Come cambia la difesa informatica nell'era dell'intelligenza artificiale e soprattutto dell’AI agentica? Le opinioni in merito sono diverse ma convergono quantomeno su uno scenario a breve termine: sempre più agenti specializzati automatizzeranno le attività ripetitive collegate alla sicurezza, riducendo i carichi di lavoro manuali per gli staff IT. Da lì in poi gli scenari possibili sono molti, spinti anche dal fatto che ad usare l’AI sono anche i threat actor, i cui attacchi AI-based si sono già dimostrati decisamente efficaci.

In occasione della tappa italiana del Microsoft AI Tour ne abbiamo parlato con Scott Woodgate, General Manager Threat Protection Product Marketing di Microsoft, uno dei massimi esperti di Microsoft Security.

In ambito cybersecurity i temi tecnologicamente più caldi comprendono in sostanza tutto quello che riguarda l’AI agentica e in particolare la sua applicazione nei SOC. Gli scenari che si descrivono sono molti. Quali sono concreti e quali sono più, diciamo così, proiettati al futuro?

Se guardo a ciò che fanno oggi i team di sicurezza, c’è molto lavoro che potrebbe essere automatizzato. In effetti, se dieci anni fa usavo la parola “automazione”, significava: sto facendo tutto in modo molto manuale, devo automatizzare di più. E tecnologie come SOAR sono nate proprio per prendere ciò che i team di sicurezza fanno sul fronte della risposta agli incidenti e renderlo più automatizzato: farlo una volta e poi ripeterlo. Ma uno dei limiti di queste tecnologie è che non apprendono. Una tipica soluzione SOAR è un playbook che il team di sicurezza compila ed esegue; quando però un threat actor cambia in qualche modo la sua modalità di attacco, il team di sicurezza deve aggiornare i playbook in modo reattivo.

La capacità dell’intelligenza artificiale, invece, è quella di apprendere. Oggi quindi posso analizzare tutto il contesto di sicurezza di un’organizzazione e ragionare in anticipo su cosa fare, su dove costruire regole di rilevamento in modo proattivo, così che i team di sicurezza siano preparati. Il grande vantaggio degli agenti è che da un lato apprendono e, dall’altro, lavorano insieme. Singolarmente possono svolgere determinati compiti, ma alla fine possono collaborare tra loro.

Abbiamo una visione molto chiara su questo tema, in cui crediamo fortemente, basata sul concetto di “red team” e “blue team” di agenti all’interno di un’organizzazione. Le aziende avranno agenti “red” che svolgeranno attività simili al penetration testing e passeranno i risultati agli agenti “blue”, che a loro volta capiranno quali modifiche apportare alla postura di sicurezza aziendale per migliorarne la protezione complessiva. Questo è qualcosa che le tecnologie attuali oggi non sono in grado di fare.

Chi non sposa il modello dei SOC agentici spesso presenta il rischio “probabilistico” della loro affidabilità. Se ipotizziamo che un agente operi correttamente nel, ad esempio, 95 percento dei casi, la probabilità di correttezza per una catena di agenti è quel 95% moltiplicato per il numero di agenti. Perché, nella realtà, le cose non staranno davvero così?

Se si considera un singolo modello isolato, è così: un unico modello ha una certa probabilità intrinseca di essere corretto o meno. Non è deterministico, ma allo stesso tempo non è nemmeno verificabile. La probabilità di correttezza, però, aumenta quando si usano più modelli di intelligenza artificiale e si osserva l’intersezione dei risultati prodotti da tali modelli. In questo modo si può migliorare significativamente la probabilità che ogni singolo passaggio del processo sia molto accurato. Se si esegue lo stesso compito su più modelli e questi concordano tra loro, allora è molto probabile che il risultato sia valido.

Lo stesso principio vale anche se realizziamo agenti che verificano il lavoro di altri agenti secondo un modello analogo. Entrambi questi approcci consentono di migliorare l’accuratezza del risultato complessivo, rispetto all’utilizzo di un singolo modello lungo tutto il processo.

E poi c’è sempre il ruolo della supervisione umana…

Sì, perché il livello di fiducia che le persone ripongono negli agenti che svolgono attività autonome è molto variabile. Alcuni stanno ancora familiarizzando con questo tipo di automazione. Per questo è importante che, quando svolgiamo attività autonome per conto dei clienti, ci sia un alto grado di fiducia nel fatto che quel processo sia effettivamente accurato.

Quando ci sono dubbi, invece di eseguire direttamente l’ultimo passaggio, è preferibile che l’agente chieda all’utente finale: “Ti sembra corretto?”. A quel punto l’utente può confermare e permettere all’agente di procedere. In pratica, si crea una coda di attività, una sorta di sistema di controllo del traffico delle azioni degli agenti, in cui la maggior parte del lavoro è svolta dall’agente, ma prima di un’azione finale o in un punto critico, l’utente finale può intervenire.

Noi immaginiamo questo tipo di funzionamento. Non è ancora implementato nei nostri prodotti Defender e Sentinel, ma prevediamo che arrivi a breve: proprio come oggi si gestisce una coda di alert di sicurezza, in futuro si orchestreranno agenti osservandone input e output e guidandone il comportamento.

Molti descrivono un futuro in cui i modelli di AI generalisti saranno progressivamente superati, specie nelle imprese, da modelli verticali sviluppati per applicazioni specifiche. È uno scenario plausibile anche nella cybersecurity?

Si può andare in entrambe le direzioni. Quello che vedo al momento è che i modelli generalisti stanno diventando molto validi. Due anni fa, quando abbiamo iniziato con Security Copilot, usavamo un modello molto specifico che avevamo potenziato per la sicurezza, insieme a una serie di agenti progettati con grande attenzione per svolgere attività come il briefing di threat intelligence o il supporto al threat hunting. Con il miglioramento di alcuni modelli di coding è cresciuta molto anche la capacità dei modelli generalisti di lavorare sui dati di sicurezza. Credo quindi che ci sarà una combinazione: modelli generalisti per alcuni casi d’uso e modelli specializzati laddove questi incontrano dei limiti e serve una maggiore specificità.

Se ci fossimo posti questa domanda due anni fa, avrei risposto che il futuro va verso i modelli specializzati. Oggi, direi invece che i modelli generalisti avranno un ruolo importante nell'analisi dei dati di sicurezza, con un certo livello di specializzazione. Staremo a vedere.

Parlando proprio di AI e coding: che l’AI possa aiutare a generare codice è chiaro, ma può anche darci un aiuto decisivo nel produrre codice sicuro by design e nel rilevare le vulnerabilità del codice esistente?

Sì, assolutamente. Oggi le vulnerabilità vengono spesso individuate tramite analisi statica, e non credo che questa tecnica scomparirà. Si può poi discutere sulla qualità delle vulnerabilità che l'AI individua, e infatti c'è un ampio dibattito su questo tema. Ma il concetto di utilizzare l’intelligenza artificiale generativa per trovare vulnerabilità è assolutamente valido. E anche per correggerle, tra l’altro.

Quando un professionista della sicurezza utilizza Microsoft Defender for Cloud e individua vulnerabilità nella propria infrastruttura cloud o nel codice cloud, le informazioni e il contesto di security vengono condivise con lo sviluppatore tramite GitHub. In questo modo una vulnerabilità nel codice è già visibile allo sviluppatore, accompagnata da una richiesta di correzione. Lo sviluppatore può intervenire manualmente, se lo desidera, oppure può utilizzare GitHub Copilot, che analizza il codice, interpreta la vulnerabilità e suggerisce automaticamente una correzione sia per il codice sia per la vulnerabilità stessa. A quel punto basta accettare la proposta e fare il commit del nuovo codice.

Tornando al tema dei dati di sicurezza … Questi dati sono per natura critici, quindi è immaginabile uno scenario in cui le imprese utenti cercheranno di mantenerli sempre al loro interno, come base per potenziare e personalizzare i modelli di AI?

Sì. Alla base dei prodotti della nostra linea SIEM Sentinel abbiamo un data lake unico proprio perché qualche anno fa ci siamo resi conto che non serve avere tanti diversi repository per i dati di sicurezza: quello di cui si ha veramente bisogno è un singolo repository di dati aggregati, perché i modelli di AI sono efficaci proporzionalmente alla qualità dei dati che ricevono. Per questo le aziende vorranno immagazzinare più dati di sicurezza possibile, cosa che rende il costo un fattore rilevante. Perciò abbiamo realizzato un data lake “low cost” che si pone alla base di tutti gli asset di sicurezza Microsoft.

Questo abilita scenari di sicurezza end-to-end perché dà visibilità su tutti i dati di identità, i dati degli endpoint, i dati degli agenti... ogni elemento dell’intero sistema. Da qui diventa possibile costruire relazioni tra ciascuno di questi insiemi di dati e poi fornire sia queste relazioni sia l’enorme volume di dati grezzi al motore di intelligenza artificiale, che in questo modo dispone di molto più contesto rispetto a quando lavora solo sui dati degli endpoint. Può quindi comprendere un attacco perché riesce a seguirne il percorso: da un’email di phishing fino alla compromissione di un utente finale, poi al dispositivo e infine al cloud.

Disponendo di tutti questi segnali, l'AI può ricostruire l'intero scenario di cybersecurity e, quindi, anche proteggere l'azienda da esso, man mano in modo sempre più autonomo. I modelli - come dicevo prima - sono in evoluzione e stanno migliorando, ma devono essere alimentati da dati di sicurezza specializzati. E raccogliere tutto in un data lake, nel nostro caso all’interno della piattaforma Sentinel, è un approccio estremamente potente per supportare sia gli utenti sia l’AI nella gestione della sicurezza.

Ritenete che nelle applicazioni di cybersecurity ci sia spazio per i modelli di AI open source?

Direi che il nostro approccio generale è quello di essere “model diverse”, cioè aperti a più modelli. Ad esempio, in Sentinel abbiamo un data lake ma anche un server MCP che consente, in sostanza, a qualsiasi codice di accedere ai dati e utilizzarli. Si può quindi lanciare VS Code, o qualsiasi editor che supporti il server MCP, e accedere agli strumenti e ai dati di sicurezza. Come anche utilizzare tutto questo all’interno di Microsoft Security Copilot o in un altro strumento di intelligenza artificiale.

È un po’ come per i linguaggi: c’è molta innovazione sul fronte dei modelli e, lato utente, Agent 365 è deliberatamente aperto a molti modelli anche sul versante della sicurezza. Noi adotteremo nel tempo quelli che riteniamo essere i modelli migliori, ma se altri vogliono utilizzare modelli diversi o anche strumenti differenti, possono comunque farlo sfruttando i nostri dataset.

Le aziende stanno adottando l’AI per la cybersecurity ma lo stanno facendo anche i threat actor. Storicamente si è sempre detto che i “cattivi” adottano le nuove tecnologie più rapidamente e meglio dei “buoni”: è vero anche in questo caso?

È un po’ presto per rispondere con certezza, ma direi che la risposta è generalmente sì e probabilmente lo sarà anche in questo caso. I threat actor utilizzeranno sempre gli strumenti più semplici che garantiscono loro l’accesso più facile, e se l’AI è lo strumento del momento, allora la useranno senza dubbio. Proprio per questo è fondamentale che anche chi difende faccia lo stesso, dal punto di vista opposto: usare l’AI per analizzare la propria postura di sicurezza, individuare le vulnerabilità e correggerle.

In molti casi, però, le organizzazioni devono ancora lavorare molto sulle basi: identità passwordless, patching e così via. Quindi, in parte si tratta di continuare a fare ciò che si sarebbe dovuto fare comunque, magari più velocemente; in parte si tratta di capire come usare l’AI e gli agenti per automatizzare queste attività di difesa. C'è sempre una sfida asimmetrica tra chi attacca e chi difende: i primi sono incentivati ad utilizzare le tecnologie più recenti che rendono le loro attività più semplici, i secondi devono difendersi continuando a innovare e adottando gli strumenti adeguati per rimanere in vantaggio.