Cos'è l'IA generativa (GenAI)?

Il rapporto di Gartner sulle principali tendenze della cybersecurity per il 2025 evidenzia l'influenza crescente dell'intelligenza artificiale generativa (GenAI), sottolineando nuove e significative opportunità per le organizzazioni di rafforzare le proprie strategie di sicurezza. Questa evoluzione permette di implementare modelli di difesa più adattivi ed evolutivi, capaci di rispondere in modo dinamico alle minacce in costante cambiamento. Mentre il 2024 era previsto come un anno incentrato sullo sviluppo di prodotti minimi viabili in questo ambito, entro il 2025 si assisterà alla prima integrazione su vasta scala e significativa della GenAI nei flussi di lavoro di sicurezza esistenti, offrendo un valore sostanziale e tangibile. E, guardando ancora più avanti, entro il 2026, secondo le previsioni di Gartner, l'emergere di nuovi approcci innovativi, come i "trasformatori d'azione", combinati con tecniche GenAI più mature e consolidate, darà un impulso decisivo alla creazione di piattaforme semi-autonome. Queste piattaforme aumenteranno significativamente le attività e le capacità operative eseguite dai team di cybersicurezza, permettendo loro di concentrarsi su compiti di maggiore complessità e impatto strategico.

Cos'è l'IA generativa?

L'intelligenza artificiale generativa (GenAI) si riferisce a una categoria avanzata di modelli di apprendimento automatico (ML) che possiedono la capacità intrinseca di creare nuovi contenuti originali. Questa capacità si basa sull'apprendimento di schemi, strutture e caratteristiche stilistiche da un vasto corpus di dati esistenti. Come elegantemente spiegato da Gartner, la GenAI "impara da produzioni esistenti per generare nuove produzioni realistiche su larga scala". In termini più accessibili, il processo comporta l'addestramento di questi modelli su insiemi di dati massicci e diversificati — che possono includere testi, codici di programmazione, immagini, audio e molto altro. Una volta completato questo addestramento intensivo, l'IA generativa acquisisce la competenza per produrre contenuti che sono non solo simili ma spesso indistinguibili da quelli generati dagli esseri umani, il tutto su richiesta.

Tecnicamente parlando, la maggior parte degli strumenti GenAI moderni sono costruiti su quelle che vengono definite modelli fondamentali (foundational models). Si tratta di enormi reti neurali, architetture computazionali complesse ispirate alla struttura del cervello umano, che vengono addestrate su set di dati estremamente ampi e variegati. L'addestramento di questi modelli richiede un'enorme potenza di calcolo e risorse computazionali significative. Tuttavia, una volta addestrati, possono essere affinati e adattati per una miriade di compiti specifici e settoriali, che vanno dalla scrittura di codice per la rilevazione di minacce alla redazione di rapporti dettagliati sulle vulnerabilità. Un tratto distintivo della GenAI è che essa crea contenuti attivamente, piuttosto che limitarsi ad analizzare dati preesistenti. Questo campo si sta evolvendo a una velocità straordinaria: ogni pochi mesi, vengono rilasciati nuovi modelli che vantano capacità e prestazioni ancora più potenti e raffinate. Nonostante l'impressionante autonomia e creatività della GenAI, è di fondamentale importanza notare che i risultati prodotti da questi sistemi richiedono sempre e comunque una supervisione umana. Ciò è dovuto al fatto che gli output generati dall'IA possono, in determinate circostanze, rivelarsi imprecisi, fuorvianti o addirittura distorti, rendendo la validazione e l'intervento umano un passo essenziale per garantirne l'affidabilità e la correttezza.

Come funziona l'IA generativa?

L'intelligenza artificiale generativa si basa profondamente sui principi dell'apprendimento automatico (machine learning), e in particolare su un sottocampo avanzato conosciuto come apprendimento profondo (deep learning). Questa metodologia impiega architetture complesse chiamate reti neurali, che sono costituite da strati interconnessi di algoritmi. Queste reti traggono ispirazione dal funzionamento dei neuroni nel cervello umano, il che consente ai sistemi di imparare autonomamente da grandi insiemi di dati e di generare risultati in modo sofisticato e creativo, senza essere esplicitamente programmati per ogni singola operazione.

Una delle architetture più influenti e rivoluzionarie nel panorama dell'IA generativa è il modello di trasformatore (transformer model). I trasformatori sono progettati per elaborare i dati in parallelo, sfruttando meccanismi di attenzione che aiutano il modello a comprendere il contesto su sequenze di dati particolarmente lunghe. Questa capacità li rende eccezionalmente efficaci per un'ampia gamma di compiti di elaborazione del linguaggio naturale (NLP), come il riassunto di testi complessi, la traduzione accurata tra diverse lingue e la generazione di codice di programmazione. I grandi modelli di linguaggio (LLM), che sono spesso il cuore pulsante delle applicazioni GenAI, sono generalmente basati su questa innovativa architettura di trasformatore. Vengono addestrati su insiemi di dati massicci e incredibilmente diversificati, che possono includere vasti repository di codice, rapporti di intelligence sulle minacce informatiche, log di sistema dettagliati e un'infinità di altri tipi di informazioni testuali e strutturate. Attraverso una metodologia chiamata apprendimento non supervisionato, il modello impara a prevedere la parola o l'elemento successivo in una sequenza, basandosi su milioni di esempi. Con il passare del tempo e l'elaborazione di quantità sempre maggiori di dati, il modello costruisce una rappresentazione interna estremamente ricca e sofisticata della grammatica, della logica, dello stile e del significato sottostante del linguaggio.

Processo di funzionamento

Il funzionamento dell'IA generativa, sebbene complesso nei dettagli tecnici, può essere suddiviso in fasi chiave che ne delineano il percorso dalla formazione alla generazione di output:

• Fase di addestramento: Durante questa fase iniziale e più intensiva, il modello elabora enormi quantità di testi o codici non strutturati. L'obiettivo non è memorizzare il contenuto parola per parola, ma piuttosto apprendere le relazioni intrinseche tra parole, frasi, la sintassi del linguaggio e i concetti sottostanti. Il modello identifica schemi e strutture, sviluppando una comprensione profonda di come i dati sono organizzati e di come le idee sono espresse.
• Affinamento: Una volta che il modello di base è stato addestrato su dati generici, viene sottoposto a una fase di affinamento (fine-tuning). Questo processo implica l'addestramento del modello su un set di dati più piccolo ma altamente specifico per il dominio di applicazione desiderato. Ad esempio, nel contesto della cybersecurity, il modello potrebbe essere affinato con log di sicurezza, rapporti sulle minacce o regole di rilevamento specifiche. Questo permette al modello di allineare le sue uscite a esigenze precise e di migliorare la sua performance in compiti specialistici.
• Prompt: Quando un utente desidera generare un nuovo contenuto, fornisce un input testuale, noto come "prompt". Questo prompt serve come istruzione o punto di partenza per l'IA. Il modello, sfruttando la sua comprensione appresa, genera una risposta prevedendo la continuazione più probabile della sequenza fornita, procedendo parola per parola, o più precisamente, "token per token".
• Consapevolezza del contesto: Gli strumenti GenAI moderni sono in grado di considerare una vasta quantità di contesto contemporaneamente, ben oltre la singola frase o il singolo paragrafo. Questa "consapevolezza del contesto" permette loro di comprendere e rispondere a richieste complesse o a compiti che si articolano in più fasi. Questa caratteristica li rende particolarmente utili nei flussi di lavoro complessi della cybersicurezza, dove la comprensione del contesto più ampio di un incidente o di una minaccia è cruciale.

Ad esempio, in un contesto di operazioni di sicurezza, si potrebbe inserire un riepilogo di una minaccia specifica o un estratto dettagliato di un log di sistema. In risposta, la GenAI potrebbe generare una regola di rilevamento personalizzata, riassumere in modo conciso la minaccia evidenziando i punti chiave, o suggerire i passi successivi più appropriati per la mitigazione o l'indagine. Tutto ciò sarebbe basato sulla sua profonda comprensione di dati simili che ha già analizzato e processato durante la fase di addestramento e affinamento.

La vera potenza della GenAI risiede nella sua straordinaria capacità di sintetizzare informazioni complesse, tradurre concetti tra diversi formati e generare insight rapidamente, trasformando dati grezzi e spesso caotici in informazioni direttamente utilizzabili e actionable. Tuttavia, è fondamentale comprendere che gli output generati sono di natura probabilistica, non deterministica. Questo significa che i risultati non sono sempre gli stessi per un dato input e possono variare in accuratezza e pertinenza. Di conseguenza, la revisione umana rimane un elemento cruciale e insostituibile per tutti i compiti che richiedono un'elevata affidabilità, precisione e certezza.

La GenAI nella cybersecurity

L'intelligenza artificiale generativa (GenAI) sta diventando sempre più una parte essenziale e integrante delle moderne operazioni di cybersicurezza. Il suo ruolo primario non è quello di sostituire l'indispensabile esperienza umana, ma piuttosto di aumentarla, agendo come un copilota digitale altamente efficiente. Questo copilota accelera significativamente l'analisi di grandi volumi di dati, automatizza compiti ripetitivi e di routine e, soprattutto, aiuta i difensori a rimanere costantemente un passo avanti rispetto alle minacce in continua evoluzione e sempre più sofisticate.

I team di sicurezza stanno già sperimentando e implementando la GenAI in una vasta gamma di flussi di lavoro, coprendo aree che vanno dall'intelligence sulle minacce (threat intelligence) alla gestione delle vulnerabilità. Ad esempio, gli strumenti basati su GenAI possono riassumere in modo conciso e comprensibile gli avvisi CVE (Common Vulnerabilities and Exposures), estraendo i dettagli più critici e le implicazioni di sicurezza, oppure generare regole di rilevamento avanzate basate su schemi di comportamento osservati che indicano attività malevole. Nel processo di triage degli avvisi di sicurezza, la GenAI si rivela preziosa nell'aiutare a ridurre il "rumore" di fondo, identificando i probabili falsi positivi o raggruppando gli incidenti correlati per una gestione più efficiente. Inoltre, per quanto riguarda la documentazione e la formazione, l'IA può redigere rapidamente aggiornamenti delle policy di sicurezza o simulare email di phishing realistiche per campagne di sensibilizzazione e addestramento del personale, migliorando la resilienza complessiva dell'organizzazione.

Queste capacità avanzate vengono progressivamente integrate nelle piattaforme di sicurezza esistenti. La GenAI non viene implementata come un insieme di strumenti autonomi e separati, ma piuttosto come miglioramenti incorporati che arricchiscono i dati disponibili, accelerano drasticamente il processo decisionale e razionalizzano l'intera postura di difesa. Sebbene la supervisione umana rimanga un elemento indispensabile per la validazione e la contestualizzazione, la GenAI offre guadagni di produttività significativi, consentendo ai professionisti della sicurezza di liberare tempo prezioso e di concentrarsi su lavori a più alto impatto strategico e che richiedono un'expertise umana insostituibile.

Vantaggi e svantaggi dell'IA generativa nella cybersecurity

Oggi, la GenAI è impiegata principalmente per aumentare le capacità umane nei compiti di cybersicurezza. Questa assistenza spazia dal "lavoro di routine" più comune, come la sintesi di grandi quantità di dati e il triage rapido degli avvisi, a compiti più creativi e complessi, come il suggerimento di regole di rilevamento innovative o la creazione di contenuti di formazione specifici. In ogni scenario d'uso, gli esperti umani rimangono parte integrante del processo, fornendo la validazione, il contesto e la direzione strategica. L'IA, tuttavia, gestisce l'analisi ripetitiva e la documentazione, permettendo ai team di fare di più con meno risorse e in tempi ridotti. Ecco alcuni esempi concreti di come la GenAI può supportare attivamente i difensori:

Intelligence sulle minacce e risposta agli incidenti

La GenAI possiede la capacità di elaborare, digerire e riassumere in modo efficiente e conciso dati complessi e voluminosi sulle minacce. Ad esempio, può riassumere lunghi e dettagliati rapporti sulle minacce o avvisi CVE (Common Vulnerabilities and Exposures), evidenziando automaticamente le informazioni più critiche, gli indicatori di compromissione (IoC) rilevanti o le tattiche, tecniche e procedure (TTP) specifiche utilizzate dagli attaccanti. Estraendo automaticamente le cause profonde e i dettagli chiave da montagne di dati apparentemente disconnessi, la GenAI accelera notevolmente le indagini e aiuta gli analisti a rimanere un passo avanti rispetto alle minacce in continua evoluzione, fornendo insight tempestivi e pertinenti.

Ingegneria della rilevazione

Gli ingegneri della sicurezza stanno attivamente esplorando l'utilizzo della GenAI per assisterli nella scrittura di regole di rilevamento avanzate o di query complesse per sistemi SIEM (Security Information and Event Management) o EDR (Endpoint Detection and Response). Ad esempio, fornendo a un modello AI esempi specifici di attività malevole precedentemente identificate e il modo in cui queste sono state rilevate, il modello può essere addestrato a creare un nuovo software