Intelligenza artificiale agentiva per la sicurezza informatica: casi d'uso ed esempi

L'IA agentica si riferisce a sistemi di IA che combinano modelli come i modelli linguistici di grandi dimensioni (LLM) con flussi di lavoro automatizzati, integrazione di strumenti e supporto alle decisioni. Questi sistemi assistono i team di sicurezza in ambito SecOps e AppSec analizzando gli avvisi, automatizzando le attività di routine e supportando il lavoro investigativo.

Gli strumenti di intelligenza artificiale agentiva operano generalmente sotto supervisione umana. Non prendono decisioni di sicurezza completamente autonome negli ambienti di produzione.

Esplora casi d'uso strutturati e concreti dell'IA agentica nella sicurezza informatica, nonché le funzioni di questi agenti, il loro funzionamento e i loro limiti pratici:

Esempi di agenti di intelligenza artificiale nella sicurezza informatica

• Agenti di livello 1
  • Fornire assistenza nella fase iniziale di rilevamento e valutazione degli allarmi.
  • Eseguire la classificazione, la deduplicazione e l'arricchimento degli avvisi.
  • Fornire agli analisti il contesto necessario per dare priorità alle minacce.
• Agenti di livello 2
  • Eseguire azioni predefinite sotto supervisione umana.
  • Esempi di attività: isolare i sistemi interessati, avviare il contenimento secondo le procedure predefinite.
• Agenti di livello 3
  • Supporto per l'analisi avanzata delle minacce.
  • Esempi di funzionalità: correlazione dei dati di telemetria tra sistemi, supporto alla ricerca di minacce, scansione delle vulnerabilità .

Gli agenti di livello 3 non sostituiscono gli analisti umani, ma ne integrano il flusso di lavoro.

Intelligenza artificiale agentiva per i flussi di lavoro di sicurezza informatica

A differenza della semplice automazione basata su regole presente nei sistemi di sicurezza tradizionali, l'IA agentiva può orchestrare più strumenti, integrare informazioni contestuali provenienti da diverse fonti e supportare il processo decisionale elaborando dati non strutturati. Tuttavia, questi sistemi generalmente operano con supervisione umana o politiche preconfigurate, anziché con apprendimento e controllo completamente autonomi negli ambienti di produzione.

L'IA agente sfrutta la sua capacità di apprendere dinamicamente dal proprio ambiente. ¹ Migliora le attività di sicurezza informatica attraverso:

• Monitoraggio continuo e gestione delle minacce in tempo reale.
• Automatizzare le attività ripetitive del SOC con un intervento umano minimo.
• Offrire supporto decisionale contestuale

Architettura di agenti di IA integrati con inferenza IA, per la loro interazione con LLM e dati aziendali per l'automazione del SOC :

Adattato da: Cloudera ²

Per saperne di più: L'intelligenza artificiale in SOAR .

Funzionalità principali degli strumenti di sicurezza informatica basati sull'intelligenza artificiale di Agentic

Le principali funzionalità degli strumenti di intelligenza artificiale per la sicurezza informatica includono:

• Inteltriage e arricchimento degli avvisi di Ligent : i sistemi Agentic possono classificare e dare priorità agli avvisi, riducendo il rumore e aiutando gli analisti del SOC a concentrarsi sulle minacce significative.
• Assistenza automatizzata alle indagini : questi sistemi possono raccogliere informazioni contestuali (ad esempio, informazioni sulle minacce, correlazioni dei log) e riassumere i risultati per gli analisti umani.
• Contenimento ed esecuzione di playbook : l'IA agente può eseguire azioni di contenimento come la quarantena di un host o l'applicazione di restrizioni di accesso definite in playbook automatizzati, soggetti a governance e supervisione umana.
• Supporto alla caccia alle minacce : assistono gli analisti correlando gli indicatori di compromissione (IOC) tra diverse fonti di dati e suggerendo ipotesi investigative, sebbene sia comunque necessaria una sostanziale interpretazione umana.
• Analisi e prioritizzazione delle vulnerabilità : i sistemi di intelligenza artificiale aiutano ad analizzare e valutare le vulnerabilità su larga scala per supportare la prioritizzazione delle risorse.

Esempio di flusso di lavoro: agente di intelligenza artificiale per il rilevamento delle vulnerabilità (Livello 1)

Nei progetti pilota di sicurezza informatica, sono stati implementati agenti di intelligenza artificiale per supportare i flussi di lavoro di scansione e valutazione delle vulnerabilità, interfacciandosi con le API che forniscono dati sulle vulnerabilità e orchestrando attività come la creazione di ticket o la generazione di report.

Oltre ai sistemi aziendali come Dropzone AI, esistono anche implementazioni create manualmente in cui gli agenti di primo livello si occupano del rilevamento iniziale e della valutazione delle potenziali minacce alla sicurezza.

Ecco una demo per la creazione di un agente automatizzato per il rilevamento delle vulnerabilità nell'ambiente sandbox di DevNet:

Architettura Agentic utilizzata nella demo: l'agente si interfaccia con un'interfaccia front-end (come Streamlit UI) e un agente router (ACCS), inviando API REST e comandi in una direzione e ricevendo risposte, in formato JSON o testo semplice, nell'altra direzione.

Flusso di lavoro e interazioni tra agenti

1. Richiesta: l'utente inserisce una richiesta, ad esempio "R1 è vulnerabile? In tal caso, segnala il problema in ServiceNow e invia una segnalazione al team di sicurezza all'indirizzo xyz@gmail.com."

2. Elaborazione iniziale: l'agente riceve la richiesta e la analizza. Identifica che l'attività consiste nel verificare la vulnerabilità del Router 1 (R1), aprire un ticket di assistenza in ServiceNow e inviare un report via e-mail all'indirizzo specificato.

3. Esecuzione della query: l'agente front-end (interfaccia utente Streamlit) e l'agente router (ACCS) comunicano tra loro. L'agente router interroga il sistema per verificare lo stato del Router 1, controllando la presenza di vulnerabilità. Determina dinamicamente i comandi necessari e li esegue (ad esempio, utilizzando il comando show version per recuperare i dettagli della versione).

4. Raccolta dati: l'agente del router raccoglie i dati necessari, come la versione del Router 1, e li invia all'API PSIRT per verificare la presenza di eventuali vulnerabilità note associate a tale versione.

5. Rilevamento delle vulnerabilità: il sistema interroga l'API PSIRT, riceve i risultati (in formato JSON o testo non elaborato) ed elabora le informazioni. Identifica se sono presenti vulnerabilità ad alto rischio relative al Router 1.

6. Esecuzione delle azioni: Se vengono rilevate vulnerabilità:

• In ServiceNow viene automaticamente aperto un ticket di assistenza.
• L'agente segnala la vulnerabilità tramite e-mail al team di sicurezza.

Consulta il report di vulnerabilità generato dall'agente AI:

> Casi d'uso reali: l'IA agentica nelle operazioni di sicurezza

1. Triage e indagine

• Gli agenti raggruppano gli avvisi, rimuovono i duplicati e arricchiscono gli avvisi con il contesto della minaccia.
• Esempio di arricchimento: verifiche IOC, informazioni su endpoint e account.
• Gli analisti umani continuano a esaminare i risultati per evitare falsi positivi.

Esempio concreto: agenti di intelligenza artificiale che sfruttano il triage e l'indagine

Sfide : La configurazione iniziale della sicurezza di una compagnia di assicurazioni digitali richiedeva una gestione manuale degli avvisi, il che comportava un notevole dispendio di risorse.

• Elevato volume di avvisi di sicurezza
• processi che richiedono molto tempo
• Necessità di monitoraggio continuo 24 ore su 24, 7 giorni su 7.

Soluzioni: L'azienda ha implementato agenti di intelligenza artificiale per la sicurezza informatica e li ha integrati con sistemi esistenti come AWS, Workspace e Okta.

Conseguenze:

• La riduzione del carico di lavoro manuale ha permesso agli analisti del SOC di dare priorità alle attività di maggior valore.
• I rapporti investigativi dettagliati hanno fornito un livello di analisi granulare, aumentando la visibilità sugli IOC (indicatori di compromissione).
• La riduzione dei falsi positivi ha migliorato la precisione nel rilevamento delle minacce. ⁴

2. Supporto per la caccia alle minacce

L'intelligenza artificiale agentica può essere utilizzata nei sistemi di sicurezza informatica per rilevare e rispondere alle minacce in tempo reale.

Ad esempio, questi agenti possono identificare comportamenti di rete anomali e isolare autonomamente i dispositivi interessati per prevenire una compromissione senza intervento umano.

• Gli agenti aiutano gli analisti a individuare comportamenti anomali nella rete.
• Classificano gli avvisi in base a indicatori atomici, computazionali e comportamentali.
• Essi mettono in relazione gli indicatori utilizzando dati storici e dati in tempo reale.
• Gli analisti interpretano le fasi investigative suggerite; l'intelligenza artificiale non sostituisce il giudizio degli esperti.

Caso di studio reale: agenti di intelligenza artificiale che sfruttano la caccia alle minacce

Sfide: Il sistema sanitario dell'Università del Kansas ha riscontrato difficoltà nel coordinare la risposta all'incidente; alcune delle principali sfide includono:

• Mancanza di visibilità
• Risposta limitata all'incidente
• Vincoli delle risorse dei dipendenti

Soluzioni: L'Università ha implementato una piattaforma di sicurezza con funzionalità di intelligenza artificiale agentiva per migliorare la visibilità e automatizzare la risposta agli incidenti e la ricerca delle minacce.

Conseguenze:

• La visibilità su tutti i sistemi è aumentata di oltre il 98%.
• La copertura di rilevamento è migliorata del 110% in sei mesi.
• I processi automatizzati di risposta agli incidenti hanno filtrato e risolto 74.826 avvisi su 75.000, inoltrandone solo 174 per una revisione manuale.
• Tra gli avvisi inoltrati, i veri positivi sono stati 38, riducendo il rumore di fondo e consentendo risposte mirate. ⁵

3. Azioni di risposta

Gli agenti possono generare modelli di infrastruttura come codice (ad esempio, OpenTofu, Pulumi). Possono eseguire azioni sugli endpoint o aggiornare i controlli di sicurezza sotto supervisione umana.

Esempio concreto: agenti di intelligenza artificiale che sfruttano le azioni di risposta

Sfide: APi Group, un'organizzazione di distribuzione, si è trovata ad affrontare le seguenti sfide in materia di sicurezza informatica:

• Diverse tecnologie in uso
• Visibilità in tutto l'ecosistema

Soluzioni : Per affrontare le sfide di cui sopra, APi Group ha implementato la piattaforma di intelligenza artificiale agentica di ReliaQuest per migliorare il rilevamento delle minacce nei suoi ambienti Microsoft.

Conseguenze:

• Tempi di risposta ridotti del 52% grazie all'automazione e all'integrazione di playbook.
• È stato raggiunto un aumento del 47% della visibilità su stack Microsoft 365, Cisco e Palo Alto.
• Copertura MITRE ATT&CK ampliata del 275%. ⁶

Intelligenza artificiale agentiva e operazioni di sicurezza (SecOps) spiegate

Le operazioni di sicurezza (SecOps) rappresentano un approccio collaborativo tra i team di sicurezza IT e i team operativi IT, incentrato sull'identificazione, il rilevamento e la risposta proattiva alle minacce informatiche.

Il problema:

Gli addetti alla sicurezza informatica (SecOps) sono sottoposti a un forte stress, poiché i team devono gestire enormi quantità di dati provenienti da sistemi eterogenei e minacce in rapida evoluzione, il tutto orientandosi all'interno di strutture organizzative complesse e nel rispetto dei requisiti di conformità.

In che modo l'IA agentiva può essere d'aiuto?

L'intelligenza artificiale è particolarmente efficace nei "compiti di ragionamento" come l'analisi degli avvisi, la conduzione di ricerche predittive e la sintesi dei dati provenienti dagli strumenti.

Pertanto, gli agenti di intelligenza artificiale in ambito SecOps possono contribuire ad automatizzare attività che richiedono analisi e processi decisionali in tempo reale, come il phishing, il malware, le violazioni delle credenziali, i movimenti laterali all'interno della rete e la gestione degli incidenti.

Ad esempio, questi strumenti possono essere addestrati sulle basi di conoscenza MITRE ATT&CK per simulare le competenze degli analisti umani o utilizzare manuali di risposta agli incidenti per:

• arricchire gli avvisi
• rilevare i sistemi interessati
• isolare/valutare i sistemi infetti
• creare report sugli incidenti

Gli strumenti di sicurezza informatica basati sull'intelligenza artificiale, come Trase, possono automatizzare gran parte delle attività di conformità a standard quali SOC 2 e HIPAA. ⁷

Fonte: SCALA ⁸

Casi d'uso reali: l'IA agentica nella sicurezza delle applicazioni.

4. Identificazione del rischio

L'IA agente funge da sentinella vigile, analizzando continuamente il tuo ambiente alla ricerca di minacce e potenziali vulnerabilità in applicazioni e codebase. Gli agenti IA possono eseguire attività di rilevamento esterne e interne per identificare le minacce:

nuova scoperta:

• Archiviazione e classificazione dei dati relativi alle tue app e API.
• scansione alla ricerca di server web esposti.
• Individuazione delle porte aperte sugli indirizzi IP esposti a Internet.

Scoperta interna:

• Valutazione delle configurazioni di runtime, identificazione dei problemi e definizione delle priorità.
• Visualizzazione dell'accessibilità e delle funzionalità delle API
• Visualizzazione e utilizzo dell'API dell'app
• Monitoraggio del carico di lavoro senza agenti per AWS e API Azure
• Analisi del volume e dei modelli di traffico dell'app

5. Creazione e adattamento dei test applicativi

Gli agenti di intelligenza artificiale generano automaticamente test in base alle interazioni dell'utente con l'applicazione. Man mano che i tester o gli sviluppatori utilizzano lo strumento per acquisire i casi di test, l'IA monitora e crea gli script di test.

Se l'interfaccia utente dell'applicazione cambia (ad esempio, cambia l'ID di un elemento o il layout), l'agente AI può identificare queste modifiche e personalizzare gli script di test per evitare errori.

6. Esecuzione di test dinamici dell'applicazione

Agentic AI esegue continuamente test in contesti diversi (ad esempio, su più browser e dispositivi) senza intervento umano. Gli agenti AI possono pianificare i test e analizzare autonomamente il comportamento delle applicazioni per garantire una copertura completa dei test.

Possono inoltre personalizzare dinamicamente i parametri di test, ad esempio copiando diversi input di dati utente o modificando le condizioni di rete, per consentire un'analisi più approfondita dell'applicazione.

7. Reportistica autonoma e suggerimenti predittivi

Gli agenti di intelligenza artificiale possono esaminare autonomamente i dati di test delle applicazioni, individuando schemi di errore e determinandone le cause principali.

Ad esempio, se numerosi test falliscono a causa dello stesso problema, l'agente AI combinerà i risultati e segnalerà il problema di fondo al team di sviluppo.

Sulla base dei dati di test precedenti, gli agenti di intelligenza artificiale possono prevedere potenziali guasti futuri e raccomandare metodologie di test delle applicazioni per risolvere tali problemi.

8. Risanamento autonomo

L'IA agentica automatizza il processo di correzione; ad esempio, se l'agente IA rileva che alcuni test sono ridondanti o non coprono adeguatamente rischi specifici, può ottimizzare la suite di test eliminando i test non pertinenti e dando priorità a quelli che si concentrano su aree più rilevanti.

L'agente AI è anche in grado di rilevare quando un test fallisce a causa di errori minori (come una piccola modifica all'interfaccia utente) e di "correggere" lo script di test per renderlo conforme all'applicazione rivista, eliminando i falsi positivi e riducendo l'intervento manuale necessario.

9. Test di penetrazione automatizzato

L'IA agentica automatizza il processo di penetration testing , inclusa l'identificazione delle vulnerabilità, la generazione di piani di attacco e la loro esecuzione. Alcune pratiche chiave degli agenti IA nelle iniziative di penetration testing includono:

Simulazione di un avversario in tempo reale:

• Eseguire simulazioni di attacchi di ingegneria di rete, applicativa e sociale.
• Esecuzione di test di penetrazione come DAST (test dinamici di sicurezza delle applicazioni).

Ricognizione :

• Scansione di Internet, inclusi il deep web, il dark web e il surface web, per rilevare risorse IT esposte (ad esempio, porte aperte, bucket cloud configurati in modo errato).
• Integrazione di OSINT (intelligence open-source) e threat intelligence per mappare le superfici di attacco.

Intelligenza artificiale agentiva e sicurezza delle applicazioni (AppSec) spiegate

La sicurezza delle applicazioni implica la protezione delle app durante l'intero ciclo di vita, che comprende la progettazione, lo sviluppo, la distribuzione e la manutenzione continua.

Il problema:

Con la crescente importanza delle applicazioni ospitate come principali motori di generazione di ricavi per le aziende di grandi dimensioni, è aumentata anche la loro sicurezza. Ciò ha dato origine a tendenze recenti come:

• L'ampio utilizzo di applicazioni cloud e SaaS ha portato a integrare la sicurezza in fasi più precoci del ciclo di vita dello sviluppo del software, al fine di minimizzare i rischi prima che raggiungano la produzione.
• Con la crescente diffusione della programmazione cloud-native, si è assistito a un aumento della migrazione verso piattaforme di terze parti come AWS, esponendo così le applicazioni a un maggior numero di vulnerabilità.

A causa dell'aumento della superficie di attacco e del potenziale di attacco, gli hacker hanno sviluppato metodi nuovi e ingegnosi per compromettere le applicazioni.

In che modo l'IA agentiva può essere d'aiuto?

Agentic AI può contribuire a migliorare la sicurezza delle applicazioni integrando e automatizzando varie fasi del ciclo di vita delle applicazioni, tra cui il monitoraggio delle pipeline CI/CD o l'automazione dei test di penetrazione.

Sfide dell'IA agentiva nella sicurezza informatica

1. Mancanza di trasparenza e interpretabilità

• Processi decisionali opachi: le operazioni e i sistemi di sicurezza basati sull'IA possono essere difficili da interpretare, soprattutto quando modificano autonomamente le politiche o le decisioni di sicurezza. I tecnici e gli sviluppatori addetti ai test potrebbero avere difficoltà a comprendere il motivo di determinate azioni o a confermare le decisioni dell'IA.

• Fiducia e affidabilità: in assenza di spiegazioni esplicite, potrebbe essere difficile per i team fidarsi dei suggerimenti o delle revisioni dell'IA, il che potrebbe generare resistenza all'implementazione di soluzioni di IA agentiva.

2. Problemi relativi alla qualità dei dati

• Affidabilità dei dati: gli agenti di intelligenza artificiale necessitano di dati diversificati per apprendere come eseguire azioni in modo efficace. Dati insufficienti o distorti possono portare a azioni errate o previsioni inesatte.

• Casi limite nelle configurazioni di sistema: se l'infrastruttura IT di un'organizzazione include configurazioni personalizzate o combinazioni di software insolite, un agente di intelligenza artificiale potrebbe interpretare erroneamente comportamenti normali come anomalie o non riuscire a rilevare minacce reali.

3. Mantenere l'affidabilità

• Falsi positivi e negativi: l'IA di Agentic può classificare in modo errato i dati relativi a SecOps o AppSec, generando falsi positivi (segnalando bug inesistenti) o falsi negativi (non rilevando problemi reali). Questi errori possono compromettere la fiducia nel sistema e richiedere un intervento manuale per convalidare i risultati.

• Problemi di adattabilità: sebbene l'IA agentiva sia progettata per adattarsi ai cambiamenti, alcune modifiche complesse o impreviste nell'applicazione (ad esempio, importanti riprogettazioni dell'interfaccia utente o modifiche all'architettura di backend) potrebbero comunque causare il fallimento delle operazioni di sicurezza, rendendo necessario l'intervento umano per aggiornare i modelli di IA.

4. Complessità di implementazione

• Difficoltà nella protezione dell'integrazione delle API: gli agenti di intelligenza artificiale interagiscono frequentemente con sistemi esterni; pertanto, la protezione delle API è fondamentale. La tokenizzazione e la validazione delle API sono entrambe misure che contribuiscono a garantire un'interazione affidabile.

• Addestramento e implementazione: per essere efficaci, i modelli di IA agentica devono essere addestrati su grandi set di dati e scenari diversi, il che può richiedere molte risorse e molto tempo.

5. Requisiti di supervisione umana

• Monitoraggio continuo: sebbene l'IA agentiva miri a ridurre l'intervento umano, richiede comunque monitoraggio e manutenzione per garantirne il corretto funzionamento. I team di sicurezza devono verificare i risultati dell'IA, adattare i modelli secondo necessità e intervenire quando l'IA incontra scenari complessi o imprevisti.

• Requisiti di personale altamente qualificato: la gestione dell'IA agente richiede competenze in IA, apprendimento automatico o sicurezza delle applicazioni. Le organizzazioni potrebbero avere difficoltà a trovare o formare personale con le competenze richieste.

Considerazioni finali

L'IA agentica ha il potenziale per migliorare le operazioni di sicurezza informatica, riducendo i tempi di risposta e alleggerendo il carico di lavoro dei team di sicurezza.

Tuttavia, le sfide Fattori come la mancanza di trasparenza, i problemi di qualità dei dati e i falsi positivi/negativi possono aumentare la difficoltà complessiva di implementare efficacemente soluzioni di intelligenza artificiale agentiva.

Implementazione riuscita L'impiego dell'IA agentiva nelle operazioni richiede personale qualificato, monitoraggio e aggiornamenti continui, processi efficaci di validazione dei falsi positivi e attenzione ad altre sfide chiave.

Collegamenti di riferimento

1.

AI Model Security: A CISO’s Complete Guide

SentinelOne

2.

AI-Driven SOC Transformation with Cloudera: Enhancing Security Operations with Agentic AI | Blog | Cloudera

3.

Network Security AI Agent: Automated Vulnerability Reports! - YouTube

4.

Trasformare le operazioni di sicurezza

5.

University of Kansas Health System Grows Visibility by 98% with GreyMatter - ReliaQuest

6.

APi Group Increases Visibility by 47% - ReliaQuest

7.

Trase | A Smarter Way to Work, Powered by AI

Trase

8.

AI SOC Analysts: LLMs find a home in the security org | Insights | Scale

Scale Venture Partners

Cem Dilmegani

Analista principale

Segui

Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento