L’ubiquità dell’intelligenza artificiale (IA) nelle aziende si sta avvicinando a quella del cloud: nel 2023, l’utilizzo di applicazioni di intelligenza artificiale generativa tra i dipendenti aziendali è aumentato del 400% e oltre il 10% dei dipendenti aziendali ha avuto accesso ad almeno un’applicazione di intelligenza artificiale generativa ogni mese, rispetto ad appena il 2% nel 2022.
I professionisti della sicurezza informatica stanno adottando questi strumenti a un ritmo sempre più elevato. Secondo una ricerca di CompTIA, il 56% ha riferito di lavorare già con l’intelligenza artificiale e l’apprendimento automatico (ML), mentre il 36% ha affermato che sta esplorando le possibilità di farlo.
I professionisti della sicurezza hanno dichiarato a CompTIA che l’IA può aiutarli a:
- monitorare il traffico di rete e a rilevare malware (come citato dal 53% degli intervistati);
- analizzare i modelli di comportamento degli utenti (50%);
- automatizzare le risposte agli incidenti (48%);
- automatizzare le configurazioni dell’infrastruttura di sicurezza, prevedere aree in cui potrebbero verificarsi future violazioni e condurre test di difesa (45%).
Chiaramente, l’IA può fornire un notevole supporto ai team dei centri operativi di sicurezza (SOC). Questi team devono monitorare continuamente l’intero panorama IT di un’organizzazione per rilevare potenziali minacce in tempo reale e contrastarle nel modo più rapido ed efficace possibile.
È un lavoro impegnativo, che comporta uno stress immenso e porta spesso al burnout: da ricerche emerge che l’84% degli addetti alla sicurezza stanno pensando di lasciare la propria azienda o cambiare ruolo o percorso di carriera.
Considerate queste conseguenze e il livello elevato di logoramento delle risorse, dovremmo pensare all’intelligenza artificiale come a un copilota affidabile, che consenta al personale del SOC di semplificare le attività relative al rilevamento degli incidenti, all’analisi degli allarmi, all’arricchimento dei set di dati e altro ancora.
Indice degli argomenti
L’IA come copilota dei team SOC: capacità immediate
L’intelligenza artificiale può immediatamente offrire un aiuto in tre aree (o sarà in grado di farlo dopo un periodo di avvio relativamente breve).
Accelerare l’onboarding
Le nuove risorse in arrivo nel SOC probabilmente avranno una conoscenza degli strumenti principali di CrowdStrike o Microsoft, ma dovranno essere aggiornati su questioni quali le modalità di implementazione e la struttura organizzativa.
Questo include informare i nuovi assunti su vari aspetti:
- a chi fa capo il team di sicurezza (ad esempio, all’IT, CFO o altro);
- chi sono gli altri team o organizzazioni con cui il team SOC collabora direttamente e regolarmente;
- quali tecnologie sono state precedentemente approvate o provate prima dell’arrivo della nuova risorsa.
L’intelligenza artificiale consentirà ai membri del team di onboarding del SOC di recepire queste informazioni molto più rapidamente, assumendo nuovi analisti in modo più rapido e efficace.
Formulare raccomandazioni
È qui che l’intelligenza artificiale emerge come un prezioso copilota. Ponendo le domande giuste, i team possono fare in modo che l’IA fornisca indicazioni su quali tecnologie integrare nell’ambiente aziendale o su minacce specifiche che potrebbero avere un impatto sulla loro organizzazione.
Pensiamo allo scenario in cui una nuova risorsa entra nel team SOC; il tempo necessario per comprendere l’infrastruttura, i processi, gli strumenti, il modo in cui gli strumenti sono configurati, sono tutte aree in cui un copilota può fornire assistenza.
Il copilota può offrire rapidamente informazioni sull’utilizzo della tecnologia e fornire altri dettagli aggiuntivi per assistere i membri del team, come informazioni sulla configurazione del software e qualsiasi potenziale esposizione del sistema.
Simulare vettori di attacco
Nel corso del tempo, l’IA dovrebbe essere in grado di sviluppare esempi rilevanti di vettori di attacco rispetto ai quali i team possono testare le capacità di difesa, come un sofisticato schema di phishing tramite posta elettronica.
Sarà così possibile testare i controlli in modo più efficace rispetto alle tattiche, tecniche e procedure (TTP) che i criminali informatici stanno implementando.
Migliore capacità di individuare vulnerabilità
Le vulnerabilità sfruttate dagli attaccanti in genere si presentano come vulnerabilità del software, sotto forma di bug, o delle configurazioni.
In entrambi i casi, sono difficili da trovare e monitorare all’interno di un’azienda a causa del volume di dati che i membri del team devono vagliare.
La capacità di comprendere il complesso ambiente di sfruttamento di queste vulnerabilità richiede competenze complesse e specifiche, che non tutti i membri del team potrebbero possedere.
Grazie all’intelligenza artificiale, capace di comprendere l’utilizzo nonché i dati di configurazione e versione del software, è possibile garantire che, quando si esplorano i vettori di attacco contro i sistemi e dati aziendali, tutte le strade siano coperte.
L’IA come copilota dei team SOC: guida all’implementazione
Tuttavia, bisogna sempre prestare attenzione quando si cerca di incorporare in modo sicuro l’intelligenza artificiale generativa nelle operazioni SOC quotidiane. Ecco due best practice da considerare.
Controllare tutto
Sappiamo che le attuali versioni dell’intelligenza artificiale sbagliano, producendo vere e proprie allucinazioni o altri errori.
Nel contesto della segnalazione di minacce, le allucinazioni possono manifestarsi come falsi positivi o eventi inspiegabili.
Di conseguenza, l’intelligenza artificiale generativa integrata potrebbe iniziare a bloccare minacce che non sono reali, il che può causare il blocco dei sistemi e costringere i team a risolvere un problema che non esiste.
Pertanto, non è ipotizzabile passare dall’applicazione delle prime funzionalità di IA a funzionalità più avanzate senza rivedere e valutare attentamente i risultati per verificarne l’accuratezza e la pertinenza.
Se chiediamo assistenza all’IA per riassumere un report di intelligence sulle minacce, ad esempio, non possiamo condividere i risultati senza un controllo approfondito e un controllo incrociato dei contributi dell’IA con ciò che sappiamo essere vero e falso.
Per rivedere e controllare in modo efficace i risultati dell’IA generativa, va considerata e trattata come un altro membro del team, piuttosto che come un semplice strumento. Dovrò chiedere al mio team di utilizzare lo stesso processo che viene utilizzato per i dipendenti e i loro risultati. Ciò significa che i progetti rilasciati con l’uso dell’IA devono essere testati, rivisti e accettati dai team operativi e di supporto.
Scoprire cosa stanno facendo i tuoi vendor
La protezione aziendale dipende da quanto è protetto l’anello più debole della catena. Proprio come si sta cercando di implementare l’intelligenza artificiale in modo sicuro in azienda, è consigliabile chiedere ai propri vendor se stanno facendo lo stesso.
È bene chiedere qual è la loro tabella di marcia per l’IA generativa e quale impatto avrà sulle loro piattaforme. Questo processo deve iniziare fin da subito con il vendor: va verificato se attualmente dispone o prevede di implementare l’IA o l’IA generativa nei propri stack tecnologici aziendali.
Se, ad esempio, il team di sicurezza coinvolge una terza parte che attualmente non possiede alcuna integrazione IA, per allinearsi al programma di governance e conformità della propria organizzazione, occorre chiedere alla terza parte se sono previsti piani per incorporare l’IA o l’IA generativa nei loro prodotti entro il prossimo anno.
Questa è una domanda fondamentale da porre regolarmente in quanto consente non solo di comprendere il loro livello base, ma anche di porre domande più approfondite in base alle loro risposte.
Conclusioni
L’intelligenza artificiale può quindi dare un grande aiuto ai SOC. Ma, come ogni nuovo membro del team, i professionisti della sicurezza devono comprendere appieno le capacità e i limiti dell’IA.
Adottando gli strumenti di IA in modo misurato, con i giusti percorsi e barriere, verificando i risultati, i professionisti della sicurezza elimineranno molte delle attività manuali che causano burnout dalla loro vita quotidiana e potranno concentrarsi su obiettivi più strategici.
Di conseguenza, il loro ruolo sarà rivalutato come formidabili difensori dell’impresa e lavoreranno con una visione a lungo termine, invece di pianificare il prossimo cambio di carriera.
