L’iperautomazione rappresenta oggi una delle risposte più concrete ed evolute all’accelerazione degli attacchi cyber, in uno scenario in cui la pressione sulle aziende e sugli analisti di sicurezza non è mai stata così alta. La rapidità con cui si evolvono le tattiche, tecniche e procedure degli attaccanti - rafforzate proprio dall’uso di GenAI e LLM - costringe la difesa a una rincorsa continua. Infatti, grazie a GenAI, LLM e machine learning, i cyber criminali sono in grado di orchestrare campagne su larga scala, personalizzare le tecniche di attacco in tempo reale e sfruttare vulnerabilità appena scoperte con una rapidità impensabile fino a poco tempo fa.

Gli analisti da soli non possono tenere il passo. Non è una questione di competenze, ma di numeri: per fronteggiare gli attacchi moderni bisogna attuare nuovi modelli di difesa, ottimizzare le risorse e sostenere gli analisti umani, la cui intelligenza, creatività e capacità di giudizio restano comunque indispensabili. La direzione che la stragrande maggioranza dei vendor di security sta imboccando per gestire la situazione senza una perdita di efficienza è proprio quella dell’iperautomazione, ossia l’integrazione di sistemi intelligenti capaci di analizzare enormi volumi di dati in tempo reale, individuare anomalie, correlare eventi e orchestrare risposte automatizzate agli incidenti.

Da qui la genesi delle piattaforme di ultima generazione, che promettono, grazie ai sopraccitati strumenti, di rilevare comportamenti sospetti anche quando le minacce sono nuove o sconosciute, di isolare dispositivi compromessi, bloccare accessi non autorizzati e applicare regole di sicurezza, tutto in modo autonomo.

Macchine e umani

L’obiettivo dell’iperautomazione è quello di automatizzare tutti i compiti ripetitivi e a basso valore aggiunto, liberando tempo prezioso per gli analisti, che possono così concentrarsi sulle attività più complesse e strategiche. Infatti, questa ennesima rivoluzione tecnologica non è una panacea: da un lato consente di alleggerire il carico degli specialisti, ma non li può sostituire del tutto – e non è questo l’obiettivo.

Le macchine eccellono nell’esecuzione di task ripetitivi, nell’analisi di grandi moli di dati e nell’applicazione di regole predefinite, ma mostrano ancora limiti evidenti quando si tratta di interpretare contesti complessi, valutare scenari ambigui o prendere decisioni in situazioni di incertezza. L’intelligenza artificiale, anche nella sua forma più evoluta, non è in grado di replicare la creatività, l’intuizione e la capacità di pensiero critico che caratterizzano gli analisti esperti.

Tuttavia, l’iperautomazione è un potente alleato degli specialisti, se vista nell’ambito di una sinergia tra uomo e macchina che consente di affrontare efficacemente la complessità del cybercrime moderno. In questo paradigma le piattaforme consentono di scalare le capacità difensive, ridurre i tempi di reazione e aumentare la resilienza delle aziende, mentre gli analisti umani garantiscono la qualità delle decisioni, l’adattabilità alle nuove minacce e la capacità di apprendere da ogni incidente.

Qualcuno potrebbe vedere l’iperautomazione come una soluzione per far fronte alla mancanza di figure professionali qualificate. In realtà può esserlo solo parzialmente, nel senso che può accelerare la formazione dei nuovi analisti mediante ambienti di simulazione avanzata, playbook automatizzati e strumenti di supporto decisionale che riducono la curva di apprendimento. Dato che la risposta agli incidenti diventa più rapida e precisa, può aumentare l’efficienza operativa e ridurre il rischio di burnout tra gli specialisti.

Ma non può rimpiazzarli perché, come sempre, la mancanza di controllo può aprire a nuovi rischi. Si pensi, per esempio, a un falso positivo non gestito, oppure a un attacco con conseguenze sistemiche che si propaga con una portata difficilmente gestibile senza un controllo umano. La morale è che gli analisti restano indispensabili per supervisionare i processi automatizzati, validare le decisioni delle macchine, gestire le eccezioni e intervenire nei casi in cui la tecnologia non offre risposte adeguate.

Non stiamo parlando di evenienze lontane nel tempo: ricordiamo che i criminali informatici sono attenti, fantasiosi e versatili. Si sono già resi conto che l’AI nella difesa ostacola efficacemente gli attacchi e stanno già attuando tentativi concreti di jailbreak e di manipolazione degli LLM. Non è difficile prevedere che nel breve periodo saranno le AI gli oggetti primari di attacco, di conseguenza sarà compito degli esseri umani intervenire.

La sfida quindi non è passare o no all’iperautomazione (che è una scelta obbligata), ma trovare il giusto equilibrio tra automazione e supervisione umana, investendo sia in tecnologie avanzate sia nella formazione continua degli specialisti. Inoltre, gli esperti caldeggiano la creazione di processi collaborativi che valorizzino le competenze di entrambi.