Analisti e agenti: l’IA nella cyberdifesa 

La forza dell’intelligenza artificiale risiede nell’elaborazione di grandi volumi di dati come quelli, ad esempio, gestiti nell’ambito della cyberdifesa. Ma quali sono gli scenari di utilizzo, cosa evidenziano le tendenze e in che modo gli agenti di IA possono supportare gli esperti? Uno sguardo proiettato verso un futuro non così lontano. 

Testo: Andreas Heer, Foto: Swisscom, Data: September 2025        12 Min.

L’intelligenza artificiale (IA) è destinata all’impiego nella cyberdifesa, ad esempio all’interno del Security Operation Center (SOC), dove gli/le analisti/e della sicurezza vengono letteralmente inondati/e da una marea di dati legati ad alert e a messaggi di avviso provenienti da file di log. È qui che l’IA può sfruttare i suoi punti di forza, elaborando e analizzando grandi volumi di dati. L’IA si rivela quindi un valido rimedio contro la tanto temuta «alert fatigue», ovvero quando messaggi importanti vengono ignorati per via dell’enorme quantità di dati? Questo articolo esamina come l’intelligenza artificiale (generativa) possa essere utilizzata per la cyberdifesa e quali sviluppi e tendenze si delineano al riguardo. 

Quale tipo di IA si rende quindi necessaria? 

L’IA non è una novità all’interno del SOC; tuttavia, molto dipende da cosa si intende con questo termine. I modelli di apprendimento automatico (machine learning, ML) si sono dimostrati da tempo efficaci per elaborare previsioni tracciabili partendo da grandi volumi di dati, per determinare il livello di rischio o individuare eventuali anomalie. 

«Osserviamo una tendenza orientata ad agenti di IA in grado di elaborare autonomamente Incident più semplici»

Dusan Vuksanovic, responsabile dello Swisscom Outpost a Palo Alto 

Diversa risulta la situazione legata ai grandi modelli linguistici (LLM) dell’intelligenza artificiale generativa, detta in breve GenAI. Questa tecnologia piuttosto recente, che registra inoltre un rapido sviluppo, ha in un certo senso bussato alle porte (ben protette) del SOC solo di recente. Non si tratta tanto dei famosi chatbot come ChatGPT o Copilot, bensì di assistenti digitali a supporto degli/delle analisti/e. «Rileviamo una tendenza orientata ad agenti di IA in grado di elaborare autonomamente Incident più semplici», osserva Dusan Vuksanovic, responsabile dello Swisscom Outpost a Palo Alto, in merito agli attuali sviluppi. 

IT Security: A modern SOC as the right response to emerging threats.

Alleggerire il carico di lavoro delle persone grazie agli agenti di IA 

Un agente di IA è un software in grado di raccogliere autonomamente informazioni provenienti da fonti diverse e valutarle con l’aiuto dell’apprendimento automatico o di un LLM. In base al risultato, l’aiutante virtuale può quindi avviare un’azione. Ad esempio, un agente di IA potrebbe utilizzare un’API per selezionare informazioni relative a un Security Event dal SIEM, arricchirle con informazioni di Threat Intelligence e, in caso di conferma dell’accaduto, riprodurre autonomamente il relativo playbook SOAR. Questo consentirebbe, ad esempio, di scollegare automaticamente dalla rete un notebook infetto; in tal caso, l’analista del SOC dovrebbe soltanto confermare l’operazione. 

Infatti, gli agenti di IA non sostituiscono gli esperti, ma alleggeriscono il loro carico di lavoro manuale legato alle attività di routine. In questo scenario, il controllo rimane comunque nelle mani degli esperti. Come afferma Vuksanovic, gli attuali sviluppi tra i fornitori di soluzioni di sicurezza si orientano in questa direzione: «Da ormai diversi mesi l’IA finalizzata alle Security Operations è al centro dell’attenzione dell’industria. In tal senso, sono già in corso i primi progetti, che evidenziano risultati promettenti.» Uno sviluppo condiviso da Oliver Stampfli, Head of Cyberdefence B2B presso Swisscom: «Gli agenti di IA possono aiutare gli esperti a raccogliere informazioni, sulla base delle quali prendere o proporre decisioni in merito all’Incident Response.» 

Esempi di utilizzo dell’IA nella cyberdifesa 

«Una delle principali tendenze del momento è rappresentata dagli agenti di IA operanti in qualità di analisti autonomi. Tali agenti contribuiscono infatti ad automatizzare i compiti di First Level nel SOC e supportano gli esperti, ad esempio, nella preparazione dei dati e nell’analisi», afferma Beni Eugster, Cloud Operation and Security Officer di Swisscom. Tuttavia, gli aiutanti virtuali non si limitano a offrire supporto nello svolgimento dei compiti più semplici. Eugster e Vuksanovic rilevano anche altre tendenze: 

  • Supporto per casi complessi: se, nell’ambito di un incidente di sicurezza, è necessario correlare grandi volumi di dati provenienti da fonti diverse, un agente di IA può assumere questo compito, alleggerendo così il carico di lavoro degli esperti legato alle attività di routine e consentendo loro di mettere maggiormente a frutto le proprie competenze. 
  • Managed Detection and Response (MDR): sotto la supervisione di una persona, gli agenti di IA sono in grado di gestire autonomamente le varie fasi, dal rilevamento della minaccia alla reazione. «Riteniamo che questo consenta di risolvere automaticamente fino all’80 per cento dei casi», stima Vuksanovic. «In questo modo si riducono anche i costi per il MDR, rendendolo quindi interessante anche per le PMI.»
  • Reporting automatizzato: i report dell’Incident Response si distinguono per due caratteristiche: risultano alquanto standardizzati e tendono a rientrare tra le mansioni meno apprezzate dagli esperti di cibersicurezza. In tal senso, l’IA può fornire supporto in diversi modi: un chatbot GenAI può aiutare nella formulazione e nella sintesi di testi o nella traduzione in altre lingue. In un livello avanzato, un agente di IA raccoglie autonomamente le informazioni necessarie, sulla base delle quali redige quindi il report. 
  • Vulnerability Management: un agente di IA può raccogliere informazioni provenienti da fonti come i feed di Threat Intelligence, Security Advisory o banche dati di exploit e utilizzarle per redigere una valutazione del rischio. Questo approccio proattivo può quindi aiutare a riconoscere tempestivamente eventuali nuove minacce.

Come cambia il lavoro nell’ambito della cyberdifesa 

L’intelligenza artificiale non sostituirà l’attività umana legata all’analisi della sicurezza, ma la supporterà. Grazie a un’analisi automatizzata e sulla base delle loro conoscenze specialistiche e della loro esperienza, gli analisti virtuali possono effettuare una valutazione più rapidamente e adottare quindi misure adeguate. Grazie alla GenAI gli/le analisti/e junior possono inoltre accedere a un coach virtuale sempre disponibile e in grado di aiutarli nel loro lavoro quotidiano. Dal momento che l’IA si fa carico di determinate attività di routine, gli/le analisti/e della sicurezza hanno quindi più tempo per applicare le loro competenze nell’ambito dei casi complessi. Vuksanovic vede in questo un notevole vantaggio: «Gli esperti possono quindi concentrarsi sull’analisi e sui suggerimenti operativi, riuscendo così a prendere decisioni migliori.» 

Questa modalità lavorativa, che ricorre all’impiego di assistenti virtuali, non cambia soltanto la tipologia di lavoro, ma ridefinisce anche i requisiti posti nei confronti degli esperti. In particolare, la comunicazione acquisisce maggiore importanza. Questo vale sia per la convalida delle proposte dell’IA che per la loro interpretazione nonché per lo scambio dei risultati con altri membri del team. A ciò si aggiunge una comprensione di base del funzionamento dei modelli e degli agenti dell’IA al fine di valutare la qualità dei risultati.  

Affrontare la trasformazione legata all’IA nell’ambito della cyberdifesa 

Gli agenti di IA rappresentano uno sviluppo tecnologico recente che si trova ancora nella sua fase iniziale. «Rileviamo come tale sviluppo sia al centro dell’attenzione dell’industria della sicurezza, delle start-up, dei fornitori affermati e anche degli investitori», afferma Vuksanovic. Per quanto riguarda i clienti, all’interno delle aziende vengono portati avanti i primi progetti e Proof of Concept finalizzati a sondare le varie possibilità; tali progetti «evidenziano risultati promettenti», aggiunge Vuksanovic. Attualmente si delineano due approcci finalizzati a integrare gli agenti di IA nelle Security Operations: 

  • Nuove soluzioni SIEM e SOAR basate su agenti: questo approccio prevede un’ampia integrazione degli agenti di IA, ma richiede la sostituzione dei sistemi esistenti. Tali progetti risultano quindi di dimensioni considerevoli. 
  • Ampliamento delle soluzioni esistenti: in tal caso può trattarsi di ulteriori sviluppi in grado di supportare gli agenti di IA in determinate fasi del loro lavoro oppure di soluzioni di Agentic AI separate e implementate in via aggiuntiva e che, tramite API, riescono ad accedere ai sistemi esistenti.  

Estensione della cyberdifesa 

La GenAI e gli agenti di IA modificheranno le procedure e le mansioni nell’ambito della cyberdifesa. «L’impiego di Agentic AI all’interno di un SOC offre il potenziale necessario a ottenere una maggiore efficienza, tempi di reazione più brevi e un’analisi completa delle minacce», sottolinea Oliver Stampfli. «Nel complesso, questo può portare a un netto miglioramento delle condizioni di sicurezza.» I vantaggi tanto attesi risultano quindi evidenti. Tuttavia, è anche necessario essere consapevoli dei rischi. Oltre agli aspetti legati alla sicurezza dei dati, la questione riguarda soprattutto le risposte e le decisioni degli agenti di IA, come spiega Stampfli: «In tal senso è importante tenere conto delle implicazioni etiche e tecniche in materia di sicurezza al fine di ridurre al minimo rischi quali decisioni sbagliate e conseguenze impreviste.» 

Maggiori informazioni