Quasi un quarto delle aziende non è in grado di analizzare efficacemente tutti i dati rilevanti per la sicurezza, oltre un quarto reputa che le normative rendano difficile restare aggiornati sui requisiti di cybersecurity. Per fortuna esiste l’AI che aiuta a colmare il gap di competenze in cybersecurity, aumenta la produttività ed efficienta i processi aziendali. I dati sono estrapolati dallo Splunk 2024 State of Security Survey condotto su un campione di 1.650 esperti di security a livello mondiale, di cui quasi un terzo operanti in Europa continentale.

Abbiamo discusso i risultati con Gian Marco Pizzuti, Area Vice President e Italy Country Manager di Splunk, focalizzando l’attenzione sui due macro temi principali: l’Intelligenza Artificiale e l’osservabilità.

Gian Marco Pizzuti, Area Vice President e Italy Country Manager di Splunk

Una nota di ottimismo

Iniziamo però dalle buone notizie. Rispetto alla precedente edizione del report, Pizzuti denota “un cauto, velato ottimismo da parte dei team di sicurezza nel considerare la propria capacità di rispondere agli attacchi”. I motivi di questa percezione positiva sono da ricercare nella collaborazione del mondo della security con gli altri team, soprattutto con il mondo applicativo e con quello infrastrutturale, e nell’abbassamento del time to detect.

“La collaborazione – argomenta Pizzuti - permette di semplificare il lavoro a chi deve gestire gli incidenti. Sovente i system failures sono molto simili ai cyber attacchi, per questo una collaborazione aiuta nella gestione di quanto sta accadendo. In relazione alla time to detection, invece, si denota un incremento significativo delle aziende che riescono a dare una risposta più efficace agli incidenti rispetto al passato, anche per merito delle soluzioni che hanno messo in campo”. È proprio il binomio di questi due elementi ad avere permesso di ottenere un tempo di identificazione degli attacchi gravi che è sceso sotto ai 14 giorni, secondo il 57 percento dei rispondenti.

Intelligenza Artificiale e security

Uno dei dati più interessanti del report riguarda il fatto che il 91% dei rispondenti cita nelle risposte l’utilizzo della AI Generativa all'interno delle proprie routine di lavoro. Per interpretare questo dato occorre scendere nel dettaglio con vari scenari che sono emersi. Il primo e più interessante aspetto è che circa il 34% dei partecipanti al sondaggio ha ammesso di non avere una policy per gestire le AI. Quindi il lavoro da fare sulle aziende non è tanto spiegare loro i vantaggi delle AI - che a quanto pare sono palesi - ma aiutarli a definire delle policy per fare che questo vantaggio non si trasformi in uno svantaggio.

A proposito di vantaggi, lo scenario che emerge dalle risposte si sviluppa su almeno due fronti. Da una parte, il report sottolinea come l'utilizzo delle AI per la difesa oggi sia più che altro concentrato sulla possibilità che viene data agli executive di assumere risorse con meno competenze. La metà degli intervistati indica, infatti, che la GenAI semplifica la difesa mettendo a disposizione degli analisti di sicurezza dei tool automatizzati che permettono di svolgere in maniera più semplice almeno il lavoro di routine di base. Indirettamente, questo vantaggio si riflette anche in una maggiore efficacia delle attività difensive, a parità di personale.

Una pari percentuale di rispondenti, quindi l’altra metà, vede il bicchiere mezzo vuoto indicando l’AI come uno strumento in più in mano agli attaccanti. Tuttavia, non è il caso di allarmarsi per due motivi. Il primo, spiega Pizzuti, è che “di fatto l'Intelligenza Artificiale in questo momento non sta offrendo nuovi veicoli di attacco, sta solo efficientando quelli già esistenti, quindi argomenti quali ransomware, cyber extortion, phishing, per i quali erano già in atto delle misure di difesa”.

A questo proposito Pizzuti racconta di un piccolo esperimento svolto con i clienti per cercare di capire fino a che punto la GenAI migliorasse gli attacchi. Nel caso del phishing, sono stati generati testi email in quattro lingue sia con tool di AI che con un tradizionale traduttore. Metà dei clienti che li ha analizzati non ha riscontrato una differenza tale da rendere meno intellegibili gli attacchi.

Il focus sull’Europa

Per quanto riguarda il Vecchio Continente, il report fa emergere il peso dettato dalla compliance. In particolare, quasi il 76% dei rispondenti reputa che le normative comportino anche rischi personali per chi si occupa di cybersecurity, motivo per il quale l’intero campo di attività sta diventando meno attraente rispetto al recente passato, quando c’era forte hype che attirava investimenti e interesse. In altre parole, sottolinea Pizzuti, “le normative stanno aggiungendo pressione non solo dal un punto di vista operazionale, ma anche da un punto di vista di affezione da parte delle persone rispetto ad altre unità aziendali dove la compliance non è così impegnativa da un punto di vista personale”.

Sul fronte dell’osservabilità i tempi non sono ancora maturi. Dal sondaggio emerge che il 21 delle aziende non è in grado di analizzare efficacemente i dati rilevati per la sicurezza, che è un dato indicativamente in linea con quello dello scorso anno. Pizzuti spiega che è trascorso troppo poco tempo per poter vedere dei progressi in tal senso, dato che il problema è da ricondurre allo stack infrastrutturale, dove è necessario implementare quella visione olistica che è tuttora in costruzione.

Visione che subirà verosimilmente un’accelerazione grazie anche alla fusione di Cisco e Splunk. Pizzuti argomenta che “l'unione di una realtà come Cisco con Splunk rafforza ulteriormente il messaggio che stavamo portando avanti per quanto riguarda l’observability e dà l'opportunità alla nuova azienda, Cisco Splunk, di estendere le attività di security di Cisco con le capacità di osservazione di Splunk relative a cloud, network, endpoint. Nonostante negli anni la superficie di attacco sia aumentata e sia diventata sempre più complessa, a fare la differenza è la capacità di trovare quelle soluzioni che permettono di arrivare a una superficie così ampia, perché non sempre la semplificazione è possibile”. È a questo che Cisco e Splunk stanno lavorando insieme.