Penso non ci siano dubbi sul fatto che AI e SOC formino un connubio destinato a diventare indissolubile: l'intelligenza artificiale generativa è estremamente utile nell'ambito della cybersecurity, e lo è ancora di più se restringiamo il campo alle attività di un Security Operations Center.
La GenAI, opportunamente addestrata per interagire con un cybersecurity specialist, infatti, diventa uno strumento formidabile per fornire in tempi rapidi un contesto a un potenziale incidente informatico, identificando eventi grezzi, inserendoli in uno scenario e offrendo supporto all'analista che deve intraprendere azioni preventive o mitigative. La macchina è a tutti gli effetti un virtual specialist capace di osservare ogni cosa – soprattutto pattern ed eccezioni che nemmeno l'occhio esperto riesce a cogliere – e riportarlo all'istante alla controparte umana.
Tutto bellissimo, ma attenzione: da qui a dire che la combinazione AI e SOC nel prossimo futuro possa estromettere del tutto l'essere umano ne passa. Lo ribadisco, l'intelligenza artificiale generativa è un ottimo strumento di supporto. Ma – benché possa suonare paradossale – tanto più vogliamo farci affidamento, tanto meno dobbiamo farci affidamento.
Mi spiego meglio. Per come è stata concepita e per come funziona, infatti, l'interfaccia della GenAI tende a fornire risultati con un'assertività che rasenta la sicurezza assoluta. Questo accade anche quando il sistema commette errori grossolani, non tenendo conto di alcuni passaggi logici ma limitandosi, diciamo così, a unire i puntini. Qualcuno ha definito l'AI un bambino di cinque anni molto intelligente, e io sono d'accordo.
Ciò significa che nelle concitate fasi della gestione di un'emergenza, seguire pedissequamente le indicazioni fornite da quel bambino, senza valutarle in base alla propria esperienza e al contesto aziendale, potrebbe creare più danni dell'incidente stesso.
AI e SOC, come sfruttare correttamente l'intelligenza artificiale generativa
Ci sono passati in tanti: dai politici agli avvocati, sono balzate agli onori delle cronache le gaffe di chi ha fatto troppo affidamento sulla GenAI. Ma se in tribunale o in parlamento tutt'al più si rimedia una figuraccia o si commette un errore procedurale facilmente rimediabile, le scelte sbagliate in un SOC possono generare danni ben più gravi.
Più che in altri ambiti, nella cybersecurity, l'AI va considerata alla stregua di un analista verticale. Qualcuno – o meglio qualcosa – che fa per te il lavoro sporco, ma che deve essere sempre tenuto sotto controllo e soprattutto gestito, in modo che le risposte date permettano di capire se c'è qualcosa che non quadra.
Ecco perché, a mio avviso, chi vuole puntare sull'accoppiata AI e SOC deve poter contare sulle competenze di un ingegnere. Il discorso vale persino per noi, che prima dell'avvento di OpenAI abbiamo sviluppato autonomamente i nostri algoritmi per creare rete neurale che si trasformasse in un'intelligenza artificiale capace, per l'appunto, di svolgere il ruolo di analista verticale.
Proprio perché conosciamo bene la materia, ci siamo resi conto che utilizzare queste soluzioni vuol dire disporre di un know how specifico e ancora poco diffuso: fare i prompt, studiare i parametri per configurare la macchina, stabilire la temperatura delle risposte, sono tutte attività che lasciano poco spazio all'immaginazione. Gli strumenti di GenAI non mancano: tutto sta ad addestrarli e a trasmettere in modo corretto le richieste. Laddove l'essere umano sarà manchevole, statene certi, l'AI sbaglierà.
AI e SOC, le competenze necessarie non si possono improvvisare
Oggi le imprese hanno la necessità di essere seguiti da professionisti nel proprio percorso di miglioramento tecnologico e, se tutto ciò che ho detto è vero, il discorso vale anche e soprattutto quando si tratta di irrobustire la postura cyber attraverso l'implementazione di piattaforme di AI.
Il problema è che queste professionalità sono ancora piuttosto rare, e spesso c'è la tentazione di affidare la gestione delle piattaforme di cybersecurity basate sull'intelligenza artificiale a esperti di automazione, privi di qualsiasi competenza in fatto di sicurezza.
Altre volte si chiede al responsabile dei sistemi informativi di elevare le competenze e di passare dalla gestione di un NOC a quella di un vero e proprio SOC. Ma un esperto di infrastrutture o anche di prodotti di cybersecurity non è necessariamente un analista e saper configurare correttamente i sistemi non vuol dire automaticamente disporre delle conoscenze per condurre analisi e confrontarsi con una AI. Ci sono poi i costi e i tempi della formazione, che dev'essere continua. Per non parlare del fatto che si tratta di attività che devono essere condotte 24 ore su 24, sette giorni su sette.
Sono consapevole che a volte sembra non ci siano altre opzioni. Ma un approccio del genere, ve l'assicuro, rischia di sortire effetti persino peggiori del non far nulla. Un'alternativa, però, c'è: avete mai pensato di ingaggiare un virtual CISO? Questo professionista fornisce consulenza, guida e supervisione nelle politiche di sicurezza, aiutando le organizzazioni a identificare e mitigare i rischi cyber, senza gli oneri e i costi associati all'assunzione di un CISO a tempo pieno: una soluzione ideale, a mio avviso, quando mancano le competenze.
