L’intelligenza artificiale sta sparigliando le carte nella cybersecurity. Il white paper Empowering Defenders: AI for Cybersecurity, realizzato dal World Economic Forum in collaborazione con Kpmg, mette a fuoco le condizioni necessarie per usare l’intelligenza artificiale nella sicurezza informatica in modo efficace e controllato. Il documento analizza applicazioni già operative lungo l’intero ciclo della cybersecurity, dalla governance alla threat intelligence, dalla protezione dei sistemi alla risposta agli incidenti. L’obiettivo è fornire a executive e chief information security officer un percorso di adozione basato su priorità aziendali, qualità dei dati, competenze, progetti pilota e supervisione umana.
In questo contesto l’intelligenza artificiale può generare benefici nella sicurezza informatica, ma solo quando viene adottata con una strategia precisa. Non basta introdurre nuovi strumenti nei processi esistenti. Quello che serve sono priorità aziendali definite, dati affidabili, processi documentati, competenze adeguate, infrastrutture compatibili e regole di governance in grado di stabilire ruoli, responsabilità e limiti.
E gli executive e chief information security officer dovrebbero seguire un percorso progressivo: prima occorre collegare l’adozione dell’intelligenza artificiale agli obiettivi dell’organizzazione; poi bisogna valutare la maturità interna, avviare progetti pilota, misurarne i risultati e solo in seguito passare a una diffusione più ampia. Il valore dell’intelligenza artificiale nella cybersecurity dipende dalla capacità di inserirla in un modello di gestione del rischio già solido.
La pressione degli attacchi spinge verso nuovi strumenti
E l’AI cambia anche a velocità e complessità delle minacce. Gli attaccanti usano strumenti basati sull’intelligenza artificiale per accelerare la ricognizione, individuare vulnerabilità, generare codice malevolo, costruire campagne di phishing più credibili e aggirare alcuni controlli tradizionali. Si tratta di una “svolta” che aumenta la pressione sui team di sicurezza, che devono analizzare grandi quantità di segnali e intervenire in tempi sempre più brevi.
Una trasformazione che i dati raccontano bene. Il 94% degli intervistati nel Global Cybersecurity Outlook 2026, citato nel paper, considera l’intelligenza artificiale il principale fattore di cambiamento nella cybersecurity. Il 77% delle organizzazioni dichiara già di usarla in attività di sicurezza. L’adozione, però, non è uniforme. Le grandi imprese dispongono in genere di maggiori risorse economiche, dati più strutturati e competenze tecniche più sviluppate. Le organizzazioni più piccole, le amministrazioni pubbliche e le realtà non profit incontrano invece maggiori ostacoli legati a budget, personale e maturità dei processi.
Per quanto riguarda i benefici misurabili, l’88% dei team di sicurezza segnala risparmi di tempo e maggiori possibilità di dedicarsi ad attività preventive. Le organizzazioni che usano in modo esteso l’intelligenza artificiale nella sicurezza hanno ridotto di circa 80 giorni i tempi legati alle violazioni e di 1,9 milioni di dollari il costo medio degli incidenti. Numeri, questi, che spiegano perché la cybersecurity stia diventando uno degli ambiti più concreti di applicazione dell’intelligenza artificiale in azienda.
Dati interni e contesto aziendale fanno la differenza
Uno dei temi centrali riguarda la qualità del contesto disponibile ai difensori. Gli attaccanti osservano l’organizzazione dall’esterno e cercano punti deboli. I team di sicurezza, invece, possono usare dati interni su asset, utenti, configurazioni, vulnerabilità, log, processi e priorità di business. Se questi dati sono completi e accessibili, l’intelligenza artificiale può aiutare a distinguere i segnali rilevanti dal rumore operativo.
Questo aspetto è particolarmente importante nella gestione delle vulnerabilità. Un sistema intelligente può valutare non solo la gravità teorica di una falla, ma anche il ruolo dell’asset coinvolto, la probabilità di sfruttamento, la presenza di minacce attive e il possibile collegamento con altre debolezze. In questo modo i team possono concentrare gli interventi sulle situazioni più rischiose.
La priorità non è automatizzare ogni attività, ma migliorare la qualità delle decisioni. Molte organizzazioni rischiano di adottare strumenti avanzati senza aver prima chiarito quali problemi intendano risolvere: certamente l’intelligenza artificiale può ridurre i tempi di analisi, suggerire azioni e supportare il lavoro degli analisti, ma non sostituisce la necessità di una valutazione umana nei casi ad alto impatto.
Governance, audit e controllo delle policy
Il white paper organizza i casi d’uso lungo le sei funzioni del Cybersecurity Framework 2.0 del National Institute of Standards and Technology: governare, identificare, proteggere, rilevare, rispondere e recuperare. La prima funzione, quella della governance, riguarda il controllo dei rischi, la conformità alle norme, la coerenza delle policy e l’allineamento tra sicurezza e requisiti di business.
In questo ambito l’intelligenza artificiale può verificare configurazioni, audit trail e implementazione dei controlli. Può anche aiutare a confrontare requisiti regolatori diversi, riducendo la complessità per le organizzazioni che operano in più Paesi. Un altro campo di applicazione riguarda la validazione delle policy interne, ad esempio per controllare se standard di password, autenticazione multifattore o impostazioni cloud siano applicati correttamente.
Il caso Rubrik citato dal report mostra un uso avanzato dell’intelligenza artificiale nella revisione della sicurezza dei prodotti. L’azienda ha sviluppato una piattaforma con più agenti per analizzare documenti di design, diagrammi architetturali e codice sorgente. Il sistema genera valutazioni di rischio, mappa le minacce, verifica le correzioni implementate e produce report di certificazione. Secondo il white paper, questo approccio ha aumentato di tre volte la copertura delle revisioni, ridotto del 50% i tempi e migliorato l’accuratezza dei risultati.
Threat intelligence e individuazione dei rischi
La funzione di identificazione riguarda la mappatura dell’ambiente digitale, l’inventario degli asset e la valutazione dei rischi. È uno degli ambiti in cui il report registra un numero elevato di casi d’uso. L’intelligenza artificiale può trasformare grandi quantità di dati grezzi in informazioni utilizzabili dagli analisti, collegare indicatori di compromissione, individuare relazioni tra campagne malevole e supportare attività di threat intelligence.
Kpmg, ad esempio, ha addestrato un modello personalizzato sul proprio archivio di intelligence. Gli analisti possono interrogarlo in linguaggio naturale e ricevere contesto, collegamenti tra attacchi, risultati di sandboxing e indicazioni sui possibili gruppi responsabili. Il risultato indicato è un aumento del 25% dell’efficienza operativa, con minore lavoro manuale e maggiore capacità di seguire più attori malevoli in parallelo.
Microsoft, attraverso la Digital Crimes Unit, ha sviluppato Haystack, uno strumento che usa l’intelligenza artificiale per individuare rapidamente indicatori di minaccia all’interno di grandi volumi di documenti e risposte legali. L’obiettivo è ridurre i tempi delle indagini forensi e rendere più semplice la comunicazione delle…
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Source link
