L’intelligenza artificiale e la parola d’ordine del momento nella sicurezza informatica. Quasi nessun prodotto viene lanciato senza la dicitura “AI-powered” nel marketing. Ma cosa offre realmente l’IA nella difesa cyber — e dove finisce la sua utilita?
Dove l’IA offre un reale valore aggiunto
Il machine learning e i modelli statistici hanno portato progressi dimostrabili in determinati ambiti della sicurezza informatica. Non perche siano magici, ma perche eccellono nel riconoscere pattern in grandi volumi di dati.
Rilevamento delle anomalie nelle reti e nel comportamento degli utenti (UEBA): Le User and Entity Behavior Analytics creano profili di base del comportamento normale — orari di accesso, pattern di utilizzo, volumi di dati. Le deviazioni vengono rilevate automaticamente. Se un account della contabilita accede improvvisamente ai server di sviluppo di notte, il sistema lancia un allarme. ENISA classifica l’UEBA come una delle applicazioni IA piu promettenti nella cybersecurity.
Classificazione del malware: Il rilevamento basato sulle firme da solo non e piu sufficiente contro il malware polimorfo. I modelli ML analizzano le caratteristiche comportamentali dei file — chiamate API, accessi alla memoria, connessioni di rete — e classificano anche varianti finora sconosciute. Le moderne soluzioni EDR utilizzano questa tecnica in modo produttivo da anni.
Rilevamento del phishing: I modelli NLP analizzano il contenuto delle e-mail alla ricerca di pattern linguistici tipici del phishing: urgenza, appelli all’autorita, URL sospetti. In combinazione con la reputazione del mittente e l’analisi degli header, questi sistemi raggiungono tassi di rilevamento superiori al 95 per cento.
Alert Triage: Un SOC medio elabora migliaia di allarmi al giorno. La prioritizzazione basata su ML riduce la “alert fatigue” declassando automaticamente i falsi allarmi e portando in primo piano gli eventi critici. Questo libera gli analisti per i casi che contano davvero.
Prioritizzazione delle vulnerabilita: Non ogni CVE e ugualmente critica. I sistemi basati sull’IA valutano le vulnerabilita nel contesto della propria infrastruttura: il servizio interessato e raggiungibile dall’esterno? Esistono exploit attivi? Quanto e critico il sistema per il business? Questo approccio e piu efficiente dei puri punteggi CVSS.
Dove l’IA raggiunge i suoi limiti
Le limitazioni sono tanto reali quanto i benefici — e vengono volentieri taciute nel marketing.
Elevati tassi di falsi positivi: Senza un’attenta calibrazione e un addestramento specifico al contesto, i modelli ML producono una valanga di falsi allarmi. Un sistema che segnala ogni login insolito come un attacco viene rapidamente ignorato. La fase di calibrazione richiede settimane o mesi e necessita di competenze specialistiche.
Attacchi avversari: I modelli ML possono essere deliberatamente ingannati. Gli aggressori possono manipolare gli input in modo che il malware venga classificato come benigno. La ricerca dimostra che anche piccole modifiche ai file PE possono eludere il rilevamento da parte degli scanner basati su ML.
Il problema del cold start: Il ML ha bisogno di dati — molti dati di qualita. Un sistema appena installato non conosce ne la rete ne gli utenti. Passano settimane prima che i modelli diventino significativi. Per le PMI con ambienti piccoli, spesso manca la base dati necessaria per modelli affidabili.
“AI Washing”: Una parte considerevole dei prodotti di sicurezza commercializzati come “basati sull’IA” utilizza semplice automazione basata su regole o soglie statistiche. Questo e utile, ma non e intelligenza artificiale. Il confine tra marketing e realta e sfumato.
Nessun sostituto del giudizio umano: Gli incidenti complessi richiedono una conoscenza del contesto che nessun modello possiede: processi aziendali, contesti politici, progetti in corso. Un analista esperto riconosce che il trasferimento notturno di dati e una migrazione pianificata — il modello ML vede solo l’anomalia.
Spiegabilita: Molti modelli ML sono scatole nere. Quando un sistema genera un allarme, spesso non e chiaro il motivo. Per i settori regolamentati e per la tracciabilita nei report sugli incidenti, questo rappresenta un problema reale. Il NIST AI Risk Management Framework (AI RMF) richiede esplicitamente trasparenza e spiegabilita.
IA contro IA: la corsa agli armamenti
Gli aggressori utilizzano la stessa tecnologia. L’IA generativa crea e-mail di phishing convincenti senza i tipici errori ortografici. I deepfake rendono possibile la frode del CEO tramite videochiamata. Strumenti automatizzati scansionano vulnerabilita su larga scala e generano exploit su misura. I difensori devono tenere il passo — ma questa corsa agli armamenti non ha un traguardo.
Raccomandazioni pratiche per le PMI
- Mettere in discussione l’hype: Chieda ai fornitori in modo specifico quali metodi ML vengono utilizzati e su quali dati sono stati addestrati i modelli. “Basato sull’IA” da solo non e un’affermazione significativa.
- Utilizzare strumenti consolidati: Le moderne soluzioni EDR e i gateway di sicurezza e-mail utilizzano il ML in modo produttivo da anni. Non si tratta piu di esperimenti, ma di strumenti collaudati.
- Potenziamento, non sostituzione: L’IA rende gli analisti piu efficienti, ma non li sostituisce. Preveda personale per la valutazione degli allarmi, anche se il sistema filtra in modo “intelligente”.
- Prima le basi: Prima di investire in strumenti IA, si assicuri che patching, MFA, segmentazione della rete e processi di backup funzionino. Nessun modello ML compensa la mancanza delle basi.
- Rimanere realisti: L’IA e uno strumento con punti di forza e debolezze. Chi la considera un’arma miracolosa restera deluso. Chi la impiega in modo mirato ottiene un vantaggio reale.
Come Zerberos puo supportarLa
Gli strumenti basati sull’IA rilevano pattern e anomalie. Cio che non possono fare: trovare errori logici nei processi aziendali, valutare configurazioni errate nel contesto o simulare percorsi di attacco creativi. Proprio questa e la forza dei penetration test manuali. Zerberos combina analisi automatizzate con l’esperienza di tester umani — per risultati che vanno oltre cio che un qualsiasi scanner puo offrire.
Ci contatti per una consulenza senza impegno.
Fonti
- ENISA — AI and Cybersecurity: Challenges and Recommendations (2024)
- NIST — AI Risk Management Framework (AI RMF 1.0)
- MIT Technology Review — The AI-Cybersecurity Arms Race (2024)
- Gartner — Market Guide for Security Orchestration, Automation and Response (2024)
- MITRE ATLAS — Adversarial Threat Landscape for AI Systems