Come può essere utilizzato l'intelligenza artificiale generativa nella sicurezza informatica ?

Introduzione

L'IA generativa – sistemi di intelligenza artificiale in grado di creare nuovi contenuti o previsioni – sta emergendo come una forza trasformativa nella sicurezza informatica. Strumenti come GPT-4 di OpenAI hanno dimostrato la capacità di analizzare dati complessi e generare testo di tipo umano, consentendo nuovi approcci alla difesa dalle minacce informatiche. Professionisti della sicurezza informatica e decision maker aziendali di tutti i settori stanno esplorando come l'IA generativa possa rafforzare le difese contro gli attacchi in continua evoluzione. Dalla finanza e sanità alla vendita al dettaglio e alla pubblica amministrazione, le organizzazioni di ogni settore affrontano sofisticati tentativi di phishing, malware e altre minacce che l'IA generativa potrebbe contribuire a contrastare. In questo white paper, esaminiamo come l'intelligenza artificiale generativa può essere utilizzata nella sicurezza informatica, evidenziando applicazioni concrete, possibilità future e considerazioni importanti per l'adozione.

L'intelligenza artificiale generativa si differenzia dall'intelligenza artificiale analitica tradizionale non solo perché rileva modelli, ma anche creazione contenuti, che si tratti di simulare attacchi per addestrare le difese o di produrre spiegazioni in linguaggio naturale per dati di sicurezza complessi. Questa duplice capacità lo rende un'arma a doppio taglio: offre nuovi e potenti strumenti difensivi, ma anche gli aggressori possono sfruttarlo. Le sezioni seguenti esplorano un'ampia gamma di casi d'uso per l'IA generativa nella sicurezza informatica, dall'automazione del rilevamento del phishing al miglioramento della risposta agli incidenti. Discuteremo anche i vantaggi promessi da queste innovazioni di IA, insieme ai rischi (come le "allucinazioni" dell'IA o l'uso improprio da parte degli avversari) che le organizzazioni devono gestire. Infine, forniremo spunti pratici per aiutare le aziende a valutare e integrare responsabilmente l'IA generativa nelle loro strategie di sicurezza informatica.

Intelligenza artificiale generativa nella sicurezza informatica: una panoramica

L'IA generativa nella sicurezza informatica si riferisce a modelli di IA – spesso modelli linguistici di grandi dimensioni o altre reti neurali – in grado di generare insight, raccomandazioni, codice o persino dati sintetici a supporto delle attività di sicurezza. A differenza dei modelli puramente predittivi, l'IA generativa può simulare scenari e produrre output comprensibili (ad esempio report, avvisi o persino esempi di codice dannoso) basati sui propri dati di addestramento. Questa capacità viene sfruttata per prevedere, rilevare e rispondere alle minacce in modi più dinamici rispetto a prima (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks). Ad esempio, i modelli generativi possono analizzare ampi registri o repository di informazioni sulle minacce e produrre un riepilogo conciso o un'azione consigliata, funzionando quasi come un "assistente" AI per i team di sicurezza.

Le prime implementazioni dell'intelligenza artificiale generativa per la difesa informatica si sono rivelate promettenti. Nel 2023, Microsoft ha introdotto Copilota della sicurezza, un assistente basato su GPT-4 per gli analisti della sicurezza, per aiutare a identificare le violazioni e setacciare i 65 trilioni di segnali che Microsoft elabora quotidianamente (Microsoft Security Copilot è il nuovo assistente AI GPT-4 per la sicurezza informatica | The Verge). Gli analisti possono sollecitare questo sistema in linguaggio naturale (ad esempio “Riepiloga tutti gli incidenti di sicurezza delle ultime 24 ore”), e il copilota produrrà un utile riassunto narrativo. Allo stesso modo, Google IA per l'intelligence sulle minacce utilizza un modello generativo chiamato Gemelli per abilitare la ricerca conversazionale attraverso il vasto database di informazioni sulle minacce di Google, analizzando rapidamente il codice sospetto e riassumendo i risultati per aiutare i cacciatori di malware (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Questi esempi ne illustrano il potenziale: l'intelligenza artificiale generativa è in grado di elaborare dati complessi e su larga scala sulla sicurezza informatica e di presentare informazioni in un formato accessibile, accelerando il processo decisionale.

Allo stesso tempo, l'intelligenza artificiale generativa è in grado di creare contenuti falsi altamente realistici, il che rappresenta un vantaggio per la simulazione e l'addestramento (e, purtroppo, per gli aggressori che elaborano tecniche di ingegneria sociale).Man mano che procederemo verso casi d'uso specifici, vedremo che la capacità dell'IA generativa di entrambi sintetizzare E analizzare Le informazioni sono alla base delle sue numerose applicazioni di sicurezza informatica. Di seguito, approfondiamo i principali casi d'uso, che spaziano dalla prevenzione del phishing allo sviluppo di software sicuro, con esempi di come ciascuno di essi viene applicato in diversi settori.

Applicazioni chiave dell'intelligenza artificiale generativa nella sicurezza informatica

Figura: i principali casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica includono copiloti di intelligenza artificiale per i team di sicurezza, analisi delle vulnerabilità del codice, rilevamento adattivo delle minacce, simulazione di attacchi zero-day, sicurezza biometrica avanzata e rilevamento del phishing (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ).

Rilevamento e prevenzione del phishing

Il phishing rimane una delle minacce informatiche più diffuse, inducendo gli utenti a cliccare su link dannosi o a divulgare credenziali. L'intelligenza artificiale generativa viene implementata per entrambi rilevare tentativi di phishing e rafforzare la formazione degli utenti per prevenire attacchi riusciti. Sul fronte difensivo, i modelli di intelligenza artificiale possono analizzare il contenuto delle email e il comportamento del mittente per individuare sottili segnali di phishing che i filtri basati su regole potrebbero non rilevare. Imparando da ampi set di dati di email legittime e fraudolente, un modello generativo può segnalare anomalie nel tono, nella formulazione o nel contesto che indicano una truffa, anche quando grammatica e ortografia non la rivelano più. Infatti, i ricercatori di Palo Alto Networks osservano che l'intelligenza artificiale generativa può identificare “sottili segnali di e-mail di phishing che altrimenti potrebbero passare inosservati”, aiutare le organizzazioni a rimanere un passo avanti ai truffatori (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks).

I team di sicurezza stanno anche utilizzando l'intelligenza artificiale generativa per simulare attacchi di phishing per la formazione e l'analisi. Ad esempio, Ironscales ha introdotto uno strumento di simulazione del phishing basato su GPT che genera automaticamente false email di phishing personalizzate per i dipendenti di un'organizzazione (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Queste email create dall'intelligenza artificiale riflettono le più recenti tattiche degli aggressori, offrendo al personale una pratica realistica nell'individuazione di contenuti di phishing. Questa formazione personalizzata è fondamentale poiché gli aggressori stessi adottano l'intelligenza artificiale per creare esche più convincenti. In particolare, sebbene l'intelligenza artificiale generativa possa produrre messaggi di phishing molto curati (sono finiti i tempi dell'inglese stentato facilmente individuabile), i difensori hanno scoperto che l'intelligenza artificiale non è imbattibile. Nel 2024, i ricercatori di IBM Security hanno condotto un esperimento confrontando email di phishing scritte da esseri umani con quelle generate dall'intelligenza artificiale e “Sorprendentemente, le email generate dall’intelligenza artificiale erano ancora facili da rilevare nonostante la loro grammatica corretta” (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Ciò suggerisce che l'intuizione umana, combinata con il rilevamento assistito dall'intelligenza artificiale, può ancora riconoscere sottili incongruenze o segnali di metadati nelle truffe scritte dall'intelligenza artificiale.

L'intelligenza artificiale generativa aiuta la difesa dal phishing anche in altri modi. I modelli possono essere utilizzati per generare risposte automatiche o filtri che testano le email sospette. Ad esempio, un sistema di intelligenza artificiale potrebbe rispondere a un'email con determinate query per verificare la legittimità del mittente o utilizzare un LLM per analizzare i link e gli allegati di un'email in una sandbox, quindi riassumere eventuali intenti malevoli. La piattaforma di sicurezza di NVIDIA Morfeo dimostra la potenza dell'intelligenza artificiale in questo campo: utilizza modelli NLP generativi per analizzare e classificare rapidamente le e-mail e si è scoperto che migliora il rilevamento delle e-mail di spear-phishing 21% rispetto agli strumenti di sicurezza tradizionali (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Morpheus traccia addirittura il profilo dei modelli di comunicazione degli utenti per individuare comportamenti insoliti (ad esempio, un utente che invia improvvisamente e-mail a molti indirizzi esterni), che possono indicare un account compromesso che invia e-mail di phishing.

In pratica, le aziende di tutti i settori stanno iniziando ad affidarsi all'IA per filtrare email e traffico web dagli attacchi di ingegneria sociale. Le società finanziarie, ad esempio, utilizzano l'IA generativa per analizzare le comunicazioni alla ricerca di tentativi di impersonificazione che potrebbero portare a frodi telematiche, mentre gli operatori sanitari utilizzano l'IA per proteggere i dati dei pazienti dalle violazioni legate al phishing. Generando scenari di phishing realistici e identificando i tratti distintivi dei messaggi dannosi, l'IA generativa aggiunge un potente livello alle strategie di prevenzione del phishing. In sintesi: L'intelligenza artificiale può aiutare a rilevare e disarmare gli attacchi di phishing in modo più rapido e preciso, anche se gli aggressori utilizzano la stessa tecnologia per migliorare il loro gioco.

Rilevamento del malware e analisi delle minacce

Il malware moderno è in continua evoluzione: gli aggressori generano nuove varianti o offuscano il codice per aggirare le firme antivirus. L'intelligenza artificiale generativa offre nuove tecniche sia per rilevare il malware che per comprenderne il comportamento. Un approccio prevede l'utilizzo dell'intelligenza artificiale per generare “gemelli malvagi” di malware: i ricercatori di sicurezza possono inserire un campione di malware noto in un modello generativo per creare numerose varianti mutate di quel malware. In questo modo, possono anticipare efficacemente le modifiche che un aggressore potrebbe apportare. Queste varianti generate dall'intelligenza artificiale possono quindi essere utilizzate per addestrare antivirus e sistemi di rilevamento delle intrusioni, in modo che anche le versioni modificate del malware vengano riconosciute in natura.6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questa strategia proattiva aiuta a interrompere il ciclo in cui gli hacker modificano leggermente il loro malware per eludere il rilevamento e i difensori devono affrettarsi a scrivere nuove firme ogni volta. Come osservato in un podcast del settore, gli esperti di sicurezza ora utilizzano l'IA generativa per “simulare il traffico di rete e generare payload dannosi che imitano attacchi sofisticati”, sottoponendo a stress test le proprie difese contro un'intera famiglia di minacce piuttosto che una singola istanza. Questo rilevamento adattivo delle minacce significa che gli strumenti di sicurezza diventano più resistenti ai malware polimorfici che altrimenti riuscirebbero a sfuggirgli.

Oltre al rilevamento, l'intelligenza artificiale generativa aiuta a analisi del malware e reverse engineering, che tradizionalmente rappresentano compiti ad alta intensità di lavoro per gli analisti delle minacce. I modelli linguistici di grandi dimensioni possono essere incaricati di esaminare codice o script sospetti e spiegare in linguaggio semplice a cosa serve il codice. Un esempio concreto è VirusTotal Code Insight, una funzionalità di VirusTotal di Google che sfrutta un modello di intelligenza artificiale generativa (Sec-PaLM di Google) per produrre riepiloghi in linguaggio naturale di codice potenzialmente dannoso (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). È essenzialmente "un tipo di ChatGPT dedicato alla codifica di sicurezza", agire come analista di malware AI che lavora 24 ore su 24, 7 giorni su 7 per aiutare gli analisti umani a comprendere le minacce (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Invece di studiare attentamente uno script sconosciuto o un codice binario, un membro del team di sicurezza può ottenere una spiegazione immediata dall'IA, ad esempio, Questo script tenta di scaricare un file dal server XYZ e poi di modificare le impostazioni di sistema, il che è indicativo di un comportamento malware. Ciò velocizza notevolmente la risposta agli incidenti, poiché gli analisti possono individuare e comprendere i nuovi malware in tempi più rapidi che mai.

L'intelligenza artificiale generativa viene utilizzata anche per individuare malware in enormi set di datiI motori antivirus tradizionali analizzano i file alla ricerca di firme note, ma un modello generativo può valutare le caratteristiche di un file e persino prevederne la pericolosità sulla base di modelli appresi. Analizzando gli attributi di miliardi di file (maligni e benigni), un'IA potrebbe individuare intenti dannosi anche in assenza di firme esplicite.Ad esempio, un modello generativo potrebbe contrassegnare un eseguibile come sospetto a causa del suo profilo comportamentale "sembra" come una leggera variante del ransomware individuato durante l'addestramento, sebbene il binario sia nuovo. Questo rilevamento basato sul comportamento aiuta a contrastare malware nuovi o zero-day. L'intelligenza artificiale di Google Threat Intelligence (parte di Chronicle/Mandiant) utilizza il suo modello generativo per analizzare codice potenzialmente dannoso e “assistere in modo più efficiente ed efficace i professionisti della sicurezza nella lotta contro malware e altri tipi di minacce”. (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti).

D'altro canto, dobbiamo riconoscere che gli aggressori possono utilizzare l'intelligenza artificiale generativa anche in questo caso, per creare automaticamente malware che si adattano. Infatti, gli esperti di sicurezza avvertono che l'intelligenza artificiale generativa può aiutare i criminali informatici a sviluppare malware che è più difficile da rilevare (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks). Un modello di IA può essere istruito a modificare ripetutamente un malware (modificandone la struttura dei file, i metodi di crittografia, ecc.) fino a eludere tutti i controlli antivirus noti. Questo utilizzo da parte di un avversario è una preoccupazione crescente (a volte definito "malware basato sull'IA" o malware polimorfico come servizio). Discuteremo di questi rischi più avanti, ma è importante sottolineare che l'IA generativa è uno strumento in questo gioco del gatto e del topo, utilizzato sia dai difensori che dagli aggressori.

Nel complesso, l’intelligenza artificiale generativa migliora la difesa contro il malware consentendo ai team di sicurezza di pensare come un aggressore – generare internamente nuove minacce e soluzioni. Che si tratti di produrre malware sintetico per migliorare i tassi di rilevamento o di utilizzare l'IA per spiegare e contenere malware reali presenti nelle reti, queste tecniche sono applicabili a tutti i settori. Una banca potrebbe utilizzare l'analisi del malware basata sull'IA per analizzare rapidamente una macro sospetta in un foglio di calcolo, mentre un'azienda manifatturiera potrebbe affidarsi all'IA per rilevare malware che prendono di mira i sistemi di controllo industriale. Integrando l'analisi tradizionale del malware con l'IA generativa, le organizzazioni possono rispondere alle campagne malware in modo più rapido e proattivo rispetto al passato.

Threat Intelligence e automazione dell'analisi

Ogni giorno, le organizzazioni vengono bombardate da dati di threat intelligence, dai feed di indicatori di compromissione (IOC) di recente scoperta ai report degli analisti sulle tattiche emergenti degli hacker. La sfida per i team di sicurezza è setacciare questa marea di informazioni ed estrarre informazioni utili. L'intelligenza artificiale generativa si sta rivelando preziosa in automatizzare l'analisi e il consumo di informazioni sulle minacceInvece di leggere manualmente decine di report o voci di database, gli analisti possono utilizzare l'intelligenza artificiale per riassumere e contestualizzare le informazioni sulle minacce alla velocità di una macchina.

Un esempio concreto è quello di Google Intelligence sulle minacce suite, che integra l'intelligenza artificiale generativa (il modello Gemini) con i dati sulle minacce di Google provenienti da Mandiant e VirusTotal. Questa intelligenza artificiale fornisce "ricerca conversazionale nell'ampio archivio di informazioni sulle minacce di Google", consentendo agli utenti di porre domande naturali sulle minacce e di ottenere risposte distillate (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Ad esempio, un analista potrebbe chiedere: "Abbiamo visto malware correlati al Gruppo di minacce X che prendono di mira il nostro settore?" e l'IA estrarrà informazioni rilevanti, forse annotando “Sì, il gruppo di minacce X è stato collegato a una campagna di phishing il mese scorso utilizzando il malware Y”, insieme a un riepilogo del comportamento del malware. Questo riduce drasticamente il tempo necessario per raccogliere informazioni che altrimenti richiederebbero l'interrogazione di più strumenti o la lettura di lunghi report.

L'intelligenza artificiale generativa può anche correlare e riassumere le tendenze delle minacce.Potrebbe analizzare migliaia di post di blog sulla sicurezza, notizie di violazioni e discussioni sul dark web e quindi generare un riepilogo delle "principali minacce informatiche della settimana" per il briefing di un CISO. Tradizionalmente, questo livello di analisi e reporting richiedeva un notevole impegno umano; ora un modello ben ottimizzato può elaborarlo in pochi secondi, con gli esseri umani che si limitano a perfezionare il risultato. Aziende come ZeroFox hanno sviluppato FoxGPT, uno strumento di intelligenza artificiale generativa progettato specificamente per “accelerare l’analisi e la sintesi dell’intelligence su grandi set di dati”, compresi contenuti dannosi e dati di phishing (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Automatizzando il pesante lavoro di lettura e di confronto dei dati, l'intelligenza artificiale consente ai team di intelligence sulle minacce di concentrarsi sul processo decisionale e sulla risposta.

Un altro caso d'uso è caccia alle minacce conversazionaliImmagina che un analista della sicurezza interagisca con un assistente AI: “Mostrami eventuali segni di esfiltrazione di dati nelle ultime 48 ore” O "Quali sono le principali nuove vulnerabilità sfruttate dagli aggressori questa settimana?" L'IA può interpretare la query, effettuare ricerche nei log interni o in fonti di intelligence esterne e rispondere con una risposta chiara o persino con un elenco di incidenti rilevanti. Non è un'ipotesi inverosimile: i moderni sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) stanno iniziando a integrare le query in linguaggio naturale. La suite di sicurezza QRadar di IBM, ad esempio, sta aggiungendo funzionalità di IA generativa nel 2024 per consentire agli analisti di... “porre […] domande specifiche sul percorso di attacco riassuntivo” di un incidente e ottenere risposte dettagliate. Può anche “interpretare e riassumere informazioni di intelligence sulle minacce altamente rilevanti” automaticamente (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). In sostanza, l'intelligenza artificiale generativa trasforma montagne di dati tecnici in informazioni delle dimensioni di una chat, su richiesta.

Questo ha implicazioni significative in tutti i settori. Un operatore sanitario può utilizzare l'IA per rimanere aggiornato sulle ultime minacce dei gruppi ransomware che prendono di mira gli ospedali, senza dover dedicare un analista alla ricerca a tempo pieno. Il SOC di un'azienda di vendita al dettaglio può riassumere rapidamente le nuove tattiche di malware POS durante il briefing con il personale IT del punto vendita. E nella pubblica amministrazione, dove i dati sulle minacce provenienti da diverse agenzie devono essere sintetizzati, l'IA può produrre report unificati che evidenziano gli avvisi chiave. automatizzare la raccolta e l'interpretazione di informazioni sulle minacce, l'intelligenza artificiale generativa aiuta le organizzazioni a reagire più rapidamente alle minacce emergenti e riduce il rischio di perdere avvisi critici nascosti nel rumore.

Ottimizzazione del Security Operations Center (SOC)

I Security Operations Center (SOC) sono noti per la loro eccessiva gestione degli avvisi e per l'enorme quantità di dati che li caratterizza. Un tipico analista SOC potrebbe dover analizzare migliaia di avvisi ed eventi ogni giorno, indagando su potenziali incidenti. L'IA generativa agisce come un moltiplicatore di forza nei SOC automatizzando le attività di routine, fornendo riepiloghi intelligenti e persino orchestrando alcune risposte. L'obiettivo è ottimizzare i flussi di lavoro dei SOC in modo che gli analisti umani possano concentrarsi sulle problematiche più critiche, mentre il copilota dell'IA si occupa del resto.

Una delle principali applicazioni è l'utilizzo dell'intelligenza artificiale generativa come “Copilota dell'analista”Il Security Copilot di Microsoft, menzionato in precedenza, ne è un esempio: "è progettato per supportare il lavoro di un analista della sicurezza piuttosto che sostituirlo", aiutare nelle indagini e nella segnalazione degli incidenti (Microsoft Security Copilot è il nuovo assistente AI GPT-4 per la sicurezza informatica | The Verge). In pratica, ciò significa che un analista può inserire dati grezzi (log del firewall, una cronologia di eventi o una descrizione di un incidente) e chiedere all'IA di analizzarli o riassumerli.Il copilota potrebbe produrre una narrazione del tipo: Sembra che alle 2:35 del mattino si sia verificato un accesso sospetto da IP X sul server Y, seguito da trasferimenti di dati insoliti, che indicano una potenziale violazione di quel server. Questo tipo di contestualizzazione immediata è di inestimabile valore quando il tempo è essenziale.

I copiloti AI contribuiscono anche a ridurre l'onere del triage di livello 1. Secondo i dati del settore, un team di sicurezza può dedicare 15 ore a settimana sto solo esaminando circa 22.000 avvisi e falsi positivi (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Con l'IA generativa, molti di questi avvisi possono essere automaticamente classificati: l'IA può ignorare quelli chiaramente benigni (con una spiegazione) ed evidenziare quelli che necessitano realmente attenzione, a volte persino suggerendone la priorità. Infatti, la capacità dell'IA generativa di comprendere il contesto le consente di correlare avvisi che potrebbero sembrare innocui se presi singolarmente, ma che insieme indicano un attacco in più fasi. Questo riduce la possibilità di non individuare un attacco a causa della "stanchezza da avviso".

Gli analisti del SOC stanno anche utilizzando il linguaggio naturale con l'intelligenza artificiale per accelerare la ricerca e le indagini. SentinelOne IA viola la piattaforma, ad esempio, combina un'interfaccia basata su LLM con dati di sicurezza in tempo reale, consentendo agli analisti di “porre domande complesse sulla ricerca delle minacce in un inglese semplice e ottenere risposte rapide e precise” (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Un analista potrebbe digitare, “Qualche endpoint ha comunicato con il dominio badguy123[.]com nell'ultimo mese?”e Purple AI cercherà nei log per rispondere. Questo evita all'analista di dover scrivere query o script per il database: l'IA lo fa da sé. Ciò significa anche che gli analisti junior possono gestire efficacemente attività che in precedenza richiedevano un ingegnere esperto con competenze nei linguaggi di query. migliorare le competenze del team attraverso l'assistenza dell'intelligenza artificiale. In effetti, gli analisti segnalano che la guida dell'intelligenza artificiale generativa “migliora le loro competenze e abilità”, poiché il personale junior può ora ottenere supporto di codifica su richiesta o suggerimenti di analisi dall'IA, riducendo la necessità di chiedere sempre aiuto ai membri senior del team (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ).

Un'altra ottimizzazione SOC è riepilogo e documentazione automatizzati degli incidentiDopo la gestione di un incidente, qualcuno deve redigere un rapporto, un compito che molti trovano noioso. L'intelligenza artificiale generativa può acquisire i dati forensi (log di sistema, analisi del malware, cronologia delle azioni) e generare una prima bozza del rapporto sull'incidente. IBM sta integrando questa funzionalità in QRadar in modo che, con “un solo clic” un riepilogo dell'incidente può essere prodotto per diverse parti interessate (dirigenti, team IT, ecc.) (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Questo non solo fa risparmiare tempo, ma garantisce anche che nulla venga trascurato nel report, poiché l'IA può includere tutti i dettagli rilevanti in modo coerente. Allo stesso modo, per la conformità e l'audit, l'IA può compilare moduli o tabelle di prove in base ai dati sugli incidenti.

I risultati concreti sono convincenti. I primi ad adottare la soluzione SOAR (security orchestration, automation and response) basata sull'intelligenza artificiale di Swimlane segnalano enormi guadagni di produttività: Global Data Systems, ad esempio, ha visto il proprio team SecOps gestire un carico di lavoro molto più ampio; un direttore ha affermato "Quello che faccio oggi con 7 analisti probabilmente richiederebbe 20 membri dello staff senza" l'automazione basata sull'intelligenza artificiale (Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?). In altre parole, L'intelligenza artificiale nel SOC può moltiplicare la capacità.In tutti i settori, che si tratti di un'azienda tecnologica che gestisce avvisi di sicurezza cloud o di un impianto di produzione che monitora i sistemi OT, i team SOC possono ottenere rilevamento e risposta più rapidi, meno incidenti persi e operazioni più efficienti adottando assistenti AI generativi. Si tratta di lavorare in modo più intelligente, consentendo alle macchine di gestire le attività ripetitive e ad alto contenuto di dati, in modo che gli esseri umani possano applicare il loro intuito e la loro competenza dove più conta.

Gestione delle vulnerabilità e simulazione delle minacce

Identificare e gestire le vulnerabilità – debolezze in software o sistemi che gli aggressori potrebbero sfruttare – è una funzione fondamentale della sicurezza informatica. L'IA generativa sta migliorando la gestione delle vulnerabilità accelerandone l'individuazione, facilitando la prioritizzazione delle patch e persino simulando attacchi su tali vulnerabilità per migliorare la preparazione. In sostanza, l'IA aiuta le organizzazioni a individuare e riparare più rapidamente le falle nella loro armatura. in modo proattivo testare le difese prima che lo facciano i veri aggressori.

Un'applicazione significativa è l'utilizzo dell'intelligenza artificiale generativa per revisione automatizzata del codice e scoperta delle vulnerabilitàLe basi di codice di grandi dimensioni (in particolare i sistemi legacy) spesso nascondono falle di sicurezza che passano inosservate. I modelli di intelligenza artificiale generativa possono essere addestrati su pratiche di codifica sicure e modelli di bug comuni, per poi essere utilizzati su codice sorgente o binari compilati per individuare potenziali vulnerabilità. Ad esempio, i ricercatori NVIDIA hanno sviluppato una pipeline di intelligenza artificiale generativa in grado di analizzare i contenitori software legacy e identificare le vulnerabilità. "con elevata precisione, fino a 4 volte più veloce degli esperti umani." (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). L'IA ha essenzialmente imparato l'aspetto del codice non sicuro ed è stata in grado di analizzare software vecchi di decenni per segnalare funzioni e librerie rischiose, velocizzando notevolmente il processo, solitamente lento, di auditing manuale del codice. Questo tipo di strumento può rappresentare una svolta per settori come la finanza o la pubblica amministrazione che si affidano a basi di codice ampie e datate: l'IA contribuisce a modernizzare la sicurezza individuando problemi che il personale potrebbe impiegare mesi o anni per individuare (se mai lo fa).

L'intelligenza artificiale generativa aiuta anche in flussi di lavoro di gestione delle vulnerabilità elaborando i risultati delle scansioni di vulnerabilità e assegnando loro la priorità. Strumenti come quello di Tenable EsposizioneAI utilizzare l'intelligenza artificiale generativa per consentire agli analisti di interrogare i dati sulle vulnerabilità in un linguaggio semplice e ottenere risposte immediate (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). L'esposizione AI può “riassumere il percorso completo dell’attacco in una narrazione” per una determinata vulnerabilità critica, spiegando come un aggressore potrebbe combinarla con altre debolezze per compromettere un sistema. Raccomanda persino azioni correttive e risponde a domande di follow-up sul rischio. Ciò significa che quando viene annunciata una nuova CVE (Vulnerabilità ed Esposizioni Comuni) critica, un analista potrebbe chiedere all'IA: "Alcuni dei nostri server sono interessati da questo CVE e qual è lo scenario peggiore se non applichiamo la patch?" e ricevere una valutazione chiara basata sui dati di scansione dell'organizzazione. Contestualizzando le vulnerabilità (ad esempio, questa è esposta a Internet e su un server di alto valore, quindi ha la massima priorità), l'IA generativa aiuta i team ad applicare patch in modo intelligente con risorse limitate.

Oltre a individuare e gestire le vulnerabilità note, l’intelligenza artificiale generativa contribuisce a test di penetrazione e simulazione di attacchi – essenzialmente scoprendo sconosciuto vulnerabilità o test di controlli di sicurezza. Le reti generative avversarie (GAN), un tipo di intelligenza artificiale generativa, sono state utilizzate per creare dati sintetici che imitano il traffico di rete reale o il comportamento degli utenti, che possono includere modelli di attacco nascosti.Uno studio del 2023 ha suggerito di utilizzare le reti GAN per generare un traffico di attacco zero-day realistico per addestrare i sistemi di rilevamento delle intrusioni (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Alimentando l'IDS con scenari di attacco creati dall'IA (che non comportano il rischio di utilizzare malware reale sulle reti di produzione), le organizzazioni possono addestrare le proprie difese a riconoscere nuove minacce senza aspettare di esserne colpite nella realtà. Allo stesso modo, l'IA può simulare un aggressore che sonda un sistema, ad esempio provando automaticamente diverse tecniche di exploit in un ambiente sicuro per verificarne il successo. La Defense Advanced Research Projects Agency (DARPA) statunitense vede in questo un potenziale promettente: la sua AI Cyber ​​Challenge del 2023 utilizza esplicitamente l'IA generativa (come i modelli linguistici di grandi dimensioni) per “trovare e correggere automaticamente le vulnerabilità nel software open source” come parte di una competizione ( DARPA punta a sviluppare applicazioni di intelligenza artificiale e autonomia di cui i combattenti possano fidarsi > Dipartimento della Difesa degli Stati Uniti > Notizie del Dipartimento della Difesa ). Questa iniziativa sottolinea che l'intelligenza artificiale non si limita a riparare le falle note, ma ne scopre attivamente di nuove e propone soluzioni, un compito tradizionalmente riservato a ricercatori di sicurezza qualificati (e costosi).

L'intelligenza artificiale generativa può persino creare honeypot intelligenti e gemelli digitali per la difesa. Le startup stanno sviluppando sistemi di escamotage basati sull'intelligenza artificiale che emulano in modo convincente server o dispositivi reali. Come ha spiegato un CEO, l'intelligenza artificiale generativa può “clonare sistemi digitali per imitare quelli reali e attirare gli hacker” (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questi honeypot generati dall'IA si comportano come l'ambiente reale (ad esempio, un falso dispositivo IoT che invia normali dati di telemetria), ma esistono solo per attirare gli aggressori. Quando un aggressore prende di mira l'esca, l'IA lo ha sostanzialmente ingannato, inducendolo a rivelare i suoi metodi, che i difensori possono quindi studiare e utilizzare per rafforzare i sistemi reali. Questo concetto, basato sulla modellazione generativa, fornisce un modo lungimirante per ribaltare la situazione sugli aggressori, utilizzando l'inganno potenziato dall'intelligenza artificiale.

In tutti i settori, una gestione delle vulnerabilità più rapida e intelligente si traduce in un minor numero di violazioni. Nell'IT sanitario, ad esempio, l'IA potrebbe individuare rapidamente una libreria obsoleta e vulnerabile in un dispositivo medico e richiedere una correzione del firmware prima che un aggressore la sfrutti. Nel settore bancario, l'IA potrebbe simulare un attacco interno a una nuova applicazione per garantire la sicurezza dei dati dei clienti in qualsiasi scenario. L'IA generativa funge quindi sia da microscopio che da strumento di stress test per il livello di sicurezza delle organizzazioni: evidenzia difetti nascosti e sollecita i sistemi in modo creativo per garantirne la resilienza.

Generazione di codice sicuro e sviluppo software

I talenti dell'intelligenza artificiale generativa non si limitano al rilevamento degli attacchi, ma si estendono anche a creare sistemi più sicuri fin dall'inizioNello sviluppo software, i generatori di codice basati sull'intelligenza artificiale (come GitHub Copilot, OpenAI Codex, ecc.) possono aiutare gli sviluppatori a scrivere codice più velocemente suggerendo frammenti di codice o persino intere funzioni. L'aspetto della sicurezza informatica consiste nel garantire la sicurezza di questi frammenti di codice suggeriti dall'intelligenza artificiale e nell'utilizzare l'intelligenza artificiale per migliorare le pratiche di programmazione.

Da un lato, l’intelligenza artificiale generativa può agire come un assistente di codifica che incorpora le migliori pratiche di sicurezzaGli sviluppatori possono sollecitare uno strumento di intelligenza artificiale, "Genera una funzione di reimpostazione della password in Python", e idealmente ottenere codice che non sia solo funzionale, ma che segua anche linee guida di sicurezza (ad esempio, validazione corretta dell'input, logging, gestione degli errori senza perdite di informazioni, ecc.). Un assistente di questo tipo, formato su esempi di codice sicuro approfonditi, può contribuire a ridurre gli errori umani che portano a vulnerabilità. Ad esempio, se uno sviluppatore dimentica di sanificare l'input dell'utente (aprendo la porta a SQL injection o problemi simili), un'IA potrebbe includerlo di default o avvisarlo.Alcuni strumenti di codifica dell’intelligenza artificiale vengono ora perfezionati con dati incentrati sulla sicurezza per servire esattamente a questo scopo, in sostanza, Programmazione di coppia AI con coscienza della sicurezza.

Tuttavia, c'è un rovescio della medaglia: l'IA generativa può introdurre vulnerabilità con la stessa facilità se non gestita correttamente. Come ha osservato l'esperto di sicurezza di Sophos Ben Verschaeren, l'utilizzo dell'IA generativa per la codifica è “va bene per codice breve e verificabile, ma rischioso quando viene integrato codice non controllato” nei sistemi di produzione. Il rischio è che un'IA possa produrre codice logicamente corretto ma insicuro in modi che un non esperto potrebbe non notare. Inoltre, attori malintenzionati potrebbero influenzare intenzionalmente i modelli di IA pubblici, iniettandoli con pattern di codice vulnerabili (una forma di data poisoning), in modo che l'IA suggerisca codice non sicuro. La maggior parte degli sviluppatori non sono esperti di sicurezza, quindi se un'IA suggerisce una soluzione conveniente, potrebbero usarla ciecamente, senza rendersi conto che ha un difetto (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questa preoccupazione è reale: infatti, ora esiste una lista OWASP Top 10 per gli LLM (grandi modelli linguistici) che delinea rischi comuni come questo nell'uso dell'intelligenza artificiale per la codifica.

Per contrastare questi problemi, gli esperti suggeriscono “combattere l’IA generativa con l’IA generativa” nel campo della codifica. In pratica, ciò significa utilizzare l'intelligenza artificiale per rivedere e testare il codice che altre IA (o esseri umani) hanno scritto. Un'IA può analizzare i nuovi commit di codice molto più velocemente di un revisore umano e segnalare potenziali vulnerabilità o problemi logici. Vediamo già emergere strumenti che si integrano nel ciclo di vita dello sviluppo software: il codice viene scritto (magari con l'aiuto dell'IA), quindi un modello generativo addestrato sui principi del codice sicuro lo esamina e genera un report di eventuali problemi (ad esempio, l'uso di funzioni deprecate, controlli di autenticazione mancanti, ecc.). La ricerca di NVIDIA, menzionata in precedenza, che ha raggiunto un rilevamento delle vulnerabilità nel codice 4 volte più veloce è un esempio di come sfruttare l'IA per l'analisi del codice sicuro (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ).

Inoltre, l’intelligenza artificiale generativa può aiutare a creazione di configurazioni e script sicuriAd esempio, se un'azienda ha bisogno di implementare un'infrastruttura cloud sicura, un ingegnere potrebbe chiedere a un'IA di generare gli script di configurazione (Infrastructure as Code) con controlli di sicurezza integrati (come la corretta segmentazione della rete e i ruoli IAM con privilegi minimi). L'IA, addestrata su migliaia di configurazioni di questo tipo, può generare una baseline che l'ingegnere può poi perfezionare. Questo accelera la configurazione sicura dei sistemi e riduce gli errori di configurazione, una fonte comune di incidenti di sicurezza nel cloud.

Alcune organizzazioni stanno anche sfruttando l'IA generativa per mantenere una knowledge base di modelli di codifica sicuri. Se uno sviluppatore non è sicuro di come implementare una determinata funzionalità in modo sicuro, può interrogare un'IA interna che ha appreso dai progetti precedenti e dalle linee guida di sicurezza dell'azienda. L'IA potrebbe restituire un approccio consigliato o persino un frammento di codice in linea sia con i requisiti funzionali che con gli standard di sicurezza dell'azienda. Questo approccio è stato utilizzato da strumenti come Automazione del questionario di Secureframe, che estrae le risposte dalle politiche aziendali e dalle soluzioni passate per garantire risposte coerenti e accurate (generando essenzialmente una documentazione sicura) (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Il concetto si traduce in codifica: un'intelligenza artificiale che "ricorda" come hai implementato qualcosa in modo sicuro in precedenza e ti guida a farlo di nuovo nello stesso modo.

In sintesi, l’intelligenza artificiale generativa sta influenzando lo sviluppo del software attraverso rendere più accessibile l'assistenza alla codifica sicuraSettori che sviluppano molti software personalizzati: tecnologia, finanza, difesa, ecc.– possono trarre vantaggio dall'avere copiloti di intelligenza artificiale che non solo velocizzano la codifica, ma agiscono anche come un revisore della sicurezza sempre vigile. Se gestiti correttamente, questi strumenti di intelligenza artificiale possono ridurre l'introduzione di nuove vulnerabilità e aiutare i team di sviluppo ad aderire alle best practice, anche se il team non dispone di un esperto di sicurezza coinvolto in ogni fase. Il risultato è un software più robusto contro gli attacchi fin dal primo giorno.

Supporto alla risposta agli incidenti

Quando si verifica un incidente di sicurezza informatica, che si tratti di un'epidemia di malware, di una violazione dei dati o di un'interruzione del sistema a causa di un attacco, il tempo è fondamentale. L'intelligenza artificiale generativa viene sempre più utilizzata per supportare i team di risposta agli incidenti (IR) nel contenere e risolvere gli incidenti in modo più rapido e con più informazioni a disposizione. L'idea è che l'IA possa farsi carico di parte dell'onere investigativo e di documentazione durante un incidente e persino suggerire o automatizzare alcune azioni di risposta.

Un ruolo chiave dell’IA nella IR è analisi e riepilogo degli incidenti in tempo realeNel mezzo di un incidente, i soccorritori potrebbero aver bisogno di risposte a domande come "Come ha fatto l'aggressore a entrare?", “Quali sistemi sono interessati?”, E "Quali dati potrebbero essere compromessi?"L'intelligenza artificiale generativa può analizzare registri, avvisi e dati forensi dai sistemi interessati e fornire rapidamente informazioni. Ad esempio, Microsoft Security Copilot consente a un addetto alla risposta agli incidenti di inserire diverse prove (file, URL, registri eventi) e richiedere una cronologia o un riepilogo (Microsoft Security Copilot è il nuovo assistente AI GPT-4 per la sicurezza informatica | The Verge). L'IA potrebbe rispondere con: "La violazione è probabilmente iniziata con un'e-mail di phishing inviata all'utente JohnDoe alle 10:53 GMT contenente il malware X. Una volta eseguito, il malware ha creato una backdoor che è stata utilizzata due giorni dopo per spostarsi lateralmente sul server finanziario, dove ha raccolto dati." Ottenere questo quadro coerente in pochi minuti anziché in ore consente al team di prendere decisioni informate (ad esempio quali sistemi isolare) molto più rapidamente.

L'intelligenza artificiale generativa può anche suggerire azioni di contenimento e bonificaAd esempio, se un endpoint viene infettato da un ransomware, uno strumento di intelligenza artificiale potrebbe generare uno script o un set di istruzioni per isolare la macchina, disabilitare determinati account e bloccare gli IP dannosi noti sul firewall: in pratica, un'esecuzione di un playbook. Palo Alto Networks sottolinea che l'intelligenza artificiale generativa è in grado di “generare azioni o script appropriati in base alla natura dell’incidente”, automatizzando i passaggi iniziali della risposta (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks). In uno scenario in cui il team di sicurezza è sopraffatto (ad esempio, un attacco diffuso su centinaia di dispositivi), l'IA potrebbe persino eseguire direttamente alcune di queste azioni in condizioni pre-approvate, comportandosi come un soccorritore junior che lavora instancabilmente. Ad esempio, un agente di IA potrebbe reimpostare automaticamente le credenziali che ritiene compromesse o mettere in quarantena gli host che mostrano attività dannose corrispondenti al profilo dell'incidente.

Durante la risposta agli incidenti, la comunicazione è fondamentale, sia all'interno del team che con le parti interessate. L'intelligenza artificiale generativa può aiutare redazione di report o briefing di aggiornamento sugli incidenti al voloInvece di un ingegnere che interrompe la risoluzione dei problemi per scrivere un aggiornamento via e-mail, potrebbero chiedere all'IA, "Riassumere quanto accaduto finora in questo incidente per informare i dirigenti." L'IA, dopo aver acquisito i dati dell'incidente, può produrre un riepilogo conciso: Alle ore 15:00, gli aggressori hanno avuto accesso a 2 account utente e 5 server. I dati interessati includono i record dei client nel database X. Misure di contenimento: l'accesso VPN agli account compromessi è stato revocato e i server sono stati isolati. Prossimi passi: scansione per individuare eventuali meccanismi di persistenza.” Il rispondente può quindi verificare o modificare rapidamente il messaggio e inviarlo, assicurandosi che le parti interessate siano tenute aggiornate con informazioni precise e aggiornate.

Una volta che la situazione si è calmata, in genere è necessario preparare un rapporto dettagliato sull'incidente e raccogliere le lezioni apprese. Questo è un altro ambito in cui il supporto dell'IA eccelle. Può esaminare tutti i dati sugli incidenti e generare un rapporto post-incidente coprendo la causa principale, la cronologia, l'impatto e le raccomandazioni. IBM, ad esempio, sta integrando l'intelligenza artificiale generativa per creare “semplici riepiloghi di casi e incidenti di sicurezza che possono essere condivisi con le parti interessate” con la semplice pressione di un pulsante (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Semplificando la rendicontazione post-intervento, le organizzazioni possono implementare più rapidamente i miglioramenti e disporre inoltre di una documentazione migliore ai fini della conformità.

Un utilizzo innovativo e lungimirante è Simulazioni di incidenti basate sull'intelligenza artificialeAnalogamente a come si potrebbe eseguire un'esercitazione antincendio, alcune aziende utilizzano l'IA generativa per analizzare scenari di incidenti "what-if". L'IA potrebbe simulare come un ransomware potrebbe diffondersi data la configurazione della rete, o come un insider potrebbe esfiltrare dati, e quindi valutare l'efficacia dei piani di risposta attuali. Questo aiuta i team a preparare e perfezionare le strategie prima che si verifichi un incidente reale. È come avere un consulente per la risposta agli incidenti in continuo miglioramento che verifica costantemente la tua preparazione.

In settori ad alto rischio come la finanza o la sanità, dove i tempi di inattività o la perdita di dati causati da incidenti sono particolarmente costosi, queste funzionalità di IR basate sull'IA sono molto interessanti. Un ospedale che subisce un incidente informatico non può permettersi interruzioni prolungate del sistema: un'IA che assiste rapidamente nel contenimento potrebbe letteralmente salvare vite. Allo stesso modo, un istituto finanziario può utilizzare l'IA per gestire il triage iniziale di una sospetta intrusione fraudolenta alle 3 del mattino, in modo che quando gli operatori di turno sono online, gran parte del lavoro preparatorio (disconnessione degli account interessati, blocco delle transazioni, ecc.) sia già stato svolto. potenziare i team di risposta agli incidenti con l'intelligenza artificiale generativa, le organizzazioni possono ridurre significativamente i tempi di risposta e migliorare l'accuratezza della loro gestione, mitigando in ultima analisi i danni causati dagli incidenti informatici.

Analisi comportamentale e rilevamento delle anomalie

Molti attacchi informatici possono essere individuati notando quando qualcosa devia dal comportamento "normale", che si tratti di un account utente che scarica una quantità insolita di dati o di un dispositivo di rete che comunica improvvisamente con un host sconosciuto. L'intelligenza artificiale generativa offre tecniche avanzate per analisi comportamentale e rilevamento delle anomalie, imparando i normali schemi degli utenti e dei sistemi e quindi segnalando quando qualcosa sembra strano.

Il rilevamento tradizionale delle anomalie utilizza spesso soglie statistiche o un semplice apprendimento automatico su metriche specifiche (picchi di utilizzo della CPU, accessi in orari insoliti, ecc.). L'intelligenza artificiale generativa può spingersi oltre creando profili comportamentali più sfumati. Ad esempio, un modello di intelligenza artificiale può assimilare gli accessi, i modelli di accesso ai file e le abitudini di posta elettronica di un dipendente nel tempo e formare una comprensione multidimensionale della "normalità" di quell'utente. Se in seguito quell'account dovesse comportarsi in modo drasticamente diverso dalla sua normalità (come accedere da un nuovo Paese e accedere a una serie di file delle risorse umane a mezzanotte), l'intelligenza artificiale rileverebbe una deviazione non solo su una metrica, ma come un modello comportamentale complessivo che non corrisponde al profilo dell'utente. In termini tecnici, i modelli generativi (come gli autoencoder o i modelli sequenziali) possono modellare l'aspetto della "normalità" e quindi generare un intervallo di comportamento previsto. Quando la realtà si discosta da tale intervallo, viene segnalata come un'anomalia.Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks).

Un'implementazione pratica è in monitoraggio del traffico di reteSecondo un sondaggio del 2024, il 54% degli Stati Unitile organizzazioni hanno citato il monitoraggio del traffico di rete come uno dei principali casi d'uso dell'intelligenza artificiale nella sicurezza informatica (Nord America: i principali casi d'uso dell'IA nella sicurezza informatica a livello mondiale nel 2024). L'intelligenza artificiale generativa può apprendere i normali modelli di comunicazione della rete di un'azienda: quali server comunicano tipicamente tra loro, quali volumi di dati vengono spostati durante l'orario lavorativo rispetto a quello notturno, ecc. Se un aggressore inizia a esfiltrare dati da un server, anche lentamente per evitare il rilevamento, un sistema basato sull'intelligenza artificiale potrebbe notarlo “Il server A non invia mai 500 MB di dati alle 2 di notte a un IP esterno” e genera un avviso. Poiché l'IA non utilizza solo regole statiche, ma un modello in evoluzione del comportamento della rete, è in grado di rilevare anomalie sottili che le regole statiche (come "avviso se dati > X MB") potrebbero non rilevare o segnalare erroneamente. Questa natura adattiva è ciò che rende il rilevamento delle anomalie basato sull'IA potente in ambienti come reti di transazioni bancarie, infrastrutture cloud o flotte di dispositivi IoT, dove definire regole fisse per la normalità e l'anomalia è estremamente complesso.

L’intelligenza artificiale generativa sta aiutando anche con analisi del comportamento degli utenti (UBA), che è fondamentale per individuare minacce interne o account compromessi. Generando una baseline per ciascun utente o entità, l'IA può rilevare eventi come l'uso improprio delle credenziali. Ad esempio, se Bob del reparto contabilità inizia improvvisamente a interrogare il database clienti (cosa che non ha mai fatto prima), il modello di IA del comportamento di Bob lo contrassegnerà come insolito. Potrebbe non trattarsi di malware: potrebbe trattarsi del furto e dell'utilizzo delle credenziali di Bob da parte di un aggressore, oppure di un'indagine in cui Bob non dovrebbe. In entrambi i casi, il team di sicurezza viene avvisato e inizia a indagare. Tali sistemi UBA basati sull'IA sono presenti in vari prodotti di sicurezza e le tecniche di modellazione generativa ne stanno aumentando l'accuratezza e riducendo i falsi allarmi considerando il contesto (forse Bob è impegnato in un progetto speciale, ecc., che l'IA a volte può dedurre da altri dati).

Nell'ambito della gestione delle identità e degli accessi, rilevamento deepfake è un'esigenza crescente: l'IA generativa può creare voci e video sintetici che aggirano la sicurezza biometrica. È interessante notare che l'IA generativa può anche aiutare a rilevare questi deepfake analizzando artefatti sottili in audio o video difficili da notare per gli esseri umani. Abbiamo visto un esempio con Accenture, che ha utilizzato l'IA generativa per simulare innumerevoli espressioni facciali e condizioni per treno i loro sistemi biometrici per distinguere gli utenti reali dai deepfake generati dall'intelligenza artificiale. In cinque anni, questo approccio ha aiutato Accenture a eliminare le password dal 90% dei suoi sistemi (passando alla biometria e ad altri fattori) e a ridurre gli attacchi del 60% (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). In sostanza, hanno utilizzato l'IA generativa per rafforzare l'autenticazione biometrica, rendendola resiliente agli attacchi generativi (un ottimo esempio di come l'IA combatta l'IA). Questo tipo di modellazione comportamentale – in questo caso il riconoscimento della differenza tra un volto umano vivo e uno sintetizzato dall'IA – è cruciale ora che facciamo sempre più affidamento sull'IA per l'autenticazione.

Il rilevamento di anomalie basato sull'intelligenza artificiale generativa è applicabile in diversi settori: in ambito sanitario, monitorando il comportamento dei dispositivi medici per individuare eventuali segnali di hacking; in ambito finanziario, monitorando i sistemi di trading per individuare schemi irregolari che potrebbero indicare frodi o manipolazioni algoritmiche; nel settore energetico/dei servizi pubblici, osservando i segnali dei sistemi di controllo per individuare eventuali segnali di intrusione. La combinazione di ampiezza (considerando tutti gli aspetti del comportamento) E profondità (comprensione di modelli complessi) L'IA generativa offre un potente strumento per individuare gli indicatori di un incidente informatico, come un ago nel pagliaio. Man mano che le minacce diventano più subdole, nascondendosi tra le normali operazioni, questa capacità di caratterizzare con precisione la "normalità" e di segnalare tempestivamente eventuali deviazioni diventa vitale.L'intelligenza artificiale generativa agisce quindi come una sentinella instancabile, imparando e aggiornando costantemente la propria definizione di normalità per stare al passo con i cambiamenti dell'ambiente e avvisando i team di sicurezza delle anomalie che meritano un'analisi più approfondita.

Opportunità e vantaggi dell'intelligenza artificiale generativa nella sicurezza informatica

L'applicazione dell'intelligenza artificiale generativa nella sicurezza informatica porta con sé una serie di opportunità e benefici Per le organizzazioni disposte ad adottare questi strumenti, riassumiamo di seguito i principali vantaggi che rendono l'IA generativa un'aggiunta interessante ai programmi di sicurezza informatica:

• Rilevamento e risposta alle minacce più rapidi: I sistemi di intelligenza artificiale generativa possono analizzare enormi quantità di dati in tempo reale e riconoscere le minacce molto più rapidamente rispetto all'analisi manuale umana. Questo vantaggio in termini di velocità si traduce in un rilevamento più tempestivo degli attacchi e in un contenimento più rapido degli incidenti. In pratica, il monitoraggio della sicurezza basato sull'intelligenza artificiale può individuare minacce che richiederebbero molto più tempo agli esseri umani per essere correlate. Rispondendo tempestivamente agli incidenti (o persino eseguendo autonomamente le risposte iniziali), le organizzazioni possono ridurre drasticamente il tempo di permanenza degli aggressori nelle proprie reti, minimizzando i danni.

• Precisione e copertura delle minacce migliorate: Grazie all'apprendimento continuo da nuovi dati, i modelli generativi possono adattarsi alle minacce in evoluzione e rilevare segnali più sottili di attività dannose. Ciò si traduce in una maggiore precisione di rilevamento (meno falsi negativi e falsi positivi) rispetto alle regole statiche. Ad esempio, un'IA che ha appreso i tratti distintivi di un'e-mail di phishing o del comportamento di un malware può identificare varianti mai viste prima. Il risultato è una copertura più ampia delle tipologie di minaccia, inclusi i nuovi attacchi, rafforzando la sicurezza complessiva. I team di sicurezza ottengono inoltre informazioni dettagliate dall'analisi dell'IA (ad esempio, spiegazioni del comportamento del malware), consentendo difese più precise e mirate. (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks).

• Automazione delle attività ripetitive: L'intelligenza artificiale generativa eccelle nell'automazione di attività di sicurezza di routine e ad alta intensità di lavoro, dall'analisi dei log e dalla compilazione di report alla scrittura di script di risposta agli incidenti. Questa automazione riduce il carico di lavoro degli analisti umani, liberandoli per concentrarsi sulla strategia di alto livello e sul processo decisionale complesso (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks). Attività banali ma importanti come la scansione delle vulnerabilità, l'audit della configurazione, l'analisi delle attività degli utenti e il reporting sulla conformità possono essere gestite (o almeno inizialmente redatte) dall'IA. Gestire queste attività alla velocità di una macchina, l'IA non solo migliora l'efficienza, ma riduce anche l'errore umano (un fattore significativo nelle violazioni).

• Difesa proattiva e simulazione: L'intelligenza artificiale generativa consente alle organizzazioni di passare da una sicurezza reattiva a una proattiva. Attraverso tecniche come la simulazione di attacchi, la generazione di dati sintetici e la formazione basata su scenari, i difensori possono anticipare e prepararsi alle minacce. Prima Si materializzano nel mondo reale. I team di sicurezza possono simulare attacchi informatici (campagne di phishing, attacchi malware, attacchi DDoS, ecc.) in ambienti sicuri per testare le proprie risposte e consolidare eventuali punti deboli. Questa formazione continua, spesso impossibile da svolgere in modo approfondito con il solo impegno umano, mantiene le difese affilate e aggiornate. È simile a un'esercitazione antincendio informatica: l'IA può lanciare numerose minacce ipotetiche alle tue difese, consentendoti di esercitarti e migliorare.

• Aumento delle competenze umane (IA come moltiplicatore di forza): L'intelligenza artificiale generativa svolge la funzione di instancabile analista junior, consulente e assistente, tutto in uno.Può fornire ai membri del team meno esperti indicazioni e raccomandazioni tipicamente attese da esperti esperti, in modo efficace democratizzare la competenza in tutta la squadra (6 casi d'uso dell'intelligenza artificiale generativa nella sicurezza informatica [+ esempi] ). Questo è particolarmente prezioso data la carenza di talenti nella sicurezza informatica: l'IA aiuta i team più piccoli a fare di più con meno. Gli analisti esperti, d'altra parte, traggono vantaggio dall'IA che gestisce il lavoro più pesante e fa emergere insight non ovvi, che possono poi convalidare e su cui intervenire. Il risultato complessivo è un team di sicurezza molto più produttivo e competente, con l'IA che amplifica l'impatto di ogni membro umano.Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?).

• Supporto decisionale e reporting migliorati: Traducendo i dati tecnici in informazioni in linguaggio naturale, l'IA generativa migliora la comunicazione e il processo decisionale. I responsabili della sicurezza ottengono una visibilità più chiara sui problemi grazie a riepiloghi generati dall'IA e possono prendere decisioni strategiche informate senza dover analizzare dati grezzi. Allo stesso modo, la comunicazione interfunzionale (con dirigenti, responsabili della conformità, ecc.) migliora quando l'IA prepara report di facile comprensione sullo stato di sicurezza e sugli incidenti.Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Ciò non solo crea fiducia e allineamento sulle questioni di sicurezza a livello di leadership, ma aiuta anche a giustificare investimenti e cambiamenti articolando chiaramente i rischi e le lacune scoperte dall'intelligenza artificiale.

Combinati, questi vantaggi consentono alle organizzazioni che sfruttano l'IA generativa nella sicurezza informatica di raggiungere una postura di sicurezza più solida con costi operativi potenzialmente inferiori. Possono rispondere a minacce precedentemente insormontabili, colmare lacune non monitorate e migliorare costantemente attraverso cicli di feedback basati sull'IA. In definitiva, l'IA generativa offre l'opportunità di anticipare gli avversari, adattandosi alle esigenze velocità, scala e sofisticatezza di attacchi moderni con difese altrettanto sofisticate. Come rilevato da un sondaggio, oltre la metà dei leader aziendali e informatici prevede un rilevamento delle minacce più rapido e una maggiore precisione grazie all'uso dell'intelligenza artificiale generativa ([PDF] Prospettive globali sulla sicurezza informatica 2025 | Forum economico mondiale) (Intelligenza artificiale generativa nella sicurezza informatica: una revisione completa del LLM ...) – una testimonianza dell'ottimismo circa i benefici di queste tecnologie.

Rischi e sfide dell'utilizzo dell'intelligenza artificiale generativa nella sicurezza informatica

Sebbene le opportunità siano significative, è fondamentale affrontare l’intelligenza artificiale generativa nella sicurezza informatica con gli occhi aperti. rischi e sfide Coinvolti. Fidarsi ciecamente dell'IA o abusarne può introdurre nuove vulnerabilità. Di seguito, illustriamo le principali preoccupazioni e insidie, insieme al contesto per ciascuna di esse:

• Uso avversario da parte dei criminali informatici: Le stesse capacità generative che aiutano i difensori possono potenziare gli aggressori. Gli aggressori stanno già utilizzando l'intelligenza artificiale generativa per creare email di phishing più convincenti, creare falsi personaggi e video deepfake per l'ingegneria sociale, sviluppare malware polimorfici che cambiano costantemente per eludere il rilevamento e persino automatizzare aspetti dell'hacking.Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks). Quasi la metà (46%) dei responsabili della sicurezza informatica teme che l’intelligenza artificiale generativa possa portare ad attacchi avversari più avanzati (Sicurezza dell'intelligenza artificiale generativa: tendenze, minacce e strategie di mitigazione). Questa "corsa agli armamenti dell'IA" significa che, man mano che i difensori adottano l'IA, gli aggressori non saranno molto indietro (anzi, potrebbero essere in vantaggio in alcune aree, utilizzando strumenti di IA non regolamentati). Le organizzazioni devono essere preparate a minacce potenziate dall'IA, che sono più frequenti, sofisticate e difficili da tracciare.

• Allucinazioni e imprecisioni dell'IA: I modelli di intelligenza artificiale generativa possono produrre output che sono plausibile ma errato o fuorviante – un fenomeno noto come allucinazione. In un contesto di sicurezza, un'IA potrebbe analizzare un incidente e concludere erroneamente che la causa sia una determinata vulnerabilità, oppure potrebbe generare uno script di ripristino difettoso che non riesce a contenere un attacco. Questi errori possono essere pericolosi se presi alla lettera. Come avverte NTT Data, “L'intelligenza artificiale generativa potrebbe plausibilmente produrre contenuti non veritieri, e questo fenomeno si chiama allucinazioni... attualmente è difficile eliminarle completamente” (Rischi per la sicurezza dell'intelligenza artificiale generativa e relative contromisure, e il suo impatto sulla sicurezza informatica | NTT DATA Group). Affidarsi eccessivamente all'IA senza verifica potrebbe portare a interventi mal indirizzati o a un falso senso di sicurezza. Ad esempio, un'IA potrebbe erroneamente segnalare un sistema critico come sicuro quando non lo è, o al contrario, scatenare il panico "rilevando" una violazione che non si è mai verificata. Una rigorosa convalida degli output dell'IA e la partecipazione degli esseri umani alle decisioni critiche sono essenziali per mitigare questo rischio.

• Falsi positivi e negativi: In relazione alle allucinazioni, se un modello di intelligenza artificiale è mal addestrato o configurato, potrebbe segnalare attività benigne come dannose (falsi positivi) o, peggio, non riconoscere le minacce reali (falsi negativi) (Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?). Un numero eccessivo di falsi allarmi può sopraffare i team di sicurezza e portare a un affaticamento da avvisi (annullando gli stessi guadagni di efficienza promessi dall'IA), mentre le rilevazioni mancate lasciano l'organizzazione esposta. Ottimizzare i modelli generativi per il giusto equilibrio è difficile. Ogni ambiente è unico e un'IA potrebbe non funzionare immediatamente in modo ottimale fin da subito. Anche l'apprendimento continuo è un'arma a doppio taglio: se l'IA apprende da feedback distorti o da un ambiente in continua evoluzione, la sua accuratezza può variare. I team di sicurezza devono monitorare le prestazioni dell'IA e regolare le soglie o fornire feedback correttivi ai modelli. In contesti ad alto rischio (come il rilevamento delle intrusioni per infrastrutture critiche), potrebbe essere prudente eseguire i suggerimenti dell'IA in parallelo con i sistemi esistenti per un certo periodo, per garantire che si allineino e si completino anziché entrare in conflitto.

• Privacy e fuga di dati: I sistemi di intelligenza artificiale generativa richiedono spesso grandi quantità di dati per l'addestramento e il funzionamento. Se questi modelli sono basati su cloud o non adeguatamente isolati, c'è il rischio che informazioni sensibili possano trapelare. Gli utenti potrebbero inavvertitamente immettere dati proprietari o personali in un servizio di intelligenza artificiale (si pensi a chiedere a ChatGPT di riassumere un rapporto di incidente riservato) e tali dati potrebbero diventare parte della conoscenza del modello. Infatti, uno studio recente ha rilevato Il 55% degli input negli strumenti di intelligenza artificiale generativa conteneva informazioni sensibili o identificabili personalmente, sollevando serie preoccupazioni circa la fuga di dati (Sicurezza dell'intelligenza artificiale generativa: tendenze, minacce e strategie di mitigazione). Inoltre, se un'IA è stata addestrata su dati interni e viene interrogata in determinati modi, potrebbe produzione parti di questi dati sensibili a qualcun altro. Le organizzazioni devono implementare rigide policy di gestione dei dati (ad esempio, utilizzando istanze di IA on-premise o private per materiale sensibile) e istruire i dipendenti a non incollare informazioni segrete in strumenti di IA pubblici. Anche le normative sulla privacy (GDPR, ecc.) entrano in gioco: l'utilizzo di dati personali per addestrare l'IA senza un adeguato consenso o protezione potrebbe violare la legge.

• Sicurezza e manipolazione del modello: Gli stessi modelli di intelligenza artificiale generativa possono diventare obiettivi.Gli avversari potrebbero tentare avvelenamento del modello, fornendo dati dannosi o fuorvianti durante la fase di addestramento o riaddestramento in modo che l'IA apprenda modelli errati (Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?). Ad esempio, un aggressore potrebbe avvelenare in modo subdolo i dati di intelligence sulle minacce in modo che l'IA non riesca a riconoscere il malware dell'aggressore come dannoso. Un'altra tattica è iniezione rapida o manipolazione dell'output, dove un aggressore trova un modo per inviare input all'IA che ne causano il comportamento in modi involontari, forse ignorando le sue protezioni di sicurezza o rivelando informazioni che non dovrebbe (come prompt o dati interni). Inoltre, c'è il rischio di evasione del modello: aggressori che creano input specificamente progettati per ingannare l'IA. Lo vediamo in esempi di attacchi avversari: dati leggermente alterati che un essere umano considera normali, ma che l'IA classifica erroneamente. Garantire la sicurezza della catena di fornitura dell'IA (integrità dei dati, controllo degli accessi al modello, test di robustezza avversaria) è una parte nuova ma necessaria della sicurezza informatica quando si implementano questi strumenti (Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks).

• Eccessiva dipendenza ed erosione delle competenze: Esiste un rischio più limitato che le organizzazioni possano diventare eccessivamente dipendenti dall'IA e lasciare che le competenze umane si atrofizzino. Se gli analisti junior finiscono per fidarsi ciecamente dei risultati dell'IA, potrebbero non sviluppare il pensiero critico e l'intuizione necessari per quando l'IA non è disponibile o è errata. Uno scenario da evitare è un team di sicurezza che dispone di ottimi strumenti ma non sa come operare in caso di guasto (simile ai piloti che si affidano eccessivamente al pilota automatico). Esercitazioni di formazione regolari senza l'assistenza dell'IA e la promozione della mentalità che l'IA sia un assistente, non un oracolo infallibile, sono importanti per mantenere gli analisti umani vigili. Gli esseri umani devono rimanere i decisori finali, soprattutto per i giudizi ad alto impatto.

• Sfide etiche e di conformità: L'uso dell'IA nella sicurezza informatica solleva questioni etiche e potrebbe innescare problemi di conformità normativa. Ad esempio, se un sistema di IA incrimina erroneamente un dipendente come insider malintenzionato a causa di un'anomalia, potrebbe danneggiare ingiustamente la reputazione o la carriera di quella persona. Le decisioni prese dall'IA possono essere opache (il problema della "scatola nera"), rendendo difficile spiegare ai revisori o agli enti regolatori il motivo per cui sono state intraprese determinate azioni. Con la crescente diffusione dei contenuti generati dall'IA, garantire la trasparenza e il mantenimento della responsabilità è fondamentale. Gli enti regolatori stanno iniziando a esaminare attentamente l'IA: la legge sull'IA dell'UE, ad esempio, imporrà requisiti per i sistemi di IA "ad alto rischio", e l'IA per la sicurezza informatica potrebbe rientrare in questa categoria. Le aziende dovranno destreggiarsi tra queste normative e, possibilmente, aderire a standard come il NIST AI Risk Management Framework per utilizzare l'IA generativa in modo responsabile. (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). La conformità si estende anche alle licenze: l'utilizzo di modelli open source o di terze parti potrebbe comportare termini che limitano determinati utilizzi o richiedono miglioramenti nella condivisione.

In sintesi, l'intelligenza artificiale generativa non è una soluzione miracolosa – se non implementata con attenzione, può introdurre nuove debolezze anche se ne risolve altre. Uno studio del World Economic Forum del 2024 ha evidenziato che circa il 47% delle organizzazioni cita i progressi nell'intelligenza artificiale generativa da parte degli aggressori come una preoccupazione primaria, rendendola “l’impatto più preoccupante dell’intelligenza artificiale generativa” nella sicurezza informatica ([PDF] Prospettive globali sulla sicurezza informatica 2025 | Forum economico mondiale) (Intelligenza artificiale generativa nella sicurezza informatica: una revisione completa del LLM ...). Le organizzazioni devono quindi adottare un approccio equilibrato: sfruttare i vantaggi dell'IA e gestire rigorosamente i rischi attraverso governance, test e supervisione umana. In seguito, analizzeremo come raggiungere concretamente questo equilibrio.

Prospettive future: il ruolo in evoluzione dell'intelligenza artificiale generativa nella sicurezza informatica

Guardando al futuro, l’intelligenza artificiale generativa è destinata a diventare parte integrante della strategia di sicurezza informatica e, allo stesso tempo, uno strumento che i cyber-avversari continueranno a sfruttare. dinamica del gatto e del topo accelererà, con l'IA da entrambe le parti. Ecco alcune prospettive su come l'IA generativa potrebbe plasmare la sicurezza informatica nei prossimi anni:

• La difesa informatica potenziata dall'intelligenza artificiale diventa standard: Entro il 2025 e oltre, possiamo aspettarci che la maggior parte delle organizzazioni di medie e grandi dimensioni integri strumenti basati sull'intelligenza artificiale nelle proprie operazioni di sicurezza. Proprio come antivirus e firewall sono oggi standard, i copiloti dell'intelligenza artificiale e i sistemi di rilevamento delle anomalie potrebbero diventare componenti di base delle architetture di sicurezza. Questi strumenti diventeranno probabilmente più specializzati: ad esempio, modelli di intelligenza artificiale distinti, ottimizzati per la sicurezza del cloud, per il monitoraggio dei dispositivi IoT, per la sicurezza del codice applicativo e così via, tutti operanti in sinergia. Come osserva una previsione, “nel 2025, l’intelligenza artificiale generativa sarà parte integrante della sicurezza informatica, consentendo alle organizzazioni di difendersi in modo proattivo da minacce sofisticate e in continua evoluzione” (Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?). L'intelligenza artificiale migliorerà il rilevamento delle minacce in tempo reale, automatizzerà numerose azioni di risposta e aiuterà i team di sicurezza a gestire volumi di dati molto più grandi di quanto potrebbero fare manualmente.

• Apprendimento e adattamento continui: I futuri sistemi di intelligenza artificiale generativa nel settore informatico miglioreranno imparare al volo da nuovi incidenti e informazioni sulle minacce, aggiornando la propria knowledge base quasi in tempo reale. Questo potrebbe portare a difese realmente adattive: immaginate un'IA che apprende di una nuova campagna di phishing che colpisce un'altra azienda al mattino e che nel pomeriggio ha già modificato i filtri email della vostra azienda di conseguenza. I servizi di sicurezza basati su IA basati su cloud potrebbero facilitare questo tipo di apprendimento collettivo, in cui informazioni anonime provenienti da un'organizzazione vanno a vantaggio di tutti gli iscritti (simile alla condivisione di informazioni sulle minacce, ma automatizzata). Tuttavia, ciò richiederà un'attenta gestione per evitare la condivisione di informazioni sensibili e per impedire agli aggressori di immettere dati errati nei modelli condivisi.

• Convergenza dei talenti dell'intelligenza artificiale e della sicurezza informatica: Le competenze dei professionisti della sicurezza informatica evolveranno fino a includere competenze in intelligenza artificiale e scienza dei dati. Proprio come gli analisti di oggi imparano linguaggi di query e scripting, gli analisti di domani potrebbero perfezionare regolarmente i modelli di intelligenza artificiale o scrivere "manuali" per l'esecuzione da parte dell'intelligenza artificiale. Potremmo assistere a nuovi ruoli come “Formatore di sicurezza AI” O “Ingegnere AI per la sicurezza informatica” – persone specializzate nell'adattare gli strumenti di intelligenza artificiale alle esigenze di un'organizzazione, convalidandone le prestazioni e garantendone la sicurezza operativa. D'altro canto, le considerazioni sulla sicurezza informatica influenzeranno sempre di più lo sviluppo dell'intelligenza artificiale. I sistemi di intelligenza artificiale saranno costruiti con funzionalità di sicurezza fin dalle fondamenta (architettura sicura, rilevamento delle manomissioni, registri di audit per le decisioni di intelligenza artificiale, ecc.) e framework per IA affidabile (equo, spiegabile, robusto e sicuro) guideranno la loro implementazione in contesti critici per la sicurezza.

• Attacchi più sofisticati basati sull'intelligenza artificiale: Purtroppo, anche il panorama delle minacce si evolverà con l'IA. Prevediamo un utilizzo più frequente dell'IA per scoprire vulnerabilità zero-day, per creare spear phishing altamente mirato (ad esempio, l'IA che analizza i social media per creare un'esca perfettamente su misura) e per generare voci o video deepfake convincenti per aggirare l'autenticazione biometrica o perpetrare frodi. Potrebbero emergere agenti di hacking automatizzati in grado di eseguire autonomamente attacchi multifase (ricognizione, sfruttamento, movimento laterale, ecc.) con una supervisione umana minima.Ciò spingerà i difensori ad affidarsi anche all’intelligenza artificiale, essenzialmente automazione vs. automazioneAlcuni attacchi possono verificarsi alla velocità di una macchina, come i bot AI che provano mille permutazioni di email di phishing per vedere quale supera i filtri. Le difese informatiche dovranno operare con la stessa velocità e flessibilità per tenere il passo.Cos'è l'intelligenza artificiale generativa nella sicurezza informatica? - Palo Alto Networks).

• Regolamentazione e IA etica nella sicurezza: Man mano che l'IA si integra profondamente nelle funzioni di sicurezza informatica, ci saranno maggiori controlli e, potenzialmente, una regolamentazione più stringente per garantire che questi sistemi di IA siano utilizzati in modo responsabile. Possiamo aspettarci framework e standard specifici per l'IA in ambito sicurezza. I governi potrebbero stabilire linee guida per la trasparenza, ad esempio imponendo che decisioni significative in materia di sicurezza (come la revoca dell'accesso a un dipendente per sospetta attività dannosa) non possano essere prese dalla sola IA senza la revisione umana. Potrebbero anche esserci certificazioni per i prodotti di sicurezza basati sull'IA, per garantire agli acquirenti che l'IA sia stata valutata in termini di pregiudizi, robustezza e sicurezza. Inoltre, potrebbe svilupparsi la cooperazione internazionale sulle minacce informatiche legate all'IA; ad esempio, accordi sulla gestione della disinformazione creata dall'IA o norme contro alcune armi informatiche basate sull'IA.

• Integrazione con ecosistemi AI e IT più ampi: L'intelligenza artificiale generativa nella sicurezza informatica si integrerà probabilmente con altri sistemi di intelligenza artificiale e strumenti di gestione IT. Ad esempio, un'intelligenza artificiale che gestisce l'ottimizzazione della rete potrebbe collaborare con l'intelligenza artificiale per la sicurezza per garantire che le modifiche non creino falle. L'analisi aziendale basata sull'intelligenza artificiale potrebbe condividere i dati con le IA per la sicurezza per correlare anomalie (come un improvviso calo delle vendite con un possibile problema al sito web dovuto a un attacco). In sostanza, l'intelligenza artificiale non vivrà in un silos, ma sarà parte di un più ampio tessuto intelligente delle operazioni di un'organizzazione. Questo apre opportunità per una gestione olistica del rischio, in cui i dati operativi, i dati sulle minacce e persino i dati sulla sicurezza fisica potrebbero essere combinati dall'intelligenza artificiale per fornire una visione a 360 gradi dello stato di sicurezza dell'organizzazione.

A lungo termine, la speranza è che l'IA generativa contribuisca a far pendere la bilancia a favore dei difensori. Gestire la scala e la complessità dei moderni ambienti IT, l'IA può rendere il cyberspazio più difendibile. Tuttavia, è un percorso che richiederà impegno e difficoltà crescenti man mano che perfezioniamo queste tecnologie e impariamo a fidarci di loro in modo appropriato. Le organizzazioni che si mantengono informate e investono in adozione responsabile dell'intelligenza artificiale per la sicurezza saranno probabilmente i meglio posizionati per affrontare le minacce del futuro.

Come ha osservato il recente rapporto di Gartner sulle tendenze della sicurezza informatica, “L’emergere di casi d’uso (e rischi) dell’intelligenza artificiale generativa sta creando pressione per la trasformazione” (Tendenze della sicurezza informatica: resilienza attraverso la trasformazione - Gartner). Chi si adatterà sfrutterà l'IA come un potente alleato; chi resterà indietro potrebbe ritrovarsi superato da avversari potenziati dall'IA. I prossimi anni saranno un momento cruciale per definire come l'IA rimodellerà il campo di battaglia informatico.

Aspetti pratici per l'adozione dell'intelligenza artificiale generativa nella sicurezza informatica

Per le aziende che stanno valutando come sfruttare l'intelligenza artificiale generativa nella loro strategia di sicurezza informatica, ecco alcuni suggerimenti e raccomandazioni pratiche per orientare un’adozione responsabile ed efficace:

1. Inizia con l'istruzione e la formazione: Assicuratevi che il vostro team di sicurezza (e in generale il personale IT) comprenda cosa può e non può fare l'IA generativa. Fornite formazione sulle basi degli strumenti di sicurezza basati sull'IA e aggiornate le vostre programmi di sensibilizzazione sulla sicurezza Per tutti i dipendenti, è necessario affrontare le minacce basate sull'intelligenza artificiale. Ad esempio, spiegare al personale come l'intelligenza artificiale può generare truffe di phishing e chiamate deepfake estremamente convincenti. Allo stesso tempo, formare i dipendenti sull'uso sicuro e autorizzato degli strumenti di intelligenza artificiale nel loro lavoro.Gli utenti ben informati hanno meno probabilità di gestire male l'intelligenza artificiale o di cadere vittime di attacchi potenziati dall'intelligenza artificiale. (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti).

2. Definire chiare policy di utilizzo dell'IA: Trattare l'IA generativa come qualsiasi tecnologia potente, con una governance adeguata. Sviluppare policy che specifichino chi può utilizzare gli strumenti di IA, quali strumenti sono autorizzati e per quali scopi. Includere linee guida per la gestione dei dati sensibili (ad esempio nessun inserimento di dati riservati in servizi di IA esterni) per prevenire fughe di dati. Ad esempio, si potrebbe consentire solo ai membri del team di sicurezza di utilizzare un assistente IA interno per la risposta agli incidenti, mentre il marketing potrebbe utilizzare un'IA verificata per i contenuti: tutti gli altri sono soggetti a restrizioni. Molte organizzazioni stanno ora affrontando esplicitamente l'IA generativa nelle loro policy IT e i principali enti di standardizzazione incoraggiano policy di utilizzo sicuro piuttosto che divieti assoluti (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Assicuratevi di comunicare queste regole e le motivazioni che le giustificano a tutti i dipendenti.

3. Mitigare l'”intelligenza artificiale ombra” e monitorarne l'utilizzo: Simile allo shadow IT, la "shadow AI" si verifica quando i dipendenti iniziano a utilizzare strumenti o servizi di intelligenza artificiale senza che l'IT ne sia a conoscenza (ad esempio, uno sviluppatore che utilizza un assistente di codice AI non autorizzato). Ciò può comportare rischi invisibili. Implementare misure per rilevare e controllare l'utilizzo non autorizzato dell'IAIl monitoraggio della rete può segnalare le connessioni alle API di intelligenza artificiale più diffuse, mentre sondaggi o audit degli strumenti possono rivelare cosa sta utilizzando il personale. Offrite alternative approvate in modo che i dipendenti benintenzionati non siano tentati di agire in modo non autorizzato (ad esempio, fornite un account ChatGPT Enterprise ufficiale se le persone lo ritengono utile). Portando alla luce l'utilizzo dell'intelligenza artificiale, i team di sicurezza possono valutare e gestire il rischio. Anche il monitoraggio è fondamentale: registrate le attività e gli output degli strumenti di intelligenza artificiale il più possibile, in modo da avere una traccia di controllo per le decisioni influenzate dall'intelligenza artificiale. (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti).

4. Sfrutta l'intelligenza artificiale in modo difensivo: non restare indietro Riconosci che gli aggressori useranno l'IA, quindi anche la tua difesa dovrebbe farlo. Identifica alcune aree ad alto impatto in cui l'IA generativa potrebbe supportare immediatamente le tue operazioni di sicurezza (ad esempio, la selezione degli avvisi o l'analisi automatizzata dei log) ed esegui progetti pilota. Aumenta le tue difese con la velocità e la scalabilità dell'IA per contrastare le minacce in rapida evoluzione (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Anche semplici integrazioni, come l'utilizzo di un'IA per riassumere i report sui malware o generare query di threat hunting, possono far risparmiare ore agli analisti. Iniziate in piccolo, valutate i risultati e ripetete. I successi costituiranno le basi per una più ampia adozione dell'IA. L'obiettivo è utilizzare l'IA come moltiplicatore di forza: ad esempio, se gli attacchi di phishing stanno mettendo a dura prova il vostro helpdesk, implementate un classificatore di email basato sull'IA per ridurne proattivamente il volume.

5. Investire in pratiche di intelligenza artificiale sicure ed etiche: Quando si implementa l'intelligenza artificiale generativa, seguire pratiche di sviluppo e distribuzione sicure. Utilizzare modelli privati ​​o auto-ospitati Per attività sensibili, mantenere il controllo sui dati. Se si utilizzano servizi di intelligenza artificiale di terze parti, è necessario esaminarne le misure di sicurezza e privacy (crittografia, policy di conservazione dei dati, ecc.). Integrare framework di gestione del rischio dell'intelligenza artificiale (come l'AI Risk Management Framework del NIST o le linee guida ISO/IEC) per affrontare sistematicamente aspetti come bias, spiegabilità e robustezza nei propri strumenti di intelligenza artificiale (Come può l'IA generativa essere utilizzata nella sicurezza informatica? 10 esempi concreti). Pianificare anche aggiornamenti/patch del modello come parte della manutenzione: anche i modelli di intelligenza artificiale possono presentare delle "vulnerabilità" (ad esempio, potrebbero aver bisogno di essere riaddestrati se iniziano a deviare o se viene scoperto un nuovo tipo di attacco avversario al modello).Integrando sicurezza ed etica nell'utilizzo dell'intelligenza artificiale, si crea fiducia nei risultati e si garantisce la conformità alle normative emergenti.

6. Tieni gli esseri umani informati: Utilizzare l'IA per supportare, non sostituire completamente, il giudizio umano nella sicurezza informatica. Definire i punti decisionali in cui è richiesta la convalida umana (ad esempio, un'IA potrebbe redigere un rapporto di incidente, ma un analista lo esamina prima della distribuzione; oppure un'IA potrebbe suggerire di bloccare un account utente, ma un essere umano approva tale azione). Questo non solo impedisce che gli errori dell'IA passino inosservati, ma aiuta anche il team a imparare dall'IA e viceversa. Incoraggiare un flusso di lavoro collaborativo: gli analisti dovrebbero sentirsi a proprio agio nel mettere in discussione i risultati dell'IA ed eseguire controlli di integrità. Nel tempo, questo dialogo può migliorare sia l'IA (attraverso il feedback) sia le competenze degli analisti. In sostanza, progettare i processi in modo che i punti di forza dell'IA e degli esseri umani si completino a vicenda: l'IA gestisce volume e velocità, gli esseri umani gestiscono ambiguità e decisioni finali.

7. Misurare, monitorare e regolare: Infine, tratta i tuoi strumenti di intelligenza artificiale generativa come componenti viventi del tuo ecosistema di sicurezza. Continuamente misurare le loro prestazioni – Stanno riducendo i tempi di risposta agli incidenti? Individuano le minacce in anticipo? Qual è l'andamento del tasso di falsi positivi? Richiedi un feedback al team: le raccomandazioni dell'IA sono utili o creano rumore? Utilizza queste metriche per perfezionare i modelli, aggiornare i dati di training o adattare il modo in cui l'IA viene integrata. Le minacce informatiche e le esigenze aziendali evolvono e i tuoi modelli di IA dovrebbero essere aggiornati o riqualificati periodicamente per rimanere efficaci. Avere un piano per la governance dei modelli, che includa chi è responsabile della loro manutenzione e la frequenza con cui vengono revisionati. Gestire attivamente il ciclo di vita dell'IA ti garantisce che rimanga una risorsa, non una passività.

In conclusione, l'IA generativa può migliorare significativamente le capacità di sicurezza informatica, ma un'adozione di successo richiede una pianificazione attenta e una supervisione continua. Le aziende che formano il proprio personale, definiscono linee guida chiare e integrano l'IA in modo equilibrato e sicuro raccoglieranno i frutti di una gestione delle minacce più rapida e intelligente. Questi spunti offrono una roadmap: combinare le competenze umane con l'automazione dell'IA, coprire le basi della governance e mantenere l'agilità mentre sia la tecnologia dell'IA che il panorama delle minacce si evolvono inevitabilmente.

Adottando questi passaggi pratici, le organizzazioni possono rispondere con sicurezza alla domanda “Come può l’intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?” – non solo in teoria, ma nella pratica quotidiana – e rafforzare così le proprie difese nel nostro mondo sempre più digitale e guidato dall’intelligenza artificiale.Come può l'intelligenza artificiale generativa essere utilizzata nella sicurezza informatica?)