o persino intere funzioni. L'aspetto della sicurezza informatica consiste nel garantire che questi frammenti di codice suggeriti dall'IA siano sicuri e nell'utilizzare l'IA per migliorare le pratiche di programmazione.

Da un lato, l'IA generativa può fungere da assistente di programmazione che incorpora le migliori pratiche di sicurezza . Gli sviluppatori possono richiedere a uno strumento di IA di "Generare una funzione di reimpostazione della password in Python" e, idealmente, ottenere codice che non solo sia funzionale, ma che segua anche linee guida di sicurezza (ad esempio, corretta convalida dell'input, registrazione, gestione degli errori senza perdite di informazioni, ecc.). Un tale assistente, formato su esempi di codice sicuro approfonditi, può contribuire a ridurre gli errori umani che portano a vulnerabilità. Ad esempio, se uno sviluppatore dimentica di sanificare l'input dell'utente (aprendo la porta a SQL injection o problemi simili), un'IA potrebbe includerlo di default o avvisarlo. Alcuni strumenti di programmazione di IA vengono ora perfezionati con dati incentrati sulla sicurezza per servire proprio a questo scopo: in sostanza, l'IA abbina la programmazione a una coscienza di sicurezza .

Tuttavia, c'è un rovescio della medaglia: l'IA generativa può introdurre vulnerabilità con la stessa facilità se non gestita correttamente. Come ha osservato l'esperto di sicurezza di Sophos Ben Verschaeren, l'utilizzo dell'IA generativa per la codifica è "adatto per codice breve e verificabile, ma rischioso quando codice non controllato viene integrato" nei sistemi di produzione. Il rischio è che un'IA possa produrre codice logicamente corretto ma insicuro in modi che un non esperto potrebbe non notare. Inoltre, gli autori di attacchi potrebbero influenzare intenzionalmente i modelli di IA pubblici, iniettandoli con pattern di codice vulnerabili (una forma di data poisoning), in modo che l'IA suggerisca codice non sicuro. La maggior parte degli sviluppatori non è esperta di sicurezza , quindi se un'IA suggerisce una soluzione conveniente, potrebbero usarla ciecamente, senza rendersi conto che presenta una falla ( 6 casi d'uso per l'IA generativa nella sicurezza informatica [+ esempi] ). Questa preoccupazione è reale: infatti, esiste ora una lista OWASP Top 10 per LLM (grandi modelli linguistici) che delinea rischi comuni come questo nell'utilizzo dell'IA per la codifica.

Per contrastare questi problemi, gli esperti suggeriscono di "combattere l'IA generativa con l'IA generativa" nell'ambito della programmazione. In pratica, ciò significa utilizzare l'IA per rivedere e testare il codice scritto da altre IA (o esseri umani). Un'IA può analizzare i nuovi commit di codice molto più velocemente di un revisore umano e segnalare potenziali vulnerabilità o problemi logici. Stiamo già assistendo all'emergere di strumenti che si integrano nel ciclo di vita dello sviluppo del software: il codice viene scritto (magari con l'aiuto dell'IA), quindi un modello generativo addestrato sui principi del codice sicuro lo esamina e genera un report di eventuali problemi (ad esempio, l'uso di funzioni deprecate, controlli di autenticazione mancanti, ecc.). La ricerca di NVIDIA, menzionata in precedenza, che ha raggiunto un rilevamento delle vulnerabilità nel codice 4 volte più veloce, è un esempio di come sfruttare l'IA per l'analisi sicura del codice ( 6 casi d'uso per l'IA generativa nella sicurezza informatica [+ esempi] ).

Inoltre, l'intelligenza artificiale generativa può aiutare a creare configurazioni e script sicuri . Ad esempio, se un'azienda ha bisogno di implementare un'infrastruttura cloud sicura, un ingegnere potrebbe chiedere a un'intelligenza artificiale di generare gli script di configurazione (Infrastructure as Code) con controlli di sicurezza integrati (come un'adeguata segmentazione di rete e ruoli IAM con privilegi minimi). L'intelligenza artificiale, addestrata su migliaia di tali configurazioni, può produrre una baseline che l'ingegnere può poi perfezionare. Questo accelera la configurazione sicura dei sistemi e riduce gli errori di configurazione errata, una fonte comune di incidenti di sicurezza cloud.

Alcune organizzazioni stanno sfruttando l'intelligenza artificiale generativa anche per mantenere una knowledge base di modelli di codifica sicuri. Se uno sviluppatore non è sicuro di come implementare una determinata funzionalità in modo sicuro, può interrogare un'intelligenza artificiale interna che ha appreso dai progetti precedenti e dalle linee guida di sicurezza dell'azienda. L'intelligenza artificiale potrebbe restituire un approccio consigliato o persino un frammento di codice in linea sia con i requisiti funzionali che con gli standard di sicurezza aziendali. Questo approccio è stato utilizzato da strumenti come Questionnaire Automation di Secureframe , che estrae le risposte dalle policy aziendali e dalle soluzioni passate per garantire risposte coerenti e accurate (essenzialmente generando documentazione sicura) ( Come si può utilizzare l'intelligenza artificiale generativa nella sicurezza informatica? 10 esempi concreti ). Il concetto si traduce in codifica: un'intelligenza artificiale che "ricorda" come hai implementato qualcosa in modo sicuro in precedenza e ti guida a farlo di nuovo nello stesso modo.

In sintesi, l'intelligenza artificiale generativa sta influenzando lo sviluppo del software rendendo più accessibile l'assistenza alla codifica sicura . I settori che sviluppano molti software personalizzati – tecnologia, finanza, difesa, ecc. – trarranno vantaggio dall'avere copiloti di intelligenza artificiale che non solo velocizzano la codifica, ma agiscono anche come un vigile revisore della sicurezza. Se gestiti correttamente, questi strumenti di intelligenza artificiale possono ridurre l'introduzione di nuove vulnerabilità e aiutare i team di sviluppo ad aderire alle best practice, anche se il team non dispone di un esperto di sicurezza coinvolto in ogni fase. Il risultato è un software più robusto contro gli attacchi fin dal primo giorno.

Supporto alla risposta agli incidenti

Quando si verifica un incidente di sicurezza informatica, che si tratti di un'epidemia di malware, di una violazione dei dati o di un'interruzione del sistema a causa di un attacco, il fattore tempo è fondamentale. L'intelligenza artificiale generativa viene sempre più utilizzata per supportare i team di risposta agli incidenti (IR) nel contenimento e nella risoluzione degli incidenti in modo più rapido e con maggiori informazioni a disposizione. L'idea è che l'intelligenza artificiale possa farsi carico di parte dell'onere investigativo e di documentazione durante un incidente e persino suggerire o automatizzare alcune azioni di risposta.

Un ruolo chiave dell'IA nell'IR è l'analisi e la sintesi degli incidenti in tempo reale . Nel bel mezzo di un incidente, chi risponde potrebbe aver bisogno di risposte a domande come "Come è entrato l'aggressore?" , "Quali sistemi sono interessati? e "Quali dati potrebbero essere compromessi?" . L'IA generativa può analizzare registri, avvisi e dati forensi dai sistemi interessati e fornire rapidamente informazioni. Ad esempio, Microsoft Security Copilot consente a chi risponde agli incidenti di inserire varie prove (file, URL, registri eventi) e richiedere una cronologia o un riepilogo ( Microsoft Security Copilot è un nuovo assistente AI GPT-4 per la sicurezza informatica | The Verge ). L'IA potrebbe rispondere con: "La violazione è probabilmente iniziata con un'e-mail di phishing all'utente JohnDoe alle 10:53 GMT contenente il malware X. Una volta eseguito, il malware ha creato una backdoor che è stata utilizzata due giorni dopo per spostarsi lateralmente al server finanziario, dove ha raccolto dati". Ottenere questo quadro coerente in pochi minuti anziché in ore consente al team di prendere decisioni informate (ad esempio quali sistemi isolare) molto più rapidamente.

L'IA generativa può anche suggerire azioni di contenimento e ripristino . Ad esempio, se un endpoint viene infettato da un ransomware, uno strumento di IA potrebbe generare uno script o un set di istruzioni per isolare quella macchina, disabilitare determinati account e bloccare gli IP dannosi noti sul firewall, essenzialmente un'esecuzione di un playbook. Palo Alto Networks osserva che l'IA generativa è in grado di "generare azioni o script appropriati in base alla natura dell'incidente" , automatizzando le fasi iniziali della risposta ( Cos'è l'IA generativa nella sicurezza informatica? - Palo Alto Networks ). In uno scenario in cui il team di sicurezza è sopraffatto (ad esempio un attacco diffuso su centinaia di dispositivi), l'IA potrebbe persino eseguire direttamente alcune di queste azioni in condizioni pre-approvate, agendo come un soccorritore junior che lavora instancabilmente. Ad esempio, un agente di IA potrebbe reimpostare automaticamente le credenziali che ritiene compromesse o mettere in quarantena gli host che mostrano attività dannose corrispondenti al profilo dell'incidente.

Durante la risposta agli incidenti, la comunicazione è fondamentale, sia all'interno del team che con le parti interessate. L'intelligenza artificiale generativa può essere d'aiuto nella redazione di report o briefing di aggiornamento sugli incidenti al volo . Invece di interrompere la risoluzione dei problemi per scrivere un aggiornamento via e-mail, un tecnico potrebbe chiedere all'intelligenza artificiale: "Riassumi cosa è successo finora in questo incidente per informare i dirigenti". L'intelligenza artificiale, dopo aver acquisito i dati dell'incidente, può produrre un riepilogo conciso: "Alle 15:00, gli aggressori hanno avuto accesso a 2 account utente e 5 server. I dati interessati includono i record dei client nel database X. Misure di contenimento: l'accesso VPN per gli account compromessi è stato revocato e i server sono stati isolati. Prossimi passi: scansione per eventuali meccanismi di persistenza". Il soccorritore può quindi verificare o modificare rapidamente il tutto e inviarlo, garantendo che le parti interessate siano tenute aggiornate con informazioni accurate e aggiornate.

Una volta che la situazione si è calmata, in genere è necessario preparare un report dettagliato sull'incidente e raccogliere le lezioni apprese. Questo è un altro ambito in cui il supporto dell'IA eccelle. Può esaminare tutti i dati dell'incidente e generare un report post-incidente che includa causa principale, cronologia, impatto e raccomandazioni. IBM, ad esempio, sta integrando l'IA generativa per creare "semplici riepiloghi di casi e incidenti di sicurezza che possono essere condivisi con le parti interessate" con la semplice pressione di un pulsante ( Come si può utilizzare l'IA generativa nella sicurezza informatica? 10 esempi concreti ). Semplificando la reportistica post-intervento, le organizzazioni possono implementare più rapidamente i miglioramenti e disporre anche di una documentazione migliore ai fini della conformità.

Un utilizzo innovativo e lungimirante è la simulazione di incidenti basata sull'intelligenza artificiale . Analogamente a come si esegue un'esercitazione antincendio, alcune aziende utilizzano l'intelligenza artificiale generativa per simulare scenari di incidenti "what-if". L'intelligenza artificiale potrebbe simulare come un ransomware potrebbe diffondersi in base alla configurazione della rete, o come un insider potrebbe esfiltrare dati, e quindi valutare l'efficacia dei piani di risposta attuali. Questo aiuta i team a preparare e perfezionare i playbook prima che si verifichi un incidente reale. È come avere un consulente per la risposta agli incidenti in continuo miglioramento che verifica costantemente la tua prontezza.

In settori ad alto rischio come la finanza o la sanità, dove i tempi di inattività o la perdita di dati causati da incidenti sono particolarmente costosi, queste funzionalità di IR basate sull'intelligenza artificiale sono molto interessanti. Un ospedale che subisce un incidente informatico non può permettersi interruzioni prolungate del sistema: un'intelligenza artificiale che interviene rapidamente nel contenimento potrebbe letteralmente salvare vite umane. Allo stesso modo, un istituto finanziario può utilizzare l'intelligenza artificiale per gestire il triage iniziale di una sospetta intrusione fraudolenta alle 3 del mattino, in modo che quando gli operatori di turno sono online, gran parte del lavoro preparatorio (disconnessione degli account interessati, blocco delle transazioni, ecc.) sia già stato svolto. Potenziando i team di risposta agli incidenti con l'intelligenza artificiale generativa , le organizzazioni possono ridurre significativamente i tempi di risposta e migliorare la completezza della loro gestione, mitigando in definitiva i danni derivanti dagli incidenti informatici.

Analisi comportamentale e rilevamento delle anomalie

Molti attacchi informatici possono essere individuati rilevando quando qualcosa si discosta dal comportamento "normale", che si tratti di un account utente che scarica una quantità insolita di dati o di un dispositivo di rete che comunica improvvisamente con un host sconosciuto. L'intelligenza artificiale generativa offre tecniche avanzate per l'analisi comportamentale e il rilevamento delle anomalie , apprendendo i normali modelli di utenti e sistemi e segnalando quando qualcosa sembra anomalo.

Il rilevamento tradizionale delle anomalie utilizza spesso soglie statistiche o un semplice apprendimento automatico su metriche specifiche (picchi di utilizzo della CPU, accessi in orari insoliti, ecc.). L'intelligenza artificiale generativa può spingersi oltre creando profili comportamentali più sfumati. Ad esempio, un modello di intelligenza artificiale può acquisire gli accessi, i modelli di accesso ai file e le abitudini di posta elettronica di un dipendente nel tempo e formare una comprensione multidimensionale della "normalità" di quell'utente. Se in seguito quell'account dovesse comportarsi in modo drasticamente diverso dalla sua normalità (come accedere da un nuovo Paese e accedere a una serie di file delle risorse umane a mezzanotte), l'intelligenza artificiale rileverebbe una deviazione non solo su una metrica, ma come un modello di comportamento complessivo che non si adatta al profilo dell'utente. In termini tecnici, i modelli generativi (come gli autoencoder o i modelli di sequenza) possono modellare l'aspetto della "normalità" e quindi generare un intervallo di comportamento previsto. Quando la realtà esce da tale intervallo, viene segnalata come un'anomalia ( Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks ).

Un'implementazione pratica riguarda il monitoraggio del traffico di rete . Secondo un sondaggio del 2024, il 54% delle organizzazioni statunitensi ha citato il monitoraggio del traffico di rete come uno dei principali casi d'uso dell'IA nella sicurezza informatica ( Nord America: principali casi d'uso dell'IA nella sicurezza informatica a livello mondiale nel 2024 ). L'IA generativa può apprendere i normali modelli di comunicazione della rete di un'azienda: quali server comunicano tipicamente tra loro, quali volumi di dati vengono trasferiti durante l'orario lavorativo rispetto a quello notturno, ecc. Se un aggressore inizia a esfiltrare dati da un server, anche lentamente per evitare di essere rilevato, un sistema basato sull'IA potrebbe notare che "il server A non invia mai 500 MB di dati alle 2 del mattino a un IP esterno" e generare un avviso. Poiché l'IA non utilizza solo regole statiche, ma un modello in evoluzione del comportamento della rete, può rilevare sottili anomalie che le regole statiche (come "avviso se dati > X MB") potrebbero non rilevare o segnalare erroneamente. Questa natura adattiva è ciò che rende il rilevamento delle anomalie basato sull'intelligenza artificiale efficace in ambienti come reti di transazioni bancarie, infrastrutture cloud o flotte di dispositivi IoT, dove definire regole fisse per la distinzione tra normale e anormale è estremamente complesso.

L'intelligenza artificiale generativa è utile anche per l'analisi del comportamento degli utenti (UBA) , fondamentale per individuare minacce interne o account compromessi. Generando una baseline per ciascun utente o entità, l'intelligenza artificiale può rilevare situazioni come l'uso improprio delle credenziali. Ad esempio, se Bob, addetto alla contabilità, inizia improvvisamente a interrogare il database clienti (cosa che non ha mai fatto prima), il modello di intelligenza artificiale per il comportamento di Bob lo contrassegnerà come insolito. Potrebbe non trattarsi di malware: potrebbe trattarsi del furto e dell'utilizzo delle credenziali di Bob da parte di un aggressore, oppure di un'indagine in cui Bob non dovrebbe. In entrambi i casi, il team di sicurezza viene avvisato e inizia le indagini. Tali sistemi UBA basati sull'intelligenza artificiale sono presenti in vari prodotti di sicurezza e le tecniche di modellazione generativa ne stanno aumentando l'accuratezza e riducendo i falsi allarmi considerando il contesto (forse Bob è impegnato in un progetto speciale, ecc., che l'intelligenza artificiale può talvolta dedurre da altri dati).

Nell'ambito della gestione delle identità e degli accessi, il rilevamento dei deepfake è un'esigenza crescente: l'IA generativa può creare voci e video sintetici in grado di ingannare la sicurezza biometrica. È interessante notare che l'IA generativa può anche aiutare a rilevare questi deepfake analizzando artefatti sottili in audio o video difficili da notare per gli esseri umani. Ne abbiamo visto un esempio con Accenture, che ha utilizzato l'IA generativa per simulare innumerevoli espressioni facciali e condizioni per addestrare i propri sistemi biometrici a distinguere gli utenti reali dai deepfake generati dall'IA. In cinque anni, questo approccio ha aiutato Accenture a eliminare le password dal 90% dei suoi sistemi (passando alla biometria e ad altri fattori) e a ridurre gli attacchi del 60% ( 6 casi d'uso dell'IA generativa nella sicurezza informatica [+ esempi] ). In sostanza, hanno utilizzato l'IA generativa per rafforzare l'autenticazione biometrica, rendendola resiliente agli attacchi generativi (un ottimo esempio di come l'IA combatta l'IA). Questo tipo di modellazione comportamentale, in questo caso il riconoscimento della differenza tra un volto umano reale e uno sintetizzato dall'intelligenza artificiale, è fondamentale ora che facciamo sempre più affidamento sull'intelligenza artificiale per l'autenticazione.

Il rilevamento delle anomalie basato sull'intelligenza artificiale generativa è applicabile in diversi settori: in ambito sanitario, monitorando il comportamento dei dispositivi medici alla ricerca di segnali di hacking; in ambito finanziario, monitorando i sistemi di trading alla ricerca di pattern irregolari che potrebbero indicare frodi o manipolazioni algoritmiche; nel settore energetico/dei servizi di pubblica utilità, osservando i segnali dei sistemi di controllo alla ricerca di segnali di intrusione. La combinazione di ampiezza (osservazione di tutti gli aspetti del comportamento) e profondità (comprensione di pattern complessi) offerta dall'intelligenza artificiale generativa la rende uno strumento potente per individuare gli indicatori di un incidente informatico che sembrano "ago nel pagliaio". Man mano che le minacce diventano più subdole, nascondendosi tra le normali operazioni, questa capacità di caratterizzare con precisione la "normalità" e di segnalare tempestivamente eventuali deviazioni diventa vitale. L'intelligenza artificiale generativa funge quindi da instancabile sentinella, imparando e aggiornando costantemente la propria definizione di normalità per stare al passo con i cambiamenti dell'ambiente e avvisando i team di sicurezza di anomalie che meritano un'analisi più approfondita.

Opportunità e vantaggi dell'intelligenza artificiale generativa nella sicurezza informatica

L'applicazione dell'IA generativa alla sicurezza informatica offre una serie di opportunità e vantaggi per le organizzazioni che desiderano adottare questi strumenti. Di seguito, riassumiamo i principali vantaggi che rendono l'IA generativa un'aggiunta interessante ai programmi di sicurezza informatica:

• Rilevamento e risposta alle minacce più rapidi: i sistemi di intelligenza artificiale generativa possono analizzare enormi quantità di dati in tempo reale e riconoscere le minacce molto più rapidamente rispetto all'analisi umana manuale. Questo vantaggio in termini di velocità si traduce in un rilevamento tempestivo degli attacchi e in un contenimento più rapido degli incidenti. In pratica, il monitoraggio della sicurezza basato sull'intelligenza artificiale può rilevare minacce che richiederebbero molto più tempo agli esseri umani per essere correlate. Rispondendo tempestivamente agli incidenti (o persino eseguendo autonomamente le risposte iniziali), le organizzazioni possono ridurre drasticamente il tempo di permanenza degli aggressori nelle proprie reti, riducendo al minimo i danni.

• Maggiore accuratezza e copertura delle minacce: grazie all'apprendimento continuo da nuovi dati, i modelli generativi possono adattarsi alle minacce in evoluzione e rilevare segnali più sottili di attività dannose. Ciò si traduce in una maggiore accuratezza di rilevamento (meno falsi negativi e falsi positivi) rispetto alle regole statiche. Ad esempio, un'IA che ha appreso i tratti distintivi di un'e-mail di phishing o del comportamento di un malware può identificare varianti mai viste prima. Il risultato è una copertura più ampia dei tipi di minacce, inclusi nuovi attacchi, rafforzando la sicurezza complessiva. I team di sicurezza ottengono inoltre informazioni dettagliate dall'analisi dell'IA (ad esempio spiegazioni del comportamento del malware), consentendo difese più precise e mirate ( Cos'è l'IA generativa nella sicurezza informatica? - Palo Alto Networks ).

• Automazione delle attività ripetitive: l'intelligenza artificiale generativa eccelle nell'automazione di attività di sicurezza di routine e ad alta intensità di lavoro, dall'analisi dei log e dalla compilazione di report alla scrittura di script di risposta agli incidenti. Questa automazione riduce il carico di lavoro degli analisti umani , consentendo loro di concentrarsi su strategie di alto livello e processi decisionali complessi ( Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks ). Attività banali ma importanti come la scansione delle vulnerabilità, l'audit della configurazione, l'analisi delle attività degli utenti e la reportistica sulla conformità possono essere gestite (o almeno redatte in prima stesura) dall'intelligenza artificiale. Gestire queste attività alla velocità di una macchina, l'intelligenza artificiale non solo migliora l'efficienza, ma riduce anche l'errore umano (un fattore significativo nelle violazioni).

• Difesa e simulazione proattive: l'intelligenza artificiale generativa consente alle organizzazioni di passare da una sicurezza reattiva a una proattiva. Attraverso tecniche come la simulazione di attacchi, la generazione di dati sintetici e la formazione basata su scenari, i difensori possono anticipare e prepararsi alle minacce prima che si materializzino nel mondo reale. I team di sicurezza possono simulare attacchi informatici (campagne di phishing, attacchi malware, DDoS, ecc.) in ambienti sicuri per testare le proprie risposte e consolidare eventuali punti deboli. Questa formazione continua, spesso impossibile da svolgere in modo approfondito con il solo impegno umano, mantiene le difese affilate e aggiornate. È simile a un'esercitazione antincendio informatica: l'intelligenza artificiale può lanciare numerose minacce ipotetiche alle tue difese, in modo che tu possa esercitarti e migliorare.

• Aumento delle competenze umane (IA come moltiplicatore di forza): l'IA generativa agisce come un instancabile analista junior, consulente e assistente, tutto in uno. Può fornire ai membri del team meno esperti indicazioni e raccomandazioni tipicamente attese da esperti esperti, democratizzando efficacemente le competenze all'interno del team ( 6 casi d'uso dell'IA generativa nella sicurezza informatica [+ esempi] ). Questo è particolarmente prezioso data la carenza di talenti nella sicurezza informatica: l'IA aiuta i team più piccoli a fare di più con meno. Gli analisti esperti, d'altra parte, traggono vantaggio dall'IA che gestisce il lavoro di routine e fa emergere insight non ovvi, che possono poi convalidare e su cui agire. Il risultato complessivo è un team di sicurezza molto più produttivo e competente, con l'IA che amplifica l'impatto di ogni membro umano ( Come può l'IA generativa essere utilizzata nella sicurezza informatica ?).

• Supporto decisionale e reporting migliorati: traducendo i dati tecnici in informazioni in linguaggio naturale, l'intelligenza artificiale generativa migliora la comunicazione e il processo decisionale. I responsabili della sicurezza ottengono una visibilità più chiara sui problemi tramite riepiloghi generati dall'intelligenza artificiale e possono prendere decisioni strategiche informate senza dover analizzare dati grezzi. Allo stesso modo, la comunicazione interfunzionale (con dirigenti, responsabili della conformità, ecc.) migliora quando l'intelligenza artificiale prepara report di facile comprensione sulla situazione di sicurezza e sugli incidenti ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Questo non solo crea fiducia e allineamento sulle questioni di sicurezza a livello di leadership, ma aiuta anche a giustificare investimenti e cambiamenti articolando chiaramente i rischi e le lacune scoperte dall'intelligenza artificiale.

Combinati, questi vantaggi consentono alle organizzazioni che sfruttano l'IA generativa nella sicurezza informatica di raggiungere una posizione di sicurezza più solida con costi operativi potenzialmente inferiori. Possono rispondere a minacce precedentemente insormontabili, colmare lacune non monitorate e migliorare costantemente attraverso cicli di feedback basati sull'IA. In definitiva, l'IA generativa offre l'opportunità di anticipare gli avversari abbinando la velocità, la scala e la sofisticatezza degli attacchi moderni a difese altrettanto sofisticate. Come rilevato da un sondaggio, oltre la metà dei leader aziendali e informatici prevede un rilevamento più rapido delle minacce e una maggiore accuratezza grazie all'uso dell'IA generativa ( [PDF] Global Cybersecurity Outlook 2025 | World Economic Forum ) ( IA generativa nella sicurezza informatica: una revisione completa di LLM ... ) – a testimonianza dell'ottimismo sui vantaggi di queste tecnologie.

Rischi e sfide dell'utilizzo dell'intelligenza artificiale generativa nella sicurezza informatica

Sebbene le opportunità siano significative, è fondamentale approcciare l'IA generativa alla sicurezza informatica tenendo presente i rischi e le sfide che comporta. Fidarsi ciecamente dell'IA o abusarne può introdurre nuove vulnerabilità. Di seguito, illustriamo le principali preoccupazioni e insidie, insieme al contesto per ciascuna di esse:

• Utilizzo antagonistico da parte dei criminali informatici: le stesse capacità generative che aiutano i difensori possono potenziare gli aggressori. Gli autori delle minacce stanno già utilizzando l'IA generativa per creare email di phishing più convincenti, creare personaggi falsi e video deepfake per l'ingegneria sociale, sviluppare malware polimorfici che cambiano costantemente per eludere il rilevamento e persino automatizzare aspetti dell'hacking ( Cos'è l'IA generativa nella sicurezza informatica? - Palo Alto Networks ). Quasi la metà (46%) dei responsabili della sicurezza informatica teme che l'IA generativa porterà ad attacchi antagonistici più avanzati ( Sicurezza dell'IA generativa: tendenze, minacce e strategie di mitigazione ). Questa "corsa agli armamenti dell'IA" significa che, man mano che i difensori adottano l'IA, gli aggressori non saranno molto indietro (anzi, potrebbero essere in vantaggio in alcune aree, utilizzando strumenti di IA non regolamentati). Le organizzazioni devono essere preparate a minacce potenziate dall'IA che sono più frequenti, sofisticate e difficili da tracciare.

• Allucinazioni e inesattezze dell'IA: i modelli di IA generativa possono produrre risultati plausibili ma errati o fuorvianti , un fenomeno noto come allucinazione. In un contesto di sicurezza, un'IA potrebbe analizzare un incidente e concludere erroneamente che la causa sia una determinata vulnerabilità, oppure potrebbe generare uno script di ripristino difettoso che non riesce a contenere un attacco. Questi errori possono essere pericolosi se presi alla lettera. Come avverte NTT Data, "l'IA generativa potrebbe plausibilmente produrre contenuti non veritieri, e questo fenomeno si chiama allucinazioni... attualmente è difficile eliminarle completamente" ( Rischi per la sicurezza dell'IA generativa e delle contromisure, e il suo impatto sulla sicurezza informatica | NTT DATA Group ). Un eccessivo affidamento sull'IA senza verifica potrebbe portare a sforzi mal indirizzati o a un falso senso di sicurezza. Ad esempio, un'IA potrebbe erroneamente contrassegnare un sistema critico come sicuro quando non lo è, o al contrario, scatenare il panico "rilevando" una violazione che non si è mai verificata. Per mitigare questo rischio è essenziale convalidare rigorosamente i risultati dell'intelligenza artificiale e coinvolgere gli esseri umani nelle decisioni critiche.

• Falsi positivi e negativi: in relazione alle allucinazioni, se un modello di IA è mal addestrato o configurato, potrebbe sovrastimare attività benigne come dannose (falsi positivi) o, peggio, non rilevare minacce reali (falsi negativi) ( Come può l'IA generativa essere utilizzata nella sicurezza informatica ?). Un numero eccessivo di falsi allarmi può sopraffare i team di sicurezza e portare a un affaticamento da avvisi (annullando gli stessi guadagni di efficienza promessi dall'IA), mentre i rilevamenti mancati lasciano l'organizzazione esposta. Ottimizzare i modelli generativi per il giusto equilibrio è difficile. Ogni ambiente è unico e un'IA potrebbe non funzionare immediatamente in modo ottimale fin da subito. Anche l'apprendimento continuo è un'arma a doppio taglio: se l'IA apprende da feedback distorti o da un ambiente che cambia, la sua accuratezza può variare. I team di sicurezza devono monitorare le prestazioni dell'IA e regolare le soglie o fornire feedback correttivi ai modelli. In contesti ad alto rischio (come il rilevamento delle intrusioni per infrastrutture critiche), potrebbe essere prudente eseguire suggerimenti di intelligenza artificiale parallelamente ai sistemi esistenti per un certo periodo, per garantire che siano allineati e complementari anziché entrare in conflitto.

• Privacy e fuga di dati: i sistemi di intelligenza artificiale generativa richiedono spesso grandi quantità di dati per l'addestramento e il funzionamento. Se questi modelli sono basati su cloud o non adeguatamente isolati, esiste il rischio che informazioni sensibili possano trapelare. Gli utenti potrebbero inavvertitamente immettere dati proprietari o personali in un servizio di intelligenza artificiale (si pensi a chiedere a ChatGPT di riassumere un rapporto di incidente riservato) e tali dati potrebbero diventare parte delle conoscenze del modello. Infatti, uno studio recente ha rilevato che il 55% degli input negli strumenti di intelligenza artificiale generativa conteneva informazioni sensibili o personali identificabili , sollevando serie preoccupazioni sulla fuga di dati ( Sicurezza dell'intelligenza artificiale generativa: tendenze, minacce e strategie di mitigazione ). Inoltre, se un'intelligenza artificiale è stata addestrata su dati interni e viene interrogata in determinati modi, potrebbe inviare parti di tali dati sensibili a qualcun altro. Le organizzazioni devono implementare rigide policy di gestione dei dati (ad esempio, utilizzando istanze di intelligenza artificiale on-premise o private per materiale sensibile) e istruire i dipendenti a non incollare informazioni segrete in strumenti di intelligenza artificiale pubblici. Entrano in gioco anche le normative sulla privacy (GDPR, ecc.): utilizzare dati personali per addestrare l'intelligenza artificiale senza il dovuto consenso o la dovuta protezione potrebbe violare la legge.

• Sicurezza e manipolazione dei modelli: i modelli di IA generativa stessi possono diventare bersagli. Gli aggressori potrebbero tentare di avvelenare il modello , fornendo dati dannosi o fuorvianti durante la fase di addestramento o riaddestramento in modo che l'IA apprenda modelli errati ( Come può l'IA generativa essere utilizzata nella sicurezza informatica ?). Ad esempio, un aggressore potrebbe avvelenare in modo subdolo i dati di intelligence sulle minacce in modo che l'IA non riesca a riconoscere il malware dell'aggressore come dannoso. Un'altra tattica è l'iniezione immediata o la manipolazione dell'output , in cui un aggressore trova un modo per inviare input all'IA che la inducono a comportarsi in modo indesiderato, magari ignorando le sue protezioni di sicurezza o rivelando informazioni che non dovrebbe (come prompt o dati interni). Inoltre, c'è il rischio di evasione del modello : gli aggressori creano input specificamente progettati per ingannare l'IA. Lo vediamo in esempi avversari: dati leggermente alterati che un essere umano considera normali ma che l'IA classifica erroneamente. Garantire la sicurezza della supply chain dell'IA (integrità dei dati, controllo dell'accesso al modello, test di robustezza avversaria) è una parte nuova ma necessaria della sicurezza informatica quando si implementano questi strumenti ( Cos'è l'IA generativa nella sicurezza informatica? - Palo Alto Networks ).

• Eccessiva dipendenza ed erosione delle competenze: esiste un rischio minore che le organizzazioni possano diventare eccessivamente dipendenti dall'IA e lasciare che le competenze umane si atrofizzino. Se gli analisti junior finiscono per fidarsi ciecamente dei risultati dell'IA, potrebbero non sviluppare il pensiero critico e l'intuizione necessari per quando l'IA non è disponibile o è errata. Uno scenario da evitare è un team di sicurezza che dispone di ottimi strumenti ma non ha idea di come operare in caso di guasto (simile ai piloti che fanno eccessivo affidamento sul pilota automatico). Esercizi di formazione regolari senza l'assistenza dell'IA e la promozione della mentalità secondo cui l'IA è un assistente, non un oracolo infallibile, sono importanti per mantenere gli analisti umani vigili. Gli esseri umani devono rimanere i decisori finali, soprattutto per i giudizi ad alto impatto.

• Sfide etiche e di conformità: l'uso dell'IA nella sicurezza informatica solleva questioni etiche e potrebbe innescare problemi di conformità normativa. Ad esempio, se un sistema di IA incrimina erroneamente un dipendente come insider malintenzionato a causa di un'anomalia, potrebbe danneggiare ingiustamente la reputazione o la carriera di quella persona. Le decisioni prese dall'IA possono essere opache (il problema della "scatola nera"), rendendo difficile spiegare ai revisori o agli enti regolatori il motivo per cui sono state intraprese determinate azioni. Con la crescente diffusione dei contenuti generati dall'IA, garantire la trasparenza e il mantenimento della responsabilità è fondamentale. Gli enti regolatori stanno iniziando a esaminare attentamente l'IA: l'AI Act dell'UE, ad esempio, imporrà requisiti sui sistemi di IA "ad alto rischio", e l'IA per la sicurezza informatica potrebbe rientrare in questa categoria. Le aziende dovranno destreggiarsi tra queste normative e possibilmente aderire a standard come il NIST AI Risk Management Framework per utilizzare l'IA generativa in modo responsabile ( Come si può utilizzare l'IA generativa nella sicurezza informatica? 10 esempi concreti ). La conformità si estende anche alle licenze: l'utilizzo di modelli open source o di terze parti potrebbe comportare termini che limitano determinati utilizzi o richiedono miglioramenti nella condivisione.

In sintesi, l'IA generativa non è una panacea : se non implementata con attenzione, può introdurre nuove debolezze anche se ne risolve altre. Uno studio del World Economic Forum del 2024 ha evidenziato che circa il 47% delle organizzazioni cita i progressi nell'IA generativa da parte degli aggressori come una preoccupazione primaria, rendendolo "l'impatto più preoccupante dell'IA generativa" nella sicurezza informatica ( [PDF] Global Cybersecurity Outlook 2025 | World Economic Forum ) ( Generative AI in Cybersecurity: A Comprehensive Review of LLM ... ). Le organizzazioni devono quindi adottare un approccio equilibrato: sfruttare i vantaggi dell'IA gestendo rigorosamente questi rischi attraverso governance, test e supervisione umana. Discuteremo di seguito come raggiungere concretamente questo equilibrio.

Prospettive future: il ruolo in evoluzione dell'intelligenza artificiale generativa nella sicurezza informatica

Guardando al futuro, l'IA generativa è destinata a diventare parte integrante della strategia di sicurezza informatica e, allo stesso tempo, uno strumento che i cybercriminali continueranno a sfruttare. La dinamica del gatto e del topo si accelererà, con l'IA da entrambe le parti. Ecco alcune prospettive su come l'IA generativa potrebbe plasmare la sicurezza informatica nei prossimi anni:

• La difesa informatica potenziata dall'intelligenza artificiale diventa standard: entro il 2025 e oltre, possiamo aspettarci che la maggior parte delle organizzazioni di medie e grandi dimensioni integri strumenti basati sull'intelligenza artificiale nelle proprie operazioni di sicurezza. Proprio come antivirus e firewall sono oggi standard, i copiloti dell'intelligenza artificiale e i sistemi di rilevamento delle anomalie potrebbero diventare componenti di base delle architetture di sicurezza. Questi strumenti diventeranno probabilmente più specializzati, ad esempio modelli di intelligenza artificiale distinti, ottimizzati per la sicurezza cloud, per il monitoraggio dei dispositivi IoT, per la sicurezza del codice applicativo e così via, tutti operanti in sinergia. Come si legge in una previsione, "nel 2025, l'intelligenza artificiale generativa sarà parte integrante della sicurezza informatica, consentendo alle organizzazioni di difendersi proattivamente da minacce sofisticate e in continua evoluzione" ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica ). L'intelligenza artificiale migliorerà il rilevamento delle minacce in tempo reale, automatizzerà molte azioni di risposta e aiuterà i team di sicurezza a gestire volumi di dati molto più grandi di quelli che potrebbero gestire manualmente.

• Apprendimento e adattamento continui: i futuri sistemi di intelligenza artificiale generativa in ambito informatico miglioreranno la loro capacità di apprendere al volo da nuovi incidenti e informazioni sulle minacce, aggiornando la propria base di conoscenza quasi in tempo reale. Questo potrebbe portare a difese realmente adattive: immaginate un'intelligenza artificiale che apprende di una nuova campagna di phishing che colpisce un'altra azienda al mattino e che nel pomeriggio ha già adattato i filtri email della vostra azienda di conseguenza. I servizi di sicurezza basati su intelligenza artificiale basati su cloud potrebbero facilitare questo tipo di apprendimento collettivo, in cui informazioni anonime provenienti da un'organizzazione vanno a vantaggio di tutti gli abbonati (simile alla condivisione di informazioni sulle minacce, ma automatizzata). Tuttavia, ciò richiederà un'attenta gestione per evitare la condivisione di informazioni sensibili e per impedire agli aggressori di immettere dati errati nei modelli condivisi.

• Convergenza tra intelligenza artificiale e talenti per la sicurezza informatica: le competenze dei professionisti della sicurezza informatica si evolveranno fino a includere competenze in intelligenza artificiale e scienza dei dati. Proprio come gli analisti di oggi apprendono linguaggi di query e scripting, gli analisti di domani potrebbero perfezionare regolarmente i modelli di intelligenza artificiale o scrivere "playbook" per l'esecuzione dell'intelligenza artificiale. Potremmo vedere nuovi ruoli come "Formatore per la sicurezza dell'intelligenza artificiale" o "Ingegnere per la sicurezza informatica dell'intelligenza artificiale" : persone specializzate nell'adattare gli strumenti di intelligenza artificiale alle esigenze di un'organizzazione, convalidandone le prestazioni e garantendone il funzionamento sicuro. D'altro canto, le considerazioni sulla sicurezza informatica influenzeranno sempre di più lo sviluppo dell'intelligenza artificiale. I sistemi di intelligenza artificiale saranno costruiti con funzionalità di sicurezza fin dalle fondamenta (architettura sicura, rilevamento delle manomissioni, registri di controllo per le decisioni di intelligenza artificiale, ecc.) e framework per un'intelligenza artificiale affidabile (equa, spiegabile, robusta e sicura) guideranno il loro utilizzo in contesti critici per la sicurezza.

• Attacchi più sofisticati basati sull'intelligenza artificiale: purtroppo, anche il panorama delle minacce si evolverà con l'intelligenza artificiale. Prevediamo un uso più frequente dell'intelligenza artificiale per scoprire vulnerabilità zero-day, per creare spear phishing altamente mirato (ad esempio, l'intelligenza artificiale che analizza i social media per creare un'esca perfettamente su misura) e per generare voci o video deepfake convincenti per aggirare l'autenticazione biometrica o perpetrare frodi. Potrebbero emergere agenti di hacking automatizzati in grado di eseguire autonomamente attacchi in più fasi (ricognizione, sfruttamento, movimento laterale, ecc.) con una supervisione umana minima. Ciò spingerà i difensori ad affidarsi anche all'intelligenza artificiale, essenzialmente automazione contro automazione . Alcuni attacchi potrebbero verificarsi alla velocità di una macchina, come i bot di intelligenza artificiale che provano mille permutazioni di email di phishing per vedere quale supera i filtri. Le difese informatiche dovranno operare con velocità e flessibilità simili per tenere il passo ( Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks ).

• Regolamentazione e IA etica nella sicurezza: man mano che l'IA si integra profondamente nelle funzioni di sicurezza informatica, ci saranno maggiori controlli e, potenzialmente, una regolamentazione per garantire che questi sistemi di IA siano utilizzati in modo responsabile. Possiamo aspettarci quadri normativi e standard specifici per l'IA nella sicurezza. I governi potrebbero stabilire linee guida per la trasparenza, ad esempio richiedendo che decisioni significative in materia di sicurezza (come la revoca dell'accesso a un dipendente per sospetta attività dannosa) non possano essere prese dalla sola IA senza la revisione umana. Potrebbero anche esserci certificazioni per i prodotti di sicurezza basati sull'IA, per garantire agli acquirenti che l'IA sia stata valutata in termini di pregiudizi, robustezza e sicurezza. Inoltre, potrebbe svilupparsi una cooperazione internazionale sulle minacce informatiche legate all'IA; ad esempio, accordi sulla gestione della disinformazione creata dall'IA o norme contro alcune armi informatiche basate sull'IA.

• Integrazione con ecosistemi di intelligenza artificiale e IT più ampi: l'intelligenza artificiale generativa nella sicurezza informatica si integrerà probabilmente con altri sistemi di intelligenza artificiale e strumenti di gestione IT. Ad esempio, un'intelligenza artificiale che gestisce l'ottimizzazione della rete potrebbe collaborare con l'intelligenza artificiale per la sicurezza per garantire che le modifiche non creino falle. L'analisi aziendale basata sull'intelligenza artificiale potrebbe condividere i dati con le IA per la sicurezza per correlare anomalie (come un improvviso calo delle vendite con un possibile problema al sito web dovuto a un attacco). In sostanza, l'intelligenza artificiale non vivrà in un silos, ma farà parte di un tessuto intelligente più ampio delle operazioni di un'organizzazione. Ciò apre opportunità per una gestione olistica del rischio, in cui i dati operativi, i dati sulle minacce e persino i dati sulla sicurezza fisica potrebbero essere combinati dall'intelligenza artificiale per fornire una visione a 360 gradi della sicurezza organizzativa.

A lungo termine, la speranza è che l'IA generativa contribuisca a far pendere la bilancia a favore dei difensori. Gestire la scala e la complessità dei moderni ambienti IT, l'IA può rendere il cyberspazio più difendibile. Tuttavia, è un percorso che richiederà impegno e progressi, man mano che si affineranno queste tecnologie e si imparerà a fidarsi di esse in modo appropriato. Le organizzazioni che si terranno informate e investiranno nell'adozione responsabile dell'IA per la sicurezza saranno probabilmente quelle meglio posizionate per affrontare le minacce del futuro.

Come ha osservato il recente report di Gartner sulle tendenze della sicurezza informatica, "l'emergere di casi d'uso (e rischi) dell'IA generativa sta creando pressione per la trasformazione" ( Cybersecurity Trends: Resilience Through Transformation - Gartner ). Chi si adatterà sfrutterà l'IA come un potente alleato; chi resterà indietro potrebbe ritrovarsi superato da avversari potenziati dall'IA. I prossimi anni saranno un momento cruciale per definire come l'IA rimodellerà il campo di battaglia informatico.

Aspetti pratici per l'adozione dell'intelligenza artificiale generativa nella sicurezza informatica

Per le aziende che stanno valutando come sfruttare l'intelligenza artificiale generativa nella propria strategia di sicurezza informatica, ecco alcuni spunti pratici e raccomandazioni per orientare un'adozione responsabile ed efficace:

1. Inizia con istruzione e formazione: assicurati che il tuo team di sicurezza (e in generale il personale IT) comprenda cosa può e non può fare l'IA generativa. Fornisci formazione sui fondamenti degli strumenti di sicurezza basati sull'IA e aggiorna i programmi di sensibilizzazione sulla sicurezza per tutti i dipendenti, in modo da coprire le minacce basate sull'IA. Ad esempio, spiega al personale come l'IA può generare truffe di phishing e chiamate deepfake molto convincenti. Allo stesso tempo, forma i dipendenti sull'uso sicuro e approvato degli strumenti di IA nel loro lavoro. Gli utenti ben informati hanno meno probabilità di gestire in modo improprio l'IA o di cadere vittime di attacchi potenziati dall'IA ( Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ).

2. Definire policy chiare per l'utilizzo dell'IA: trattare l'IA generativa come qualsiasi tecnologia potente, con governance. Sviluppare policy che specifichino chi può utilizzare gli strumenti di IA, quali strumenti sono autorizzati e per quali scopi. Includere linee guida sulla gestione dei dati sensibili (ad esempio, divieto di immissione di dati riservati in servizi di IA esterni) per prevenire fughe di notizie. Ad esempio, si potrebbe consentire solo ai membri del team di sicurezza di utilizzare un assistente IA interno per la risposta agli incidenti e il marketing può utilizzare un'IA verificata per i contenuti: tutti gli altri sono soggetti a restrizioni. Molte organizzazioni stanno ora affrontando esplicitamente l'IA generativa nelle loro policy IT e i principali enti di standardizzazione incoraggiano policy di utilizzo sicuro piuttosto che divieti assoluti ( Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Assicurarsi di comunicare queste regole e le relative motivazioni a tutti i dipendenti.

3. Mitigare l'"IA ombra" e monitorarne l'utilizzo: simile all'IT ombra, l'"IA ombra" si verifica quando i dipendenti iniziano a utilizzare strumenti o servizi di IA all'insaputa dell'IT (ad esempio, uno sviluppatore che utilizza un assistente di codice IA non autorizzato). Ciò può introdurre rischi invisibili. Implementare misure per rilevare e controllare l'utilizzo non autorizzato dell'IA . Il monitoraggio della rete può segnalare le connessioni alle API di IA più diffuse, mentre sondaggi o audit degli strumenti possono scoprire cosa sta utilizzando il personale. Offrire alternative approvate in modo che i dipendenti ben intenzionati non siano tentati di agire in modo non autorizzato (ad esempio, fornire un account ChatGPT Enterprise ufficiale se le persone lo ritengono utile). Portando alla luce l'utilizzo dell'IA, i team di sicurezza possono valutare e gestire il rischio. Anche il monitoraggio è fondamentale: registrare le attività e gli output degli strumenti di IA il più possibile, in modo da avere una traccia di controllo per le decisioni influenzate dall'IA ( Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi reali ).

4. Sfrutta l'IA in modo difensivo: non restare indietro: riconosci che gli aggressori useranno l'IA, quindi dovresti farlo anche tu. Identifica alcune aree ad alto impatto in cui l'IA generativa potrebbe supportare immediatamente le tue operazioni di sicurezza (ad esempio, il triage degli avvisi o l'analisi automatizzata dei log) ed esegui progetti pilota. Aumenta le tue difese con la velocità e la scalabilità dell'IA per contrastare le minacce in rapida evoluzione ( Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Anche semplici integrazioni, come l'utilizzo di un'IA per riassumere i report sui malware o generare query di threat hunting, possono far risparmiare ore agli analisti. Inizia in piccolo, valuta i risultati e ripeti. I successi costituiranno le basi per una più ampia adozione dell'IA. L'obiettivo è utilizzare l'IA come moltiplicatore di forza: ad esempio, se gli attacchi di phishing stanno sovraccaricando il tuo helpdesk, implementa un classificatore di posta elettronica basato sull'IA per ridurre proattivamente tale volume.

5. Investire in pratiche di intelligenza artificiale sicure ed etiche: quando si implementa l'intelligenza artificiale generativa, seguire pratiche di sviluppo e distribuzione sicure. Utilizzare modelli privati ​​o self-hosted per attività sensibili per mantenere il controllo sui dati. Se si utilizzano servizi di intelligenza artificiale di terze parti, rivedere le loro misure di sicurezza e privacy (crittografia, policy di conservazione dei dati, ecc.). Incorporare framework di gestione del rischio dell'intelligenza artificiale (come l'AI Risk Management Framework del NIST o le linee guida ISO/IEC) per affrontare sistematicamente aspetti come bias, spiegabilità e robustezza nei propri strumenti di intelligenza artificiale ( Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti ). Pianificare inoltre aggiornamenti/patch dei modelli come parte della manutenzione: anche i modelli di intelligenza artificiale possono presentare "vulnerabilità" (ad esempio, potrebbero dover essere riqualificati se iniziano a deviare o se viene scoperto un nuovo tipo di attacco avversario al modello). Integrando sicurezza ed etica nell'utilizzo dell'intelligenza artificiale, si crea fiducia nei risultati e si garantisce la conformità alle normative emergenti.

6. Mantenere gli esseri umani informati: utilizzare l'intelligenza artificiale per supportare, non sostituire completamente, il giudizio umano nella sicurezza informatica. Determinare i punti decisionali in cui è richiesta la convalida umana (ad esempio, un'intelligenza artificiale potrebbe redigere un rapporto di incidente, ma un analista lo esamina prima della distribuzione; oppure un'intelligenza artificiale potrebbe suggerire di bloccare un account utente, ma un essere umano approva tale azione). Questo non solo impedisce che gli errori dell'intelligenza artificiale passino inosservati, ma aiuta anche il team a imparare dall'intelligenza artificiale e viceversa. Incoraggiare un flusso di lavoro collaborativo: gli analisti dovrebbero sentirsi a proprio agio nel mettere in discussione i risultati dell'intelligenza artificiale ed eseguire controlli di integrità. Nel tempo, questo dialogo può migliorare sia l'intelligenza artificiale (attraverso il feedback) sia le competenze degli analisti. In sostanza, progettare i processi in modo che i punti di forza dell'intelligenza artificiale e degli esseri umani si completino a vicenda: l'intelligenza artificiale gestisce il volume e la velocità, gli esseri umani gestiscono l'ambiguità e le decisioni finali.

7. Misura, monitora e adatta: infine, tratta i tuoi strumenti di intelligenza artificiale generativa come componenti viventi del tuo ecosistema di sicurezza. Misura continuamente le loro prestazioni : stanno riducendo i tempi di risposta agli incidenti? Individuano le minacce in anticipo? Qual è l'andamento del tasso di falsi positivi? Richiedi feedback al team: i suggerimenti dell'intelligenza artificiale sono utili o creano rumore? Utilizza queste metriche per perfezionare i modelli, aggiornare i dati di training o adattare il modo in cui l'intelligenza artificiale viene integrata. Le minacce informatiche e le esigenze aziendali evolvono e i tuoi modelli di intelligenza artificiale dovrebbero essere aggiornati o riqualificati periodicamente per rimanere efficaci. Avere un piano per la governance dei modelli, che includa chi è responsabile della loro manutenzione e la frequenza con cui vengono revisionati. Gestire attivamente il ciclo di vita dell'intelligenza artificiale garantisce che rimanga una risorsa, non una passività.

In conclusione, l'IA generativa può migliorare significativamente le capacità di sicurezza informatica, ma un'adozione di successo richiede una pianificazione attenta e una supervisione continua. Le aziende che formano il proprio personale, stabiliscono linee guida chiare e integrano l'IA in modo equilibrato e sicuro raccoglieranno i frutti di una gestione delle minacce più rapida e intelligente. Questi spunti forniscono una tabella di marcia: combinare le competenze umane con l'automazione dell'IA, coprire le basi della governance e mantenere l'agilità mentre sia la tecnologia dell'IA che il panorama delle minacce evolvono inevitabilmente.

Adottando queste misure pratiche, le organizzazioni possono rispondere con sicurezza alla domanda "Come può essere utilizzata l'intelligenza artificiale generativa nella sicurezza informatica?" , non solo in teoria, ma anche nella pratica quotidiana, rafforzando così le proprie difese nel nostro mondo sempre più digitale e guidato dall'intelligenza artificiale. ( Come può essere utilizzata l'intelligenza artificiale generativa nella sicurezza informatica )

Altri white paper che potresti voler leggere dopo questo:

🔗 Lavori che l'intelligenza artificiale non può sostituire e quali lavori sostituirà?
Esplora le prospettive globali su quali ruoli sono al sicuro dall'automazione e quali no.

🔗 L'intelligenza artificiale può prevedere l'andamento del mercato azionario?
Uno sguardo più da vicino ai limiti, alle innovazioni e ai miti che circondano la capacità dell'intelligenza artificiale di prevedere l'andamento del mercato.

🔗 Cosa può fare l'IA generativa senza l'intervento umano?
Scopri in quali ambiti l'IA può operare in modo indipendente e dove la supervisione umana è ancora essenziale.