L'Intelligenza Artificiale nella Sicurezza Informatica: Il Punto di Vista di un CISO | Palo Alto Networks

Man mano che la tecnologia IA matura e dimostra il suo valore, è destinata a rivoluzionare il modo in cui i professionisti della sicurezza affrontano i loro ruoli e le loro responsabilità. Non si tratta di un'iperbole, ma di una valutazione credibile dei risultati quotidiani sperimentati nelle operazioni di sicurezza e con i clienti che beneficiano dell'implementazione delle soluzioni Palo Alto Networks basate sull'IA.

In quest’intervista con Niall Browne, CISO di Palo Alto Networks, si approfondisce l’impatto dell'intelligenza artificiale sul panorama attuale e futuro della sicurezza informatica.

Il Viaggio dell'Intelligenza Artificiale nella Sicurezza Informatica

Sebbene l'IA non sia un concetto nuovo, il suo pieno potenziale sta finalmente diventando realtà grazie alla democratizzazione di strumenti come l'IA generativa. In questo modo, si è verificato un cambiamento notevole: l'IA è entrata apparentemente nel mainstream, a disposizione di chiunque abbia accesso a una tastiera e a una connessione ad Internet. E Browne prevede cambiamenti ancora più profondi.

I criminali informatici esaminano gli strumenti utilizzati dalle organizzazioni ed esplorano modalità per sfruttare l'IA per compromettere i loro obiettivi. Questa battaglia rimarrà un gioco continuo tra gatto e topo per i prossimi 5-10 anni. Sia i team difensivi che quelli offensivi ricalibrano costantemente le loro strategie e tecniche, cercando di superarsi a vicenda, ma questo gioco sarà diverso con l'evoluzione dell'IA.

Gli avversari dotati di intelligenza artificiale non hanno le stesse limitazioni degli esseri umani. Non dormono e non fanno mai pause. Non si distraggono. Possono muoversi alla velocità di una macchina. Possono lavorare in multitasking come gli esseri umani non possono fare. L'intelligenza artificiale può sfruttare le vulnerabilità, muoversi lateralmente e compromettere più obiettivi contemporaneamente, rappresentando una minaccia significativa per le organizzazioni.

Abbiamo assistito a cambiamenti simili nei mercati finanziari con il trading ad alta frequenza, dove i progressi tecnologici hanno portato a interazioni di millisecondi. In un mondo di IA, la sicurezza informatica passerà dagli esseri umani che gestiscono le minacce per giorni all'IA che le gestisce in millisecondi.

Grazie alle capacità dell'intelligenza artificiale, la compromissione iniziale del furto di dati è ormai possibile in poche ore. Gli attacchi coordinati su larga scala avvengono in contemporanea. Inoltre, gli aggressori dimostrano sempre più di conoscere a fondo il funzionamento dei processi aziendali.

Tutto questo porta a un aumento senza precedenti di eventi e violazioni della sicurezza. L'inarrestabile avanzamento della tecnologia, unito alle menti creative degli attori malintenzionati, delinea un quadro potenzialmente cupo per il panorama della sicurezza informatica.

Detto questo, Browne ritiene che si stia verificando un punto di inflessione in cui l'IA viene applicata efficacemente per rilevare e rispondere alle minacce informatiche prima che possano causare danni. Questa trasformazione è simile al cambiamento di paradigma che si è verificato quando le organizzazioni hanno abbracciato il cloud computing. Browne approfondisce questo paragone:

"Il potere dell'IA sarà trasformativo per i team di cybersecurity. Stiamo assistendo al reale potenziale dell'IA nel rilevare gli attacchi nel momento in cui si verificano e nell'aiutare i sistemi a riprendersi da questi stessi attacchi. Stiamo assistendo a un enorme impegno da parte dei team di cybersecurity per iniziare ad abbracciare l'IA, analogamente al percorso di 6 o 7 anni fa, quando le aziende hanno iniziato ad abbracciare il passaggio al cloud.
Penso che l'IA trasformerà totalmente il modo in cui i team di cybersecurity operano all'interno dell'organizzazione, dal centro operativo di sicurezza ai team di sicurezza delle applicazioni e oltre".

Capire l'Importanza delle Metriche nella Sicurezza

Esaminando lo stato attuale della tecnologia, Browne illustra le metriche di performance chiave per valutare l'efficacia delle soluzioni basate sull'intelligenza artificiale nella sicurezza informatica. Le metriche sono fondamentali per capire come migliorare i processi e dove ci sono lacune nella sicurezza.

Tuttavia, Browne respinge l'idea del tempo medio di chiusura come parametro principale, paragonandolo alle pratiche dei call center in cui l'obiettivo è chiudere rapidamente le chiamate. Preferisce invece concentrarsi sulle metriche relative ai sistemi e alle capacità di intelligenza artificiale:

  • Percentuale di sistemi registrati e dati ingeriti - Tracciamento della quantità di dati ingeriti dai vari sistemi;
  • Tassi di falsi positivi e veri positivi - Garantire un equilibrio tra avvisi accurati (veri positivi) ed evitare avvisi inutili (falsi positivi);
  • Tempo medio di rilevamento - Il tempo necessario per rilevare un incidente una volta che si è verificato;
  • Tempo medio di risposta - Misura la velocità con cui il team di sicurezza risponde a un incidente, con l'obiettivo di un tempo di risposta di 10 minuti.

Queste metriche consentono alle organizzazioni di valutare l'efficienza e l'efficacia delle loro operazioni di sicurezza informatica. Browne sottolinea inoltre la facilità di confronto di queste metriche nel passaggio dai sistemi SIEM (Security Information and Event Management) tradizionali a quelli basati sull'intelligenza artificiale, consentendo di calcolare chiaramente il ROI.

Palo Alto Networks Cortex XSIAM® sta rapidamente dimostrando la sua abilità nel gestire i dati che possono essere elaborati e integrati per alimentare l'apprendimento automatico, l'analisi e l'automazione. Con un SOC che ingerisce oltre 1.000 miliardi di eventi al mese, quasi 40 miliardi al giorno, e raggruppa e analizza in modo intelligente gli avvisi, si ottiene in media solo otto incidenti al giorno che necessitano di un'indagine umana.

"Nel caso di Palo Alto Networks, utilizziamo XSIAM e lo sfruttiamo quotidianamente per analizzare circa 75 TB di gigabyte di dati. Questo ci ha permesso di raggiungere un tempo medio di rilevamento di 10 secondi e un tempo medio di risposta di 1 minuto",

afferma Browne.

La Crescita Esponenziale dell'IA nella Sicurezza Informatica

Con l'avvento dell'IA e di una maggiore automazione, si sta passando dalle strutture SOC tradizionali a quattro livelli, in cui gli analisti umani gestiscono la maggior parte delle attività, a un modello in cui l'IA si occupa del triage e dell'analisi iniziale.

Browne è d'accordo con questa evoluzione e condivide la sua visione secondo cui i livelli inferiori di un SOC (Tier 1, 2 e 3) saranno principalmente guidati dall'intelligenza artificiale, mentre gli analisti umani si concentreranno maggiormente sulle attività del Tier 4. In Palo Alto Networks, Browne osserva che sono stati eliminati i livelli inferiori del SOC, creando una forza lavoro più dinamica di specialisti. Questo cambiamento consente agli analisti SOC di concentrarsi su attività più coinvolgenti e preziose, come la ricerca delle minacce, portando in ultima analisi a livelli più elevati di soddisfazione lavorativa e a livelli più bassi di abbandono.

Man mano che le organizzazioni abbracciano sempre più l'IA per la sicurezza informatica, stiamo assistendo a una profonda trasformazione in vari aspetti del settore:

  • Rischio di concentrazione dei dati dell'IA - I sistemi interni di IA avranno accesso a un tesoro di informazioni altamente riservate. Questo rischio di concentrazione dei dati farà sì che l'IA diventi il bersaglio principale degli hacker. Per questo motivo, le organizzazioni dovranno impiegare risorse significative per garantire che questi sistemi di IA siano implementati e protetti in modo appropriato, fin dall'inizio. Ad aumentare la complessità, alcuni controlli di sicurezza dell'IA possono essere nascenti e, di conseguenza, i controlli di compensazione diventeranno di fondamentale importanza;
  • Spostamento a sinistra della sicurezza - Il concetto di "shift left" nella sicurezza enfatizza la necessità di affrontare le vulnerabilità nelle primissime fasi del processo di sviluppo (cioè prima che vengano introdotte). Con l'assistenza dell'intelligenza artificiale, gli sviluppatori possono ricevere un feedback in tempo reale su potenziali problemi di sicurezza, che portano a un codice e a un'infrastruttura più sicuri. Questo approccio di tipo "shift left" fa sì che la sicurezza non sia un ripensamento, ma una parte integrante del processo di sviluppo;
  • Trasformazione delle operazioni di sicurezza - L'intelligenza artificiale è destinata ad avere l'impatto più significativo sulle operazioni di sicurezza. I centri operativi di sicurezza (SOC) sono attualmente sopraffatti dal volume di avvisi e incidenti. Le soluzioni basate sull'intelligenza artificiale sono in grado di vagliare una grande quantità di dati, dare priorità alle minacce e ridurre in modo significativo i falsi positivi. Ciò consente ai team SOC di concentrarsi su attività di alto valore, come la ricerca e la caccia alle minacce, anziché su avvisi di basso valore. In effetti, il SOC di Palo Alto Networks dedica solo un terzo del tempo agli avvisi, consentendo ai team di concentrarsi su attività di valore molto più elevato;
  • Rimodellare i ruoli degli analisti di sicurezza - Con l'intelligenza artificiale che gestisce le attività di routine, gli analisti di sicurezza possono trasformarsi in risorse di alto valore. Possono immergersi in profondità nell'analisi dei dati, nell'intelligence sulle minacce e nella caccia proattiva alle minacce, promuovendo la maturità complessiva della sicurezza all'interno delle organizzazioni.

Il Futuro dell'Intelligenza Artificiale si Prospetta Luminoso

Browne prevede che l'IA trasformerà il panorama della sicurezza informatica nei prossimi anni, offrendo un valore superiore alle aspettative. Non si tratta solo di potenziale, ma di applicazioni reali. L'IA è destinata a diventare uno strumento indispensabile nell'arsenale della sicurezza, migliorando esponenzialmente l'efficienza e l'efficacia.

Immaginate un mondo in cui l'intelligenza artificiale ha il ruolo di copilota per gli sviluppatori, offrendo indicazioni in tempo reale sulle pratiche di codifica sicure. Immaginate team operativi di sicurezza che riducono drasticamente l'affaticamento causato dalla quantità di alert, concentrandosi sulle minacce più critiche.

Immaginate un panorama della sicurezza in cui il lavoro dell'attaccante diventa esponenzialmente più difficile grazie alle difese alimentate dall'intelligenza artificiale. È un futuro ricco di possibilità e Palo Alto Networks è in prima linea con prodotti basati sull'intelligenza artificiale come Cortex XSIAM e l'intera suite di prodotti Cortex.

L'intelligenza artificiale non è solo un termine in voga, ma una forza tangibile che sta plasmando il futuro della sicurezza informatica. Quando le organizzazioni adotteranno soluzioni di sicurezza basate sull'IA, sperimenteranno una trasformazione significativa della loro postura di sicurezza. Con l'intelligenza artificiale come copilota, siamo sulla soglia di un mondo digitale più sicuro, con strumenti molto interessanti. Con l'avanzare della tecnologia, le organizzazioni devono adattarsi rapidamente per restare al passo con gli avversari sempre più sofisticati che devono affrontare.

Se vuoi scoprire di più sulle soluzioni Palo Alto Networks basate sull’intelligenza artificiale, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.