Connect with us

Leader di pensiero

Quando gli attacchi in evoluzione superano le vecchie difese: perché è arrivato il momento per la sicurezza proattiva dell’AI

mm
Published
Updated

Se lavori vicino alla sicurezza in questo momento, probabilmente ti senti come se stessi sempre rimontando. C’è una nuova violazione nella notizia, una nuova storia di ransomware, e un altro trucco astuto che i difensori non hanno visto arrivare. Allo stesso tempo, molte protezioni si basano ancora su idee di un internet più vecchio dove le reti avevano confini chiari e gli attaccanti si muovevano più lentamente.

I numeri ti dicono che non si tratta solo di una sensazione. L’ultimo IBM Cost of a Data Breach Report pone la media globale della violazione a 4,88 milioni di dollari nel 2024, rispetto ai 4,45 milioni dell’anno precedente. Quel balzo del 10% è il più grande aumento dal periodo della pandemia, e si verifica anche se i team di sicurezza investono di più in strumenti e personale.

Il Verizon Data Breach Investigations Report per il 2024 esamina oltre 30.000 incidenti e oltre 10.000 violazioni confermate. Evidenzia come gli attaccanti si affidino a credenziali rubate, sfruttamento di vulnerabilità di applicazioni web e azioni sociali come il pretexting, e nota che le organizzazioni impiegano in media circa 55 giorni per risolvere solo la metà delle vulnerabilità critiche dopo il rilascio delle patch. Quei 55 giorni sono una finestra molto comoda per un attaccante che esegue scansioni continue.

In Europa, il ENISA Threat Landscape report per il 2023 punta anche a una forte miscela di ransomware, denial of service, attacchi alla catena di approvvigionamento e ingegneria sociale. Un altro studio ENISA focalizzato su incidenti alla catena di approvvigionamento ha stimato che ci sono stati probabilmente quattro volte più attacchi del genere nel 2021 rispetto al 2020, e che questa tendenza è proseguita verso l’alto. 

Quindi il quadro è semplice ma scomodo. Le violazioni stanno diventando più comuni, più costose e più complesse, anche se gli strumenti migliorano. Qualcosa di strutturale non va nel modo in cui molte organizzazioni si difendono ancora.

Perché il modello di sicurezza classico sta rimanendo indietro

Per molto tempo, l’immagine mentale della difesa informatica era semplice. Avevi un dentro e un fuori chiari. Costruivi un forte perimetro con firewall e filtri. Sarebbe stato necessario distribuire antivirus su endpoint e cercare firme note negative. Sarebbe stato necessario regolare le regole, guardare per gli avvisi e reagire quando qualcosa di ovvio si attivava.

Quel modello ha tre grandi problemi nel mondo attuale.

Innanzitutto, il perimetro è per lo più scomparso. Le persone lavorano da ovunque su una miscela di dispositivi gestiti e non gestiti. I dati si trovano su piattaforme cloud pubbliche e strumenti software come servizio. I partner e i fornitori si connettono direttamente ai sistemi interni. Rapporti come lo studio sulla catena di approvvigionamento di ENISA mostrano quanto spesso le intrusioni inizino attraverso un partner o un aggiornamento software affidabile piuttosto che un attacco frontale diretto su un server centrale.

In secondo luogo, la concentrazione su firme note lascia un’enorme zona cieca. Gli attaccanti moderni mescolano malware personalizzato con ciò che i difensori chiamano “vivere sulla terra”. Si affidano a strumenti di scripting integrati, agenti di gestione remota e azioni amministrative quotidiane. Ogni passo considerato singolarmente può sembrare innocuo. Un approccio basato solo su firme non vede il modello più ampio, specialmente quando gli attaccanti cambiano piccoli dettagli in ogni campagna.

In terzo luogo, gli esseri umani sono sovraccarichi. Il rapporto Verizon mostra che lo sfruttamento delle vulnerabilità è ora un modo principale per entrare nelle reti e che molte organizzazioni lottano per applicare le patch abbastanza velocemente. La ricerca di IBM aggiunge che i tempi di rilevamento e contenimento lunghi sono una delle principali ragioni per cui i costi delle violazioni continuano a salire. Gli analisti siedono sotto una montagna di avvisi, log e triage manuale, mentre gli attaccanti automatizzano il più possibile.

Quindi hai attaccanti che sono più veloci e più automatizzati, e difensori che si affidano ancora pesantemente a indagini manuali e vecchi modelli. In quella lacuna entra l’intelligenza artificiale.

Gli attaccanti stanno già trattando l’AI come un compagno di squadra

Quando le persone parlano di AI nella sicurezza, spesso immaginano strumenti difensivi che aiutano a catturare attori cattivi. La realtà è che gli attaccanti sono altrettanto desiderosi di utilizzare l’AI per rendere il loro lavoro più facile.

Il Microsoft Digital Defense Report 2025 descrive come i gruppi supportati dallo stato utilizzino l’AI per creare media sintetici, automatizzare parti di campagne di intrusione e ampliare operazioni di influenza. Uno studio separato Associated Press riassunto dell’intelligence sulle minacce di Microsoft riporta che, dalla metà del 2024 alla metà del 2025, gli incidenti che coinvolgevano contenuti falsi generati dall’AI sono aumentati a oltre 200, più del doppio dell’anno precedente e circa 10 volte il numero visto nel 2023.

Nella pratica, questo sembra come messaggi di phishing che sembrano essere stati scritti da un madrelingua, in qualsiasi lingua desiderata. Sembra come audio e video deepfake che aiutano gli attaccanti a fingere di essere leader senior o partner affidabili. Sembra come i sistemi di AI stanno setacciando enormi volumi di dati rubati per trovare i dettagli più preziosi del tuo ambiente, del tuo personale e dei tuoi partner.

Un recente Financial Times pezzo sull’AI agente in attacchi informatici descrive addirittura un’operazione di spionaggio in gran parte autonoma in cui un agente di codifica AI ha gestito la maggior parte dei passaggi dalla ricognizione all’estrazione dei dati con input umano limitato. Tuttavia, si senta come si sente riguardo a quel caso specifico, la direzione del viaggio è chiara. Gli attaccanti sono molto felici di lasciare che l’AI gestisca le parti noiose del lavoro.

Se gli attaccanti stanno utilizzando l’AI per muoversi più velocemente, confondersi meglio e colpire più bersagli, allora i difensori non possono aspettarsi che gli strumenti tradizionali del perimetro e la triage manuale degli avvisi siano sufficienti. O si porta una simile intelligenza nella propria difesa, o la lacuna continua ad allargarsi.

Dalla difesa reattiva al pensiero di sicurezza proattivo

Il primo vero spostamento non è tecnico; è mentale.

Una postura reattiva è costruita intorno all’idea che si possa aspettare segni chiari di guai, poi rispondere. Un nuovo binario è rilevato. Un avviso si attiva perché il traffico corrisponde a un modello noto. Un account mostra un segno ovvio di compromissione. Il team salta in azione, indaga, pulisce e forse aggiorna una regola per prevenire che quel modello si verifichi di nuovo.

In un mondo con attacchi lenti e rari, questo potrebbe andare bene. In un mondo con sonde costanti, sfruttamento rapido e campagne supportate dall’AI, è troppo tardi. Nel momento in cui una regola semplice si attiva, gli attaccanti hanno spesso esplorato la rete, toccato dati sensibili e preparato percorsi di ritorno.

Una postura proattiva inizia da un posto diverso. Presuppone che si stia sempre venendo toccati da traffico ostile. Presuppone che alcune controlli falliranno. Si preoccupa di quanto velocemente si possa notare un comportamento insolito, quanto velocemente lo si possa contenere e quanto costantemente lo si possa imparare. In quella cornice, le domande chiave diventano molto pratiche.

  • Hai una visibilità continua sui tuoi sistemi chiave, identità e archivi di dati?

  • Puoi notare piccole deviazioni dal comportamento normale, non solo firme note negative?

  • Puoi legare quell’intuizione a un’azione rapida e ripetibile senza bruciare il tuo team?

L’AI non è la soluzione di per sé, ma è un potente modo per rispondere a quelle domande alla scala che gli ambienti moderni richiedono.

Come si presenta una postura di sicurezza guidata dall’AI

L’AI aiuta a passare da una visione semplice sì o no delle minacce a un quadro più ricco, basato sul comportamento. Sul lato della rilevazione, i modelli possono guardare l’attività di identità, la telemetria degli endpoint e i flussi di rete e imparare cosa sembra normale per il tuo ambiente. Invece di bloccare solo un file dannoso noto, possono sollevare una bandiera quando un account si connette da una posizione insolita in un momento insolito, si sposta su un sistema che non ha mai toccato prima e poi inizia a spostare grandi volumi di dati. Ogni singolo evento potrebbe essere facile da trascurare. Il modello combinato è interessante.

Sul lato dell’esposizione, gli strumenti supportati dall’AI possono mappare la tua vera superficie di attacco. Possono scansionare account cloud pubblici, servizi internet-affrontati e reti interne per trovare sistemi di test dimenticati, archiviazione mal configurata e pannelli di amministrazione esposti. Possono raggruppare questi risultati in storie di rischio pratiche invece di elenchi grezzi. Ciò è particolarmente importante poiché l’AI ombra cresce all’interno delle organizzazioni, con team che avviano i propri modelli e strumenti senza supervisione centrale, una tendenza che IBM segnala nella sua più recente Cost of a Data Breach lavori come un’area di rischio seria. 

Sul lato della risposta, l’AI può aiutare a intervenire più velocemente e più costantemente. Alcuni centri di operazioni di sicurezza utilizzano già sistemi supportati dall’AI per raccomandare passi di contenimento in tempo reale e riassumere lunghe linee del tempo di indagine per gli analisti umani. L’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti descrive diversi utilizzi del genere nelle sue risorse di intelligenza artificiale, mostrando come l’AI possa aiutare a rilevare attività di rete insolita e analizzare grandi flussi di dati sulle minacce attraverso sistemi federali.

Nessuno di ciò rimuove la necessità di giudizio umano. Invece, l’AI diventa un moltiplicatore di forza. Prende il controllo della costante osservazione, del riconoscimento dei modelli e di parte della prima triage, in modo che i difensori umani possano trascorrere più tempo su indagini approfondite e su questioni di progettazione difficili, come la strategia di identità e la segmentazione.

Come iniziare a muoversi in questa direzione

Se sei responsabile della sicurezza, tutto ciò può sembrare grande e astratto. La buona notizia è che il passaggio da reattivo a proattivo di solito inizia con alcuni passi concreti piuttosto che con una trasformazione gigante.

Il primo passo è mettere in ordine i flussi di dati. L’AI è utile solo quanto i segnali che può vedere. Se il tuo fornitore di identità, gli strumenti di endpoint, i controlli di rete e le piattaforme cloud inviano tutti log in silos separati, ogni modello avrà punti ciechi e gli attaccanti avranno nascondigli. Investire in una visione centrale della tua telemetria più importante è raramente glamour, ma è la base che rende possibile un supporto significativo dell’AI.

Il secondo passo è scegliere casi d’uso specifici piuttosto che provare a spargere l’AI ovunque. Molti team iniziano con l’analisi del comportamento per gli account utente, la rilevazione delle anomalie negli ambienti cloud o una rilevazione più intelligente delle email e del phishing. L’obiettivo è scegliere aree in cui già si sa di avere rischi e in cui il riconoscimento dei modelli su grandi set di dati può chiaramente aiutare.

Il terzo passo è accoppiare ogni nuovo strumento supportato dall’AI con un insieme esplicito di limiti. Ciò include definire cosa il modello è autorizzato a fare da solo, cosa deve sempre coinvolgere un essere umano e come si misurerà se il sistema è onesto e utile nel tempo. Qui, il pensiero nel NIST AI framework e la guida da agenzie come CISA possono salvarti dal dover reinventare tutto da solo.

Perché la sicurezza proattiva dell’AI non può attendere

Gli attacchi informatici stanno diventando qualcosa di più simile a una condizione di sfondo costante che a un’emergenza rara, e gli attaccanti sono molto felici di lasciare che l’intelligenza artificiale faccia gran parte del lavoro pesante per loro. Il costo sta salendo, i punti di ingresso si moltiplicano e la strumentazione sul lato dell’attaccante sta diventando più intelligente ogni anno. Un modello reattivo che aspetta avvisi chiari e poi si affretta non è costruito per quel mondo.

Una postura proattiva guidata dall’AI è meno sul correre dietro una tendenza alla moda e più sul fare il lavoro tranquillo, non glamour, di mettere in ordine i dati, aggiungere insight basati sul comportamento e mettere limiti chiari intorno a nuovi sistemi AI in modo che aiutino i difensori invece di sorprenderli. La lacuna tra attaccanti e difensori è reale, ma non è fissa, e le scelte che si fanno ora su come utilizzare l’AI nello stack di sicurezza decideranno quale lato si muoverà più velocemente nei prossimi anni.

Related Topics:
mm

Mirgen Hoxha è il CEO di Motomtech dove guida team che progettano e realizzano prodotti software guidati da intelligenza artificiale per clienti in Nord America e Europa. Lavora all'intersezione della strategia di prodotto e dell'apprendimento automatico applicato, aiutando le organizzazioni a trasformare problemi del mondo reale in soluzioni pratiche di intelligenza artificiale.