I centri operativi di sicurezza sono sommersi da un flusso costante di minacce che i sistemi convenzionali faticano a gestire, generando affaticamento e lasciando scoperte molte aziende.
[In pillole] La sintesi per chi va di fretta:
I SOC aziendali sono sommersi da avvisi, lottando contro l'alert fatigue e l'asimmetria degli attacchi. L'intelligenza artificiale generativa promette di rivoluzionare la sicurezza informatica, superando i limiti dei filtri tradizionali e automatizzando l'analisi delle minacce. Tuttavia, la transizione introduce sfide cruciali: l'uso dell'IA da parte dei criminali e la necessità di trasparenza nei sistemi di difesa.
L’intelligenza artificiale come risposta (forse)
Di fronte a questa difficoltà, un numero crescente di aziende sta spostando i propri investimenti verso sistemi di sicurezza basati sull’intelligenza artificiale generativa. L’idea di fondo è quella di superare i limiti dei filtri tradizionali, che operano secondo logiche ormai datate.
I vecchi sistemi anti-spam e anti-malware si basano principalmente su regole e “firme”: riconoscono minacce già note, schemi ripetitivi o mittenti inseriti in una lista nera. Funzionano abbastanza bene per bloccare email spazzatura prodotte in serie, ma si rivelano spesso inefficaci contro attacchi più mirati e sofisticati, come le truffe note come Business Email Compromise (BEC), in cui un malintenzionato si spaccia per un dirigente o un fornitore per autorizzare pagamenti o ottenere informazioni sensibili.
I nuovi sistemi, invece, adottano un approccio diverso.
Utilizzano modelli di machine learning e di analisi del linguaggio naturale (NLP) per comprendere il contenuto e il contesto di ogni singola email, un po’ come farebbe un essere umano. Anziché cercare solo parole chiave sospette, questi sistemi analizzano lo stile di scrittura, la coerenza della conversazione, la relazione storica tra mittente e destinatario e il comportamento generale dell’utente.
In questo modo, sono in grado di rilevare anomalie sottili: un’email apparentemente innocua che arriva da un dirigente ma con un tono insolitamente urgente, o una richiesta di pagamento proveniente da un indirizzo quasi identico a quello di un fornitore abituale, ma con una minima variazione. Questi strumenti possono bloccare anche i tentativi di phishing che usano codici QR nascosti nelle immagini, analizzandole con sistemi di riconoscimento ottico dei caratteri (OCR).
La promessa delle grandi aziende tecnologiche che vendono questi prodotti è quella di automatizzare gran parte del lavoro di analisi, lasciando agli specialisti umani solo la gestione delle minacce più complesse e verificate. Secondo alcune proiezioni, entro il 2028 l’intelligenza artificiale potrebbe arrivare a gestire fino al 60 per cento di tutte le attività di un SOC.
Si tratta di un cambiamento radicale, che non riguarda solo l’efficienza ma la natura stessa del lavoro di chi si occupa di sicurezza.
Ma questo passaggio non è privo di implicazioni e sta già alimentando una sorta di corsa agli armamenti tecnologica.
Un mercato in piena trasformazione
Il passaggio verso soluzioni di sicurezza basate sull’intelligenza artificiale sta ridisegnando l’intero settore. “AI for Security” è diventata una delle tre principali priorità per i responsabili della sicurezza informatica, e circa l’88 per cento delle organizzazioni che non hanno ancora adottato un SOC basato su IA ha in programma di farlo entro il prossimo anno.
Questo interesse sta alimentando un mercato in rapida espansione, ma solleva anche interrogativi sulla reale efficacia e sulla dipendenza da queste nuove tecnologie.
La trasformazione, infatti, non riguarda solo chi si difende, ma anche chi attacca.
Le stesse tecnologie di intelligenza artificiale generativa sono diventate accessibili anche a piccoli gruppi di criminali informatici, permettendo loro di creare campagne di phishing molto più convincenti e personalizzate, con un costo mensile irrisorio. Un piccolo gruppo di quattro persone può oggi raggiungere un volume e una raffinatezza di attacco che prima richiedevano organizzazioni molto più grandi e strutturate.
L’IA viene usata per generare email in un italiano perfetto, per simulare conversazioni credibili e persino per automatizzare la costruzione di un rapporto di fiducia con la vittima, un processo che può durare giorni o settimane prima che venga sferrato l’attacco finale.
– Leggi anche: Google Big Sleep: l’IA rivoluziona la cybersicurezza scoprendo vulnerabilità critiche
Si è innescata, di fatto, una competizione in cui sistemi di intelligenza artificiale vengono usati per combattere altri sistemi di intelligenza artificiale.
Questa dinamica spinge le aziende a investire sempre di più, ma pone anche un problema di trasparenza. Quando un’azienda si affida a un sistema automatico per decidere quali email sono legittime e quali no, sta di fatto delegando una funzione critica a un algoritmo.
Ma cosa succede quando questo algoritmo commette un errore, bloccando una comunicazione importante o, peggio, lasciandone passare una pericolosa?
La fiducia in questi sistemi dipende in gran parte dalla loro capacità di essere non solo efficaci, ma anche comprensibili.
Cosa c’è davvero dentro la “scatola nera”
Il termine “intelligenza artificiale” è spesso usato dalle aziende del settore con una certa disinvoltura, quasi come una formula magica per vendere i propri prodotti. Tuttavia, dietro questa etichetta si nascondono approcci e tecnologie molto diversi tra loro, e non tutti offrono le stesse garanzie.
Affinché un sistema di sicurezza basato sull’IA sia davvero un passo avanti, non basta che sia veloce nel prendere decisioni. Come spiega un approfondimento di Security Affairs, una delle caratteristiche fondamentali è la cosiddetta explainability, cioè la capacità del sistema di spiegare il perché delle proprie decisioni in un linguaggio comprensibile per un analista umano. Se un’email viene bloccata, l’operatore deve poter capire quale anomalia specifica ha fatto scattare l’allarme, per poter validare la decisione o correggerla.
Un altro aspetto fondamentale è l’apprendimento continuo. Un sistema efficace non può basarsi su un modello statico, ma deve adattarsi costantemente alle nuove minacce e al contesto specifico dell’azienda in cui opera, analizzando i flussi di lavoro e i dati provenienti ad esempio dai sistemi per la pianificazione delle risorse d’impresa (ERP), e imparando dal feedback degli analisti.
Questo solleva però un’altra questione delicata: la privacy.
Per imparare, questi sistemi devono analizzare in profondità il contenuto di tutte le comunicazioni aziendali, un’attività di monitoraggio pervasiva che richiede un’attenta valutazione legale ed etica.
La transizione verso la sicurezza gestita dall’intelligenza artificiale appare dunque come un percorso complesso, tutt’altro che una soluzione definitiva. Se da un lato promette di risolvere il problema dell’eccesso di informazioni e di aumentare la velocità di reazione, dall’altro introduce nuove dipendenze tecnologiche e solleva dubbi su controllo, trasparenza e possibili nuovi punti deboli.
La domanda, per molte aziende, non è più se integrare l’IA nei propri sistemi di difesa, ma come farlo senza cedere a un’eccessiva fiducia in algoritmi che, per loro natura, rimangono in parte delle “scatole nere”.
