L’intelligenza artificiale e l’apprendimento automatico stanno trasformando la sicurezza degli endpoint e, di conseguenza, il modo in cui operano i team di sicurezza. Ma per difendersi dagli attacchi odierni e da nemici informatici sempre più sofisticati, le imprese hanno ancora bisogno di personale competente che lavori al fianco delle tecnologie più avanzate.
La maggior parte delle aziende odierne si basano un’infrastruttura IT sempre più complessa, fanno sempre più affidamento sul cloud e sono sempre di più i dipendenti che lavorano da remoto: un insieme di fattori che influenzano le vulnerabilità e aumentano la superficie di attacco.
Tecnologie come le soluzioni XDR (Extended Detection and Response) e SOAR (Security orchestration, automation and response) si rivolgono alle imprese che non dispongono di personale esperto nella gestione di un’ondata incessante di avvisi di sicurezza. Queste tecnologie, autonome, sono anche in grado di scansionare e dare priorità agli eventi da affrontare, automatizzare le attività ripetitive in modo che gli analisti possano concentrarsi su quelle più importanti e possano identificare e organizzare le minacce appena queste vengono rilevate.
Tali strumenti hanno dato ai team di sicurezza un grande impulso nella lotta contro gli avversari moderni: la continua adozione di strumenti basati sull’intelligenza artificiale deriva dalla loro capacità di fornire una velocità e una scala molto maggiori nell’analisi dei dati e nel prendere decisioni, rispetto a quanto avviene sfruttando la sola analisi manuale.
Indice degli argomenti
Combinare la potenza dell’AI con l’esperienza umana
Seppur sia difficile prevedere il futuro, è improbabile che l’AI sia destinata a sostituire completamente gli operatori della sicurezza. Per quanto siano capaci ed efficaci, infatti, questi strumenti non sono l’unica soluzione ai problemi di sicurezza aziendale. Una combinazione di intelligenza artificiale e umana è essenziale per rispondere alle sfide imposte alle aziende dalla sicurezza.
Piuttosto che essere estromessi dalla tecnologia, i professionisti della sicurezza si troveranno a lavorare fianco a fianco con l’AI per difendersi dalle minacce, anche da quelle di tipo avanzato.
Ma anche se non sostituiranno completamente le persone, è probabile che gli strumenti basati sull’AI rimodelleranno la natura dei lavori di sicurezza odierni.
Si prenda in considerazione il lavoro di un analista di primo livello che passa la maggior parte del proprio tempo a valutare gli avvisi di sicurezza e ad indagare sui potenziali problemi: grazie al supporto fornito dall’AI, un maggior numero di dati e di sfaccettature confluisce nell’analisi automatizzata, con conseguente maggiore fedeltà degli avvisi e minore desensibilizzazione degli alert.
Gli analisti possono così dedicare più tempo all’analisi di eventi ad elevata priorità, soprattutto in situazioni difficili da giudicare e ambigue. In questo modo, le imprese possono concentrare le competenze umane dove queste sono più richieste e necessarie.
In un certo senso, gli strumenti autonomi richiederanno nuove competenze ai professionisti della sicurezza. La tecnologia di AI si basa su un grande quantitativo di dati per automatizzare efficacemente le attività e identificare le minacce.
L’esperienza umana rimarrà essenziale
Ma tali dati non sono tutti uguali: i dati chiamati verità di base sono una tipologia in grado di descrivere come vogliamo che un modello di AI si comporti in base a determinati input, o il “target” per l’addestramento del modello. Le intuizioni umane sono una fonte inestimabile di verità di base che consente ai modelli di AI di apprendere dall’esperienza umana.
La capacità della tecnologia autonoma di prendere decisioni dipende dalla quantità e dalla qualità dei dati che elabora, nonché dalla sua capacità di apprendere e migliorare. I professionisti della sicurezza in grado di educare gli algoritmi a cercare, rilevare e reagire meglio agli eventi di sicurezza troveranno probabilmente queste competenze molto richieste.
L’esperienza umana diventa essenziale, in questo caso specifico, per massimizzare i rilevamenti reali e mantenere al minimo i falsi positivi. Ma nonostante le tecnologie di AI siano oggi molto avanzate, il settore ha ancora ampi margini di miglioramento, soprattutto per quanto riguarda l’efficacia dei modelli.
Inoltre, sebbene la tecnologia di AI possa elaborare grandi quantità di dati e automatizzare compiti ripetitivi, non può sostituire l’intuizione o l’esperienza umana sul campo.
Le aziende avranno bisogno di persone che si occupino di threat hunting e di investigare sulle minacce di sicurezza; persone in grado di analizzare i dati, ricavare intuizioni e prendere decisioni su come rispondere nel modo più adeguato ed efficiente possibile.
Gli strumenti autonomi, ad esempio, potrebbero non rilevare le nuove minacce inventate da avversari motivati e dotati di buone risorse, che non rientrano nell’ambito dei dati già precedentemente acquisiti. In questi casi, le aziende avranno bisogno di personale qualificato in grado di analizzare le attività potenzialmente pericolose, prendere decisioni e garantire che i nuovi insight vengano aggiunti al campione di informazioni da cui l’AI apprende.
I sistemi di AI ben progettati imparano e migliorano costantemente, dando vita un processo che si basa sulla capacità di introdurre nuove intuizioni che derivano dall’uomo nel corpus di conoscenze che ne sta alla base.
Le organizzazioni avranno anche bisogno di professionisti della sicurezza che le aiutino a difendersi dagli avversari che utilizzano l’AI per sconfiggere l’AI in attacchi sempre più sofisticati. L’intelligenza artificiale ha una propria superficie di attacco – si prenda in considerazione, ad esempio, il framework ATLAS di MITRE, modellato sul popolare framework ATT&CK per le tecniche avversarie.
L’affidamento all’AI come strumento fondamentale per lavorare con insiemi di dati sempre più grandi e complessi rende indispensabile che gli esseri umani non siano indifferenti di fronte ai limiti intrinseci dell’AI e si fidino incondizionatamente delle sue prestazioni.
Prepararsi ad un futuro incentrato sull’AI
Considerata la continua evoluzione della tecnologia, i professionisti della sicurezza devono adeguarsi in base alle diverse necessità. Ciò si vede nel caso degli strumenti basati sull’AI, che stanno già cambiando il modo in cui i team di sicurezza operano, fornendo le capacità necessarie per svolgere il proprio lavoro in modo più efficace e per essere sempre un passo avanti rispetto agli avversari.
Ma per quanto la tecnologia diventi potente, essa è solo una parte di una strategia di difesa forte. Le competenze umane giocano un ruolo fondamentale in questo futuro alimentato dall’AI.
Avremo ancora bisogno di persone che gestiscano la tecnologia, analizzino i dati, traggano spunti, prendano decisioni strategiche e addestrino i prodotti ad apprendere e adattarsi nel tempo.
L’intelligenza artificiale non potrà mai sostituire completamente gli esseri umani, ma può consentire loro di creare una linea di difesa più forte contro avversari sempre più capaci e sofisticati.
