Offerto da Splunk, una società Cisco
Mentre l’intelligenza artificiale evolve rapidamente da una promessa teorica a una realtà operativa, i CISO e i CIO si trovano ad affrontare una sfida fondamentale: come sfruttare il potenziale di trasformazione dell’intelligenza artificiale mantenendo al contempo la supervisione umana e il pensiero strategico richiesti dalla sicurezza. L’ascesa dell’intelligenza artificiale delle agenzie sta rimodellando le operazioni di sicurezza, ma il successo richiede il bilanciamento di automazione e responsabilità.
Il paradosso della produttività: automazione senza rinunce
La pressione per adottare l’intelligenza artificiale è intensa. Le organizzazioni sono costrette a ridurre l’organico o reindirizzare le risorse verso iniziative incentrate sull’intelligenza artificiale, spesso senza comprendere appieno cosa significhi questa trasformazione. La promessa è convincente: l’intelligenza artificiale può ridurre i tempi di indagine da 60 minuti a soli 5 minuti, offrendo potenzialmente un aumento di produttività 10 volte superiore per gli analisti della sicurezza.
Ma la questione cruciale non è se l’intelligenza artificiale possa automatizzare le attività; quali compiti dovrebbero essere automatizzati e dove il giudizio umano rimane insostituibile. La risposta sta nel comprendere che l’intelligenza artificiale eccelle nell’accelerare i flussi di lavoro investigativi, ma le azioni correttive e di intervento richiedono ancora la verifica umana. Mettere un sistema offline o mettere in quarantena un endpoint può avere un impatto notevole sull’azienda. Un’intelligenza artificiale che effettua questa chiamata in modo autonomo potrebbe causare accidentalmente l’interruzione che intende prevenire.
L’obiettivo non è quello di sostituire gli analisti della sicurezza, ma di liberarli per lavori di valore più elevato. Grazie alla definizione automatica delle priorità degli avvisi di routine, gli analisti possono concentrarsi sugli sforzi del team rosso/blu, collaborare con i team di tecnici sulla risoluzione dei problemi e partecipare alla caccia proattiva alle minacce. Non ci sono problemi di sicurezza da risolvere; Mancano esperti di sicurezza in grado di risolverli strategicamente.
Mancanza di fiducia: mostrare il proprio lavoro
Sebbene la fiducia nella capacità dell’intelligenza artificiale di migliorare l’efficienza sia elevata, i dubbi sulla qualità delle decisioni guidate dall’intelligenza artificiale rimangono significativi. I team di sicurezza hanno bisogno di qualcosa di più dei soli risultati generati dall’intelligenza artificiale; hanno bisogno di trasparenza su come questi risultati sono stati raggiunti.
Quando l’intelligenza artificiale determina che un avviso è innocuo e lo chiude, gli analisti SOC devono comprendere le fasi investigative che hanno portato a tale decisione. Quali dati sono stati esaminati? Quali modelli sono stati individuati? Quali spiegazioni alternative sono state prese in considerazione e respinte?
Questa trasparenza crea fiducia nelle raccomandazioni dell’intelligenza artificiale, consente la convalida della logica dell’intelligenza artificiale e crea opportunità di miglioramento continuo. Ancora più importante, protegge l’essere umano nel ciclo critico per chiamate decisionali complesse che richiedono una comprensione dettagliata del contesto aziendale, dei requisiti di conformità e dei potenziali effetti a cascata.
Il futuro implicherà probabilmente un modello ibrido in cui le capacità autonome saranno integrate in flussi di lavoro e playbook guidati e gli analisti saranno coinvolti in decisioni complesse.
Vantaggio: combattere attentamente l’IA contro l’IA
L’intelligenza artificiale rappresenta un’arma a doppio taglio in materia di sicurezza. Quando si implementa attentamente l’intelligenza artificiale con barriere adeguate, i concorrenti non devono affrontare tali restrizioni. L’intelligenza artificiale abbassa le barriere all’ingresso per gli aggressori, consentendo un rapido sviluppo di exploit e la scoperta di vulnerabilità su vasta scala. Ciò che una volta era dominio di sofisticati autori di minacce sarà presto accessibile anche a script kids armati di strumenti di intelligenza artificiale.
L’asimmetria è sorprendente: i difensori devono essere attenti e avversi al rischio, mentre gli attaccanti possono sperimentare liberamente. Se commettiamo errori nell’implementazione di risposte di sicurezza autonome, rischiamo di disabilitare i sistemi di produzione. Se l’exploit basato sull’intelligenza artificiale di un utente malintenzionato fallisce, riprova senza conseguenze.
Ciò crea l’imperativo che l’IA venga utilizzata in modo difensivo ma con la dovuta cautela. Dobbiamo imparare dalle tecniche degli aggressori mantenendo al tempo stesso dei guardrail che impediscano alla nostra intelligenza artificiale di diventare una vulnerabilità. emerse di recente MCP dannoso (Model Context Protocol) gli attacchi alla catena di fornitura mostrano la rapidità con cui gli aggressori sfruttano la nuova infrastruttura AI.
Il dilemma delle competenze: sviluppare capacità mantenendo le competenze chiave
Man mano che l’intelligenza artificiale gestisce sempre più attività investigative di routine, sorge una domanda preoccupante: le competenze chiave dei professionisti della sicurezza si atrofizzeranno nel tempo? Questo non è un argomento contro l’adozione dell’IA; è un appello a strategie intenzionali di sviluppo delle competenze. Le organizzazioni devono bilanciare l’efficienza basata sull’intelligenza artificiale con programmi che mantengano le competenze chiave. Ciò include esercitazioni regolari che richiedono ricerca manuale, formazione trasversale che approfondisce la comprensione dei sistemi fondamentali e percorsi di carriera che migliorano anziché eliminare i ruoli.
La responsabilità è condivisa. I datori di lavoro dovrebbero fornire gli strumenti, la formazione e la cultura che consentono all’intelligenza artificiale di aumentare, anziché sostituire, le competenze umane. I dipendenti devono impegnarsi attivamente nell’apprendimento continuo e trattare l’intelligenza artificiale come un partner collaborativo, non come un sostituto del pensiero critico.
Crisi d’identità: gestire l’esplosione dell’agente
Forse la sfida più sottovalutata che ci aspetta è la gestione dell’identità e degli accessi in un mondo di intelligenza artificiale delle agenzie. IDC prevede che entro il 2028 ci saranno 1,3 miliardi di agenti – ciascuno richiede identità, autorizzazioni e gestione. La complessità aumenta esponenzialmente.
Le sostanze eccessivamente permissive rappresentano un rischio significativo. Un intermediario con ampio accesso amministrativo può essere progettato per commettere azioni socialmente dannose, confermare transazioni fraudolente o divulgare dati sensibili. Scorciatoie tecniche utilizzate dagli ingegneri "basta farlo funzionare" — Concedere autorizzazioni eccessive per accelerare la distribuzione — Creare vulnerabilità che gli avversari possono sfruttare.
Il controllo degli accessi basato su agenti offre una soluzione offrendo agli agenti solo le funzionalità specifiche di cui hanno bisogno. Ma i framework di governance devono anche affrontare il modo in cui gli LLM possono apprendere e archiviare le credenziali di autenticazione, consentendo potenzialmente attacchi di imitazione che aggirano i tradizionali controlli di accesso.
La via da seguire: iniziare con la conformità e il reporting
Tra queste sfide, un’area offre un’opportunità urgente e di grande impatto: conformità continua e reporting dei rischi. La capacità dell’intelligenza artificiale di utilizzare grandi quantità di documenti, interpretare requisiti complessi e creare riepiloghi concisi la rende ideale per il lavoro di conformità e reporting che tradizionalmente richiede molto tempo agli analisti. Ciò rappresenta un punto di ingresso a basso rischio e ad alto valore per l’intelligenza artificiale nelle operazioni di sicurezza.
Base dati: abilitazione del SOC basato sull’intelligenza artificiale
Nessuna di queste funzionalità di intelligenza artificiale può avere successo senza affrontare le sfide fondamentali relative ai dati che devono affrontare le operazioni di sicurezza. I team SOC hanno difficoltà con dati isolati e strumenti disparati. Il successo richiede una strategia di dati informata che dia priorità all’accessibilità, alla qualità e ai contesti di dati unificati. I dati relativi alla sicurezza devono essere resi immediatamente disponibili agli agenti di intelligenza artificiale senza problemi, gestiti in modo appropriato per garantire l’affidabilità e arricchiti con metadati che forniscano un contesto aziendale che l’intelligenza artificiale non è in grado di comprendere.
Pensiero conclusivo: innovazione intenzionale
Il SOC autonomo emerge non come una semplice rotazione di un interruttore, ma come un viaggio evolutivo che richiede un adattamento costante. Il successo richiede che si adottino i miglioramenti in termini di efficienza dell’intelligenza artificiale mantenendo al contempo il giudizio umano, il pensiero strategico e la supervisione etica richiesti dalla sicurezza.
Non stiamo sostituendo i team di sicurezza con l’intelligenza artificiale. Costruiamo sistemi collaborativi e multi-agente in cui la competenza umana guida le capacità dell’intelligenza artificiale verso risultati che non può raggiungere da sola. Questa è la promessa dell’era dell’intelligenza artificiale dell’agenzia; se siamo intenzionali su come arrivarci.
Tanya Faddoul è vicepresidente del prodotto, strategia cliente e capo dello staff presso Splunk, una società Cisco. Michael Fanning è responsabile della sicurezza informatica di Splunk, una società Cisco.
Tessuto dati Cisco Fornisce l’architettura dei dati necessaria (struttura dati unificata, funzionalità di ricerca unificata, gestione completa dei metadati) basata sulla piattaforma Splunk per sbloccare tutto il potenziale di AI e SOC. Scopri di più su Tessuto dati Cisco.
Gli articoli sponsorizzati sono contenuti prodotti da un’azienda che ha pagato per il post o ha un rapporto commerciale con VentureBeat e sono sempre chiaramente contrassegnati. Contatta per maggiori informazioni sales@venturebeat.com.
