Il Report Cost of a Data Breach 2024 di IBM® evidenzia una scoperta rivoluzionaria: l'applicazione dell'automazione basata su AI nella prevenzione ha fatto risparmiare alle organizzazioni una media di 2,2 milioni di dollari.
Le aziende utilizzano l'AI da anni per il rilevamento, l'indagine e la risposta. Tuttavia, man mano che le superfici di attacco si espandono, i responsabili della sicurezza devono adottare un atteggiamento più proattivo.
Ecco tre modi in cui l'AI contribuisce a rendere ciò possibile:
L'aumento della complessità e dell'interconnessione è un problema crescente per i team di sicurezza, e le superfici di attacco si stanno espandendo ben oltre ciò che possono monitorare utilizzando i soli mezzi manuali. Man mano che le organizzazioni migliorano le loro strategie cloud e integrano nuovi strumenti SaaS e codice di terze parti nello sviluppo e nell'implementazione di software, la sfida non fa che intensificarsi.
Con queste superfici di attacco più ampie, arrivano una maggiore complessità delle interazioni di rete e molti nuovi potenziali punti di ingresso che gli avversari possono sfruttare. La gestione della superficie di attacco (ASM) offre alle infrastrutture digitali una protezione in tempo reale basata sull'AI, indipendentemente dalla complessità sottostante.
L'ASM automatizzata potenzia notevolmente l'auditing manuale fornendo una visibilità completa sulle superfici di attacco. Inoltre, l'AI apprende dai dati che monitora per migliorare i risultati di rilevamento futuri, anche se a una velocità e a una portata che gli esseri umani non possono eguagliare da soli.
Tuttavia, mentre gli strumenti ASM sono spesso presentati come soluzioni chiavi in mano e di solito sono relativamente facili da distribuire, la capacità dei team di sicurezza di interpretare l'enorme afflusso di dati che generano è essenziale per massimizzare il loro impatto.
L'AI red teaming è il processo in cui le persone sottopongono i modelli AI a stress test per potenziali vulnerabilità e altri problemi, come distorsioni e misinformazione. Sebbene la maggior parte dei modelli sia progettata con guardrail per mitigare questi rischi, gli aggressori cercano regolarmente di eseguire il "jailbreak" attraverso l'uso di prompt intelligenti. Per i red team, l'obiettivo è quello di arrivare prima degli avversari, in modo da avere la possibilità di intraprendere azioni correttive.
I red team possono utilizzare l'AI per individuare potenziali problemi nei dati utilizzati e addestrare i modelli AI. Ad esempio, secondo il report di IBM, oltre un terzo delle violazioni dei dati riguarda gli shadow data. Se quei dati, non controllati e non monitorati in relazione alla qualità e all'integrità, finiscono per essere utilizzati nell'addestramento dei modelli, gli effetti a catena possono essere significativi. L'AI può aiutare i red team a rilevare gli shadow data individuando anomalie e fonti di dati trascurate che potrebbero comportare rischi per la sicurezza. I red team possono anche testare i modelli AI l'uno contro l'altro utilizzando metodi di machine learning contraddittori per identificare le vulnerabilità.
A differenza dell'ASM, il red teaming prevede simulazioni su misura specifiche per i dati e il landscape delle minacce dell'organizzazione. Per sfruttarne appieno i benefici, le organizzazioni devono lavorare con team qualificati in grado di interpretare e analizzare correttamente i risultati e di implementare le modifiche richieste.
La gestione del livello di sicurezza è il settore in cui le funzionalità scalabili e in tempo reale dell'AI brillano davvero. Dove l'ASM rivela potenziali vulnerabilità nelle superfici di attacco, la gestione della postura adotta un approccio molto più ampio monitorando le configurazioni, la conformità alle politiche di sicurezza e le connessioni tra sistemi interni ed esterni in modo continuo, agile e adattabile.
Automatizzando la gestione del livello di sicurezza con l'AI, i team di sicurezza possono mitigare i rischi in molto meno tempo e ampliare la portata dei loro sforzi in infrastrutture multi-cloud complesse per garantire la coerenza a tutto campo. Inoltre, data la minore dipendenza dai processi manuali, le possibilità di errore umano sono notevolmente ridotte.
Anche quando si verificano violazioni, le organizzazioni che incorporano ampiamente l'AI e l'automazione nelle loro strategie di gestione del livello di sicurezza possono identificarle e mitigarle quasi 100 giorni più velocemente rispetto a quelle che non utilizzano affatto l'AI. Naturalmente, il tempo risparmiato sia nella prevenzione che nella correzione si traduce anche in sostanziali risparmi sui costi diretti e indiretti.
L'opportunità offerta dall'AI nella cybersecurity è innegabile. Non solo può aiutare ad ampliare la portata delle strategie in ambienti sempre più complessi, ma può anche aiutare a democratizzare la sicurezza consentendo agli analisti meno esperti di interagire con i sistemi di sicurezza utilizzando query in linguaggio naturale.
Tuttavia, ciò non significa che l'AI sostituisca l'esperienza umana. Piuttosto, deve essere complementare.
L'AI e l'automazione della sicurezza hanno aiutato le organizzazioni a risparmiare milioni in potenziali danni e azioni di correzione, ma richiedono comunque che le persone comprendano i dati e i dati forniti dall'AI per massimizzarne il potenziale.
Ecco perché i servizi di sicurezza gestiti hanno un ruolo sempre più importante da svolgere nel garantire che l'adozione dell'AI sia strategicamente in linea con le esigenze e gli obiettivi aziendali, invece di essere distribuita esclusivamente per ridurre costi e manodopera.