Da umano a ibrido: il rapporto 2025 di Exabeam sui rischi interni alimentati dall'intelligenza artificiale

Exabeam's nuovo studio, Dall'umano all'ibrido: come l'intelligenza artificiale e il divario analitico alimentano il rischio interno chiarisce che la minaccia si è invertita: il pericolo maggiore ora proviene dall'interno dell'organizzazione. Quattro numeri emergono: il 64% dei professionisti della sicurezza ora considera gli addetti ai lavori come il rischio principale, il 76% segnala che l'intelligenza artificiale ombra è già in uso, solo il 44% dispone di analisi comportamentali (UEBA) e il 74% ritiene che i dirigenti sottovalutino il problema. Insieme, questi quattro fattori definiscono il panorama esplorato in dettaglio dal rapporto.

Il rischio si è ribaltato verso l’interno e questo cambia l’architettura

Se la minaccia principale è interna, "più firewall" non è la soluzione. Sono l'identità, l'accesso e il comportamento. Pensate alla verifica continua di che sta facendo che cosa, con quale dati e se tale andamento sia normale. A livello regionale, la maggior parte dei mercati ora considera gli addetti ai lavori come la preoccupazione principale; il principale caso anomalo è l'area APJ (Asia-Pacifico e Giappone), dove molti temono ancora di più gli aggressori esterni. Per i leader, la traduzione pratica è quella di spostare la spesa verso:

• Controlli di identità più rigorosi (MFA persistenti, accesso basato sul rischio, privilegi minimi effettivamente applicati).
• Monitoraggio basato sui dati su SaaS, endpoint, storage ed e-mail, in modo da rendere visibili i movimenti anomali.
• Analisi comportamentali che apprendono i modelli normali di ogni persona, team e sistema e segnalano eventuali deviazioni significative.

L'implicazione organizzativa: la sicurezza e i proprietari dei dati devono collaborare. Se non riesci a rispondere alla domanda "chi ha toccato quali dati sensibili questa settimana ed è stato un comportamento tipico?", non hai idea del percorso di violazione moderno (account compromesso → staging silenzioso dei dati → esfiltrazione rapida).

L’intelligenza artificiale ha rimodellato la definizione di “insider”

IA ombra è il nuovo IT ombra. Il personale incolla codice, contratti, elenchi clienti o richieste con contesto sensibile in modelli non approvati. Ecco perché la cifra conta: significa che non si tratta di un problema di nicchia. Trattate GenAI come accesso privilegiato—approvare strumenti specifici, registrare l'utilizzo laddove consentito dalla legge e impedire che categorie di dati protetti (PII regolamentate, segreti commerciali) entrino in modelli di terze parti. Abbinare policy e abilitazione: offrire alle persone opzioni di intelligenza artificiale autorizzate in modo che non si sentano costrette a comportarsi in modo non autorizzato.

C'è anche un nuovo attore all'interno: Agenti AII team stanno inserendo agenti nei flussi di lavoro con credenziali reali e chiavi API. Si tratta di "addetti ai lavori non umani". Non si stancano mai e raramente si lamentano, finché non si lasciano trasportare dalla corrente. Ciò richiede due controlli che i dirigenti dovrebbero conoscere:

• Obbiettivo: ogni agente ha bisogno di un proprietario, di un lavoro chiaro e di permessi minimi.
• osservabilità: ogni agente merita lo stesso percorso di controllo e la stessa capacità di rilevamento delle anomalie di cui gode un essere umano.

UEBA (analisi del comportamento di utenti ed entità) è un rilevamento che si concentra su comportamento, non solo le firme e i dirigenti dovrebbero familiarizzarsi con questo. Crea una base di riferimento per ogni utente o entità (inclusi bot, account di servizio e agenti) imparando:

• Norme delle serie temporali: tempi di accesso tipici, volumi di dati o destinazioni.
• Contesto del gruppo di pari: come si comporta un analista finanziario rispetto ad altri analisti finanziari.
• Modelli di sequenza: ordinamenti insoliti (ad esempio, primo accesso VPN → modifica immediata dei privilegi → download in blocco).
  Quando l'attività si discosta dai modelli appresi, UEBA valuta il rischio e rileva i valori anomali. Tecnicamente, questo si basa su statistiche e apprendimento automatico (metodi non supervisionati e semi-supervisionati) che prosperano sui dati di log senza bisogno di etichette perfette. In parole povere: UEBA trasforma pile di eventi in "è normale per loro Proprio adesso?"

Colmare il divario analitico e culturale

Ecco la vera esposizione: solo delle organizzazioni utilizza UEBA anche se il rischio interno è ora il problema principale. Allo stesso tempo, dei professionisti afferma che i leader sottovalutano le minacce interne. Questo divario culturale rallenta le assunzioni, la formazione degli strumenti e le politiche aziendali. Per colmare entrambi i divari, procedere come segue:

Rendi il comportamento un segnale di prima classe. Consolida i log di identità, endpoint, amministrazione SaaS, email e spostamento dati in modo che una persona (o un agente) abbia un'unica storia su tutti i sistemi. Investi nella correlazione prima delle dashboard. Se il SOC non riesce a collegare l'identità tra gli strumenti, non noterà abusi silenziosi ed esfiltrazioni al rallentatore.

Bilanciare privacy e rilevamento, fin dalla progettazione. L'ostacolo più comune ai programmi insider è la resistenza alla privacy. Risolvilo con analisi mirate, accesso basato sui ruoli alla telemetria, finestre di conservazione chiare e documentazione trasparente di ciò che analizzi e del perché. Se implementate correttamente, le misure di protezione della privacy consentono un rilevamento più efficace perché sbloccano i flussi di dati di cui i team hanno bisogno.

Misurare i risultati, non il numero di strumenti. I dirigenti dovrebbero chiedere tre cifre al mese:

1. Tempo di rilevamento comportamento anomalo
2. Tempo di contenere incidenti interni
3. Percentuale di incidenti rilevati tramite analisi comportamentali, anziché tramite fortuna o verifiche a posteriori.

Collega il budget al miglioramento di tali parametri, non al numero di prodotti specifici “distribuiti”.

Trattate GenAI come un sistema di produzione. Stabilite liste di autorizzazione, categorie di dati con limiti di tolleranza e registrazioni per prompt e output laddove consentito dalla legge. Date spazio al prodotto e alle questioni legali, in modo che "agire rapidamente" non significhi mai "spargere dati in scatole nere".

Stabilisci una baseline per tutti e per tutto. Persone, account di servizio, script RPA e agenti di intelligenza artificiale hanno ciascuno la propria baseline. Cerchi la deriva: nuovi dati toccati, orari insoliti della giornata, destinazioni insolite o sequenze che non corrispondono al lavoro da svolgere.

Sintesi

Da Dall'umano all'ibrido: come l'intelligenza artificiale e il divario analitico alimentano il rischio interno è più di un'istantanea dei rischi odierni: è un'anteprima di dove la sicurezza dovrà evolversi in futuro. Le minacce interne, amplificate dall'intelligenza artificiale, non sono più eccezioni, ma il presupposto di base. Per CISO e CEO, la strada da percorrere significa passare dalle difese perimetrali a strategie incentrate sull'identità, trattare la GenAI con la stessa cautela degli account privilegiati e fornire sia agli agenti umani che a quelli di intelligenza artificiale i propri standard comportamentali. Le organizzazioni che avranno successo saranno quelle che unificheranno la telemetria, adotteranno metriche basate sui risultati e allineeranno la leadership alle operazioni. In questo senso, il report di Exabeam è meno un avvertimento e più un manuale per costruire la resilienza in un futuro definito dall'intelligenza artificiale.