Visitando il nostro sito, l'utente accetta la nostra Informativa sulla privacy per quanto riguarda i cookie, le statistiche di tracciamento, ecc.

AI in Difesa informatica

Come l'AI cambia la difesa informatica in tutto il ciclo di vita degli incidenti informatici

Casa
AI in Difesa informatica
AI in Reati informatici

La difesa informatica mira a proteggere sistemi, reti e dati da infiltrazioni, interruzioni o distruzioni. La ciclo di vita degli incidenti informatici fornisce un modo utile per comprendere la difesa informatica, suddividendola in quattro fasi:

  • Prevenzione: prevenire e ridurre il rischio di incidenti e minimizzarne gli effetti potenziali.
  • Preparazione: sviluppare piani, strumenti e capacità per sostenere una risposta efficace.
  • Risposta: arginare l'incidente e prevenire ulteriori danni.
  • Recupero: ripristinare rapidamente le operazioni e tornare a un livello di sicurezza normale o superiore.

 

L'intelligenza artificiale (AI) è diventata rilevante in tutte e quattro le fasi. A differenza degli strumenti tradizionali che si adattano perfettamente a una sola fase, molte capacità dell'AI sono trasversali al ciclo di vita: la stessa tecnica che supporta la preparazione può anche consentire una risposta più rapida o aiutare il recupero. Questa integrazione rende l'AI potente e difficile da classificare: il suo valore non sta solo nel migliorare le singole attività, ma anche nel collegare le fasi tra loro in modo più fluido.

Prevenzione

Preparazione

Risposta

Recupero

Mappatura della superficie di attacco

Scansione del codice

Riassunto dei dati

Classificazione dei dati

Rilevamento delle anomalie

Scrittura e analisi

Dati sintetici

Gestione dell'identità e degli accessi

Gestione dell'identità e degli accessi

Analisi dei log

Analisi del malware

Formazione e laboratori

Formazione e laboratori

Nelle sezioni che seguono, esaminiamo applicazioni concrete dell'AI per la difesa informatica, mostrando come esse si inseriscano in diverse fasi del ciclo di vita degli incidenti e, in molti casi, ne abbraccino diverse contemporaneamente.

Mappatura della superficie di attacco

La mappatura della superficie di attacco identifica tutte le risorse, i punti di ingresso e le vulnerabilità che un avversario potrebbe sfruttare in un attacco. Fornisce ai difensori visibilità sulla loro esposizione e aiuta a stabilire le priorità di sicurezza.

Come AI cambia la mappatura della superficie di attacco:

AI trasforma la mappatura della superficie di attacco automatizzando le scansioni su larga scala di reti e risorse, riducendo drasticamente il lavoro manuale. Grazie al riconoscimento avanzato dei pattern, è in grado di rilevare endpoint nascosti o dimenticati che spesso sfuggono ai metodi tradizionali. I sistemi AI sono in grado di aggiornare continuamente le mappe in base all'evoluzione delle infrastrutture, riducendo i punti ciechi e garantendo ai difensori un quadro accurato e in tempo reale del proprio ambiente.
Prevenzione. Riduce le esposizioni prima che gli aggressori le sfruttino.
Preparazione. Mantiene una visione aggiornata dell'infrastruttura per la pianificazione degli incidenti.

Caso evidenziato: Uso degli LLM per la scoperta di asset nelle infrastrutture critiche

Nel 2025, Luigi Coppolino e altri ha pubblicato uno studio che mostra come i modelli linguistici di grandi dimensioni (LLM) possano migliorare la scoperta di risorse nelle infrastrutture critiche. Gli strumenti tradizionali, come Nmap o le piattaforme di sicurezza industriale, rischiano di interrompere i sistemi sensibili attraverso scansioni attive o non riescono a rilevare i dispositivi nascosti quando si affidano solo al monitoraggio passivo.

I ricercatori hanno proposto un framework "Mixture of Experts" basato su LLM che combina dati provenienti dall'osservazione passiva del traffico, da sondaggi attivi accuratamente limitati e da segnali fisici come le emissioni elettromagnetiche. Agenti LLM specializzati interpretano poi questi dati: uno si concentra sui protocolli industriali, un altro sulle vulnerabilità delle reti IT/OT e un altro ancora sull'architettura e le dipendenze dei sistemi.

Il sistema può anche attingere a fonti di intelligence esterne (come i database MITRE ATT&CK o CVE) per identificare i punti deboli e raccomandare misure di sicurezza. Nei test condotti su una rete industriale simulata, il sistema è riuscito a classificare asset come controllori logici programmabili, bracci robotici e stampanti, segnalando al contempo pratiche insicure come il traffico Modbus non criptato.

Questo approccio trasforma la mappatura della superficie di attacco in un processo adattivo e consapevole del contesto che fornisce visibilità in tempo reale e riduce i rischi della scansione tradizionale. Riducendo le barriere tecniche per i difensori, consente un monitoraggio più completo e rafforza la sicurezza generale delle infrastrutture critiche.

Ulteriori letture
  • Impatto dell'AI per il rilevamento delle minacce. "AI per la difesa" (Donnie W. Wendt 2024)
    Il capitolo mostra come l'AI abbia fatto progredire il rilevamento e il triage delle minacce, dove i modelli di apprendimento automatico elaborano grandi quantità di dati eterogenei per identificare potenziali attacchi. I risultati evidenziano come le prime applicazioni negli anni 2000-2010 si siano concentrate sul rilevamento di malware, intrusioni e spam, dimostrando la forza dell'AI nell'analizzare grandi insiemi di dati e nel migliorare i sistemi di rilevamento esistenti, potenziando al contempo in modo incrementale le funzioni di cybersecurity di vecchia data.
  • Rilevamento delle minacce di nuova generazione "Rivoluzionare la sicurezza informatica: Unleashing the Power of Artificial Intelligence and Machine Learning" (Manoharan & Sarker 2022).
    Il documento mostra come l'AI e l'apprendimento automatico stiano rivoluzionando il rilevamento delle minacce, consentendo alle organizzazioni di individuare anomalie, analizzare modelli comportamentali e prevedere potenziali attacchi. I risultati evidenziano come tecniche quali l'NLP per l'estrazione dell'intelligence sulle minacce e il deep learning per il riconoscimento dei pattern possano automatizzare il rilevamento e la risposta, mentre casi di studio reali ne confermano l'efficacia.

Scansione e valutazione dei codici

La scansione del codice esamina il codice sorgente per individuare vulnerabilità, librerie insicure o pratiche di sicurezza inadeguate prima che possano essere sfruttate.

Come AI cambia la scansione e la valutazione dei codici:

AI accelera il rilevamento delle vulnerabilità evidenziando le funzioni non sicure e identificando i modelli di codifica a rischio appresi da exploit passati. Offre inoltre suggerimenti automatici per la correzione, supportando gli sviluppatori nella scrittura di codice più sicuro e riducendo la finestra di opportunità per gli aggressori.

Prevenzione. Risolve i punti deboli prima che gli aggressori li scoprano.
Preparazione. Rafforza la postura di sicurezza di base per la preparazione agli incidenti.

Caso evidenziato: Uso di LLM per la scansione del codice e lo sviluppo sicuro

Nel 2025, Belozerov et al hanno studiato come i modelli linguistici di grandi dimensioni possano supportare pratiche di codifica sicure. Il loro studio ha testato ChatGPT contro il dataset DevGPT, che conteneva codice reale di sviluppatori insieme a vulnerabilità note segnalate da scanner statici. Su 32 vulnerabilità confermate, ChatGPT ne ha individuate correttamente 18, suggerendo anche le correzioni per 17 di esse.

I risultati mostrano come AI sia in grado di ridurre l'impegno manuale nella revisione del codice, di contribuire al triage dei modelli di codifica a rischio e di fornire suggerimenti automatici per la correzione. Questo ha il potenziale per scalare le pratiche di codifica sicura e ridurre la finestra temporale in cui le vulnerabilità rimangono sfruttabili.

Allo stesso tempo, lo studio ha sottolineato importanti limiti: ChatGPT ha occasionalmente prodotto risultati troppo sicuri ma errati, ha introdotto nuovi difetti quando si è tentato di correggerli ed è stato meno affidabile dell'analisi statica o della revisione umana da parte di un esperto. Uno dei principali risultati di questo studio è che l'AI può essere un potente assistente nella valutazione del codice, ma solo se combinato con strumenti tradizionali e con un'adeguata supervisione.

Ulteriori letture
  • Revisione automatica del codice "Una revisione dell'applicazione dell'AI per la sicurezza informatica: Opportunità, rischi e strategie di mitigazione" (Ndibe & Ufomba 2024).
    Il documento mostra come l'AI e i modelli linguistici di grandi dimensioni possano supportare le revisioni automatiche del codice e le valutazioni delle vulnerabilità, aiutando le organizzazioni a rilevare in modo proattivo i punti deboli nel codice sorgente e a ridurre i tempi di risposta. I risultati evidenziano anche rischi come il codice insicuro generato da AI, sottolineando la necessità di una supervisione umana e di quadri di governance.
  • Apprendimento profondo interpretabile per il rilevamento delle vulnerabilità "Rilevamento delle vulnerabilità con interpretazioni a grana fine" (Li et al. 2021)
    Questo articolo presenta IVDetect, un modello di deep learning che rileva le vulnerabilità nei codici e individua le specifiche dichiarazioni e dipendenze responsabili. IVDetect migliora l'accuratezza rispetto agli strumenti più avanzati e fornisce spiegazioni a grana fine. I risultati mostrano un aumento sostanziale delle prestazioni di rilevamento e un'identificazione più precisa del codice vulnerabile, a supporto dell'analisi automatizzata e della correzione da parte degli sviluppatori.
  • Rilevamento delle vulnerabilità del codice multilingue "Rilevamento delle vulnerabilità del codice in diversi linguaggi di programmazione con modelli AI" (Humran & Sonmez 2025)
    Questo articolo analizza i modelli basati su trasformatori, tra cui CodeBERT e CodeLlama, per rilevare le vulnerabilità in diversi linguaggi di programmazione. Grazie alla messa a punto su diversi set di dati, i modelli catturano sia la sintassi che la semantica, raggiungendo un'accuratezza di 97%. Lo studio incorpora anche metodi di ensemble e AI spiegabili per ridurre i falsi positivi e migliorare la fiducia degli sviluppatori. Dimostra che i modelli AI possono superare gli analizzatori statici tradizionali in contesti multilingue, anche se rimangono delle sfide in termini di robustezza, precisione e prontezza di implementazione.

Riassunto dei dati

La sintesi dei dati condensa grandi volumi di dati tecnici (ad esempio, log, report e informazioni sulle minacce) in approfondimenti accessibili.

Come l'AI cambia la sintesi dei dati:

AI riduce il sovraccarico cognitivo trasformando le informazioni grezze e non strutturate in informazioni utili. È in grado di identificare modelli ricorrenti o anomalie in insiemi di dati frammentati. Può anche generare report in linguaggio semplice per i non addetti ai lavori. AI rende quindi le informazioni più facili da consumare, comunicare e utilizzare.

Preparazione. Aiuta a digerire le informazioni sulle minacce e a pianificare in modo più efficace.
Risposta. Semplifica la consapevolezza della situazione in tempo reale.
Recupero. Produce sintesi e relazioni sulle lezioni apprese.

Caso evidenziato: AI per la sintesi dei log e la consapevolezza della situazione

Nel 2024, Balasubramanian et al ha presentato CYGENT, un agente conversazionale basato su GPT-3 in grado di analizzare e riassumere i log di sistema. Invece di richiedere agli analisti di passare al setaccio migliaia di voci di registro grezze, CYGENT le condensa in brevi risultati leggibili dall'uomo che evidenziano gli eventi chiave e le anomalie.

Nelle valutazioni, CYGENT ha superato altri modelli linguistici di grandi dimensioni nella produzione di riassunti chiari e praticabili. Il sistema ha ridotto il sovraccarico cognitivo, ha supportato la consapevolezza della situazione durante gli incidenti dal vivo e ha permesso di prendere decisioni più rapide.

Questo caso illustra come AI possa trasformare dati tecnici grezzi in informazioni accessibili. Rendendo i registri più facili da interpretare, aiuta i difensori a prepararsi in modo più efficace, a rispondere più rapidamente e a recuperare con una documentazione migliore dopo gli incidenti.

Ulteriori letture

Classificazione dei dati

La classificazione dei dati organizza le informazioni in base alla loro sensibilità o ai requisiti di conformità, garantendo che le risorse critiche ricevano una protezione adeguata.

Come l'AI cambia la classificazione dei dati:

AI utilizza l'elaborazione del linguaggio naturale per etichettare automaticamente i contenuti sensibili e rilevare i dati mal classificati o esposti su scala.

Prevenzione. Riduce l'esposizione accidentale di dati sensibili.
Preparazione. Supporta la conformità.

Caso in evidenza: AI per la classificazione dei dati sensibili

Nel 2024, De Renzis e altri ha studiato come i modelli linguistici di grandi dimensioni possano essere utilizzati per migliorare la classificazione delle informazioni sensibili. Una sfida centrale in questo settore è che non sempre si possono usare dati personali reali per l'addestramento, a causa dei rischi per la privacy. Gli autori hanno proposto di generare dati di addestramento sintetici che riflettono comunque i modelli di categorie sensibili, come la salute, la politica o la religione.

Il loro approccio ha permesso di addestrare classificatori accurati senza esporre i dati reali degli utenti, dimostrando come AI possa aiutare le organizzazioni a conformarsi a normative come il GDPR, aumentando al contempo la loro capacità di rilevare e proteggere le informazioni sensibili. Questo caso illustra come AI rafforzi sia la prevenzione (riducendo l'esposizione accidentale dei dati) che la preparazione (supportando i quadri di conformità). Allo stesso tempo, sottolinea l'importanza della governance e della convalida per garantire che i dati sintetici e i modelli risultanti rimangano rappresentativi e affidabili.

Ulteriori letture
  • Etichettatura delle categorie GDPR basata su trasformatori "Rilevamento automatico di dati sensibili mediante classificatori basati su trasformatori" (Petrolini et al. 2022)
    Questo studio applica i modelli AI per contrassegnare automaticamente testi sensibili, che coprono aree come politica, salute, religione e sessualità, all'interno di grandi raccolte di documenti. Dimostra che gli approcci basati sui trasformatori possono classificare in modo affidabile tali dati, supportando la conformità al GDPR e consentendo un'etichettatura automatizzata su larga scala per una classificazione dei dati orientata alla conformità.
  • Analisi semantica per l'individuazione automatica di dati sensibili "Identificazione automatizzata di dati sensibili da specifiche implicite dell'utente (S3)" (Yang & Liang 2018)
    Questo articolo presenta S3, un sistema che identifica i dati sensibili nelle app mobili analizzando la semantica anziché basarsi sulle parole chiave. Apprendendo le preferenze degli utenti in materia di privacy, il sistema raggiunge un'accuratezza maggiore rispetto agli strumenti tradizionali, illustrando come AI possa adattare la classificazione dei dati ai contesti del mondo reale. Lo studio sottolinea che la sensibilità delle informazioni dipende sia dal contesto dell'applicazione che dalle preferenze dell'utente e che una protezione efficace nell'era del cloud richiede innanzitutto la capacità di identificare tali dati.

Rilevamento delle anomalie degli endpoint o della rete

Il rilevamento delle anomalie monitora gli endpoint e il traffico di rete alla ricerca di comportamenti insoliti che potrebbero indicare una compromissione.

Come l'AI cambia il rilevamento delle anomalie degli endpoint e della rete:

AI apprende l'aspetto dell'attività normale e segnala le deviazioni che potrebbero segnalare un'attività dannosa. A differenza dei sistemi basati sulle firme, è in grado di rilevare intrusioni più sottili che sfuggono al rilevamento tradizionale. AI consente una risposta più rapida ed efficace agli incidenti, dando priorità agli avvisi e riducendo i falsi positivi.

Preparazione. Stabilisce le linee di base della normale attività.
Risposta. Rileva le anomalie in tempo reale per segnalare e contenere gli attacchi.

Caso evidenziato: Utilizzo di AI per il rilevamento delle anomalie nei sistemi critici

Nel 2024, Nwoye e Nwagwughiagwu ha esaminato come il rilevamento delle anomalie guidato da AI possa migliorare la difesa informatica di endpoint e reti. Utilizzando modelli di apprendimento automatico addestrati su modelli normali di comportamento del sistema e del traffico di rete, il loro approccio ha permesso di identificare deviazioni sottili che i sistemi tradizionali basati sulle firme non avrebbero notato, compresi ad esempio i primi segnali di minacce interne e di violazioni dei dati.

Lo studio ha presentato esempi di casi provenienti da settori critici, dimostrando che il rilevamento delle anomalie abilitato da AI ha ridotto i tempi di risposta e ha contribuito a mantenere la continuità operativa segnalando attività sospette prima che causassero gravi danni. Gli autori hanno anche riconosciuto le sfide, tra cui i falsi positivi e la necessità di trasparenza nei complessi modelli AI. Questo caso dimostra come l'AI contribuisca sia alla preparazione (stabilendo linee di base dell'attività normale) sia alla risposta (rilevando e dando priorità alle anomalie in tempo reale).

Ulteriori letture
  • Rilevamento delle anomalie basato su GAN "TadGAN: Rilevamento di anomalie nelle serie temporali mediante reti avversarie generative" (Geiger et al. 2020)
    Questo lavoro presenta TadGAN, un framework non supervisionato che applica le GAN ciclo-consistenti per rilevare le anomalie nei dati delle serie temporali. Combinando gli errori di ricostruzione con gli output critici, TadGAN genera punteggi di anomalia affidabili e riduce i falsi positivi. Testato su 11 set di dati di riferimento provenienti da domini, ha costantemente superato i metodi più avanzati. Lo studio mostra come le GAN possano migliorare il rilevamento di sottili anomalie temporali in diversi sistemi del mondo reale.
  • Apprendimento automatico per il rilevamento delle anomalie dell'infrastruttura "AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures" (Nebebe et al. 2024).
    Questo articolo confronta i modelli di apprendimento automatico per il rilevamento di anomalie nelle infrastrutture critiche, utilizzando dati di serie temporali provenienti da un simulatore di sistemi idraulici. Distingue le anomalie puntuali (singoli outlier) dalle anomalie contestuali (deviazioni evidenti solo nel contesto) e confronta modelli semplici e interpretabili (ad esempio, regressione logistica, alberi decisionali) con modelli black-box più complessi su serie di dati coerenti. L'obiettivo è quello di valutare quali siano i metodi più efficaci in contesti industriali reali. Il documento sottolinea che, mentre i modelli complessi possono produrre tassi di rilevamento più elevati, i metodi più semplici offrono comunque vantaggi in termini di interpretabilità e robustezza in domini infrastrutturali sensibili.

Compiti generali di scrittura e di raccolta/analisi dei dati

Le operazioni difensive comportano anche un'intensa attività di scrittura, ricerca e analisi dei dati per documentare gli incidenti, informare le decisioni e formare il personale.

Come l'AI modifica i compiti generali di scrittura e di raccolta o analisi dei dati:

AI può redigere rapporti, politiche e briefing sugli incidenti, alleggerendo il carico amministrativo degli analisti. Può automatizzare la raccolta di intelligence da fonti aperte per le esercitazioni, consentendo a studenti e professionisti di concentrarsi su analisi e strategie di livello superiore invece che su compiti ripetitivi.

Risposta. Supporta la segnalazione rapida e la consapevolezza della situazione.
Recupero. Consente una documentazione completa dopo l'incidente e le lezioni apprese.

Caso in evidenza: Raccolta automatica di informazioni e reportistica

Nel 2024, Gao et al ha presentato ThreatKG, un sistema alimentato da AI che raccoglie automaticamente informazioni sulle minacce informatiche da fonti aperte, estrae entità chiave come attori e vulnerabilità e le organizza in un grafico di conoscenza strutturato. Invece di far leggere manualmente agli analisti rapporti lunghi e non strutturati, il sistema fornisce una panoramica consolidata e ricercabile. Ciò riduce l'onere amministrativo delle operazioni difensive, supporta una più rapida produzione di briefing sugli incidenti e migliora la consapevolezza della situazione durante le minacce attive. Trasformando informazioni frammentate in approfondimenti accessibili, ThreatKG consente al personale di dedicare più tempo all'interpretazione e al processo decisionale. Lo studio illustra come l'AI possa rimodellare il lavoro difensivo quotidiano rendendo la raccolta di informazioni più efficiente e fruibile, evidenziando al contempo la necessità di una supervisione per garantire accuratezza e rilevanza.

Ulteriori letture
  • Governance, implicazioni etiche, legali e sociali dell'AI nell'OSINT. "Open Source Intelligence e AI: una revisione sistematica" (Ghioni et al. 2023)
    L'articolo esamina 571 studi sull'AI nell'OSINT, sull'uso dell'AI nell'open-source intelligence (OSINT), esaminandone la governance, le implicazioni etiche, legali e sociali. La revisione rileva che l'AI ha ampliato le capacità dell'OSINT attraverso l'apprendimento automatico, il data mining e la visual forensics, ma ha anche sollevato preoccupazioni pressanti in materia di privacy, responsabilità, pregiudizi e uso improprio. Gli autori evidenziano le lacune in termini di regolamentazione, supervisione e trasparenza, chiedendo di rafforzare i quadri normativi per garantire che l'OSINT alimentata da AI supporti le operazioni di intelligence senza minare i diritti, la fiducia o la responsabilità democratica.
  • Generazione automatica di rapporti - "AGIR: automatizzare la segnalazione di intelligence sulle minacce informatiche con la generazione di linguaggio naturale" (Perrina et al. 2023)
    L'articolo presenta AGIR, un sistema di generazione di linguaggio naturale che crea rapporti CTI completi a partire da grafici di entità formali. AGIR riduce il tempo di scrittura dei rapporti di oltre 40% mantenendo un'elevata accuratezza e fluidità, dimostrando come AI possa automatizzare le attività di redazione e analisi dei rapporti, liberando gli analisti per concentrarsi sull'interpretazione e sulla strategia di livello superiore.

Generazione di dati sintetici

La generazione di dati sintetici crea insiemi di dati artificiali per l'addestramento, il test o la simulazione senza esporre informazioni sensibili del mondo reale.

Come cambia l'AI nella generazione di dati sintetici:

AI è in grado di produrre campioni realistici di traffico di rete o di malware da utilizzare in laboratorio, di colmare le lacune laddove i dati del mondo reale non sono disponibili e di salvaguardare la privacy consentendo la sperimentazione. Questo aiuta gli educatori e i difensori a prepararsi a incidenti reali senza rischiare l'esposizione di dati sensibili.

Prevenzione. Consente una sperimentazione sicura senza esporre informazioni sensibili.
Preparazione. Supporta la formazione e la simulazione con insiemi di dati realistici.
Recupero. Ricrea scenari di attacco per i test e i miglioramenti successivi agli incidenti.

Caso evidenziato: Uso delle GAN per produrre dati di formazione sicuri e realistici

Nel 2022, Nukavarapu et al ha sviluppato MirageNet, un framework che utilizza reti avversarie generative (GAN) per creare traffico di rete sintetico e realistico. Il sistema è in grado di replicare schemi di traffico DNS e di altri protocolli in modo da assomigliare molto ai dati del mondo reale, ma senza esporre informazioni sensibili provenienti da reti reali.

Questa innovazione è importante perché i difensori e gli educatori hanno spesso bisogno di dati realistici per la formazione, i test e la sperimentazione, ma non possono sempre utilizzare il traffico operativo per motivi di privacy o di sicurezza. MirageNet consente simulazioni sicure che preparano gli analisti ad attacchi reali, evitando al contempo i rischi di divulgazione. L'uso di AI, e in questo caso di GAN, consente una sperimentazione più sicura e scalabile. Allo stesso tempo, rimane importante convalidare che i dati sintetici riflettano realmente le condizioni operative reali, garantendo che la formazione e i test rimangano affidabili.

Ulteriori letture
  • Apprendimento profondo per la modellazione del traffico di rete sintetico "STAN: Generazione di traffico di rete sintetico con modelli neurali generativi" (Xu et al. 2021)
    L'articolo presenta STAN (Synthetic network Traffic generation with Autoregressive Neural models), un'architettura neurale che modella le dipendenze temporali e di attributo nel traffico di rete per generare set di dati realistici. I risultati dimostrano che i modelli di rilevamento delle anomalie addestrati sul traffico sintetico di STAN hanno raggiunto un'accuratezza quasi paragonabile a quelli addestrati sui dati reali, dimostrando come il deep learning consenta di ottenere set di dati sintetici di alta qualità per l'addestramento e la simulazione della preparazione, preservando la privacy.
  • Valutazione dei metodi di generazione del traffico sintetico - "Generazione di dati sintetici sul traffico di rete: A Comparative Study" (Ammara et al., 2025)
    Lo studio valuta dodici metodi per la generazione di traffico sintetico, tra cui approcci statistici, classici AI e generativi AI, utilizzando set di dati standard. I risultati mostrano che i modelli basati su GAN forniscono una fedeltà e un'utilità superiori, mentre i metodi statistici mantengono l'equilibrio tra le classi ma mancano di complessità strutturale.

Gestione dell'identità e dell'accesso (IAM)

La gestione dell'identità e degli accessi (IAM) garantisce che solo gli utenti autorizzati abbiano accesso ai sistemi e alle risorse.

Come l'AI cambia la gestione delle identità e degli accessi:

AI rafforza l'IAM rilevando modelli di login anomali che possono segnalare un uso improprio delle credenziali, consigliando criteri di autenticazione adattivi e automatizzando i controlli di routine. Durante gli incidenti, può segnalare rapidamente gli account compromessi e attivare controlli più severi per contenere le minacce.

Prevenzione. Garantisce un'autenticazione più forte e riduce gli accessi non autorizzati.
Risposta. Si adatta in tempo reale in caso di sospetto abuso di credenziali.

Caso evidenziato: Rilevamento di accessi insoliti e inappropriati

Nel 2024, Vendita ha condotto uno studio proof-of-concept sull'applicazione dell'AI ai sistemi IAM. Integrando un modello di rilevamento delle anomalie in una piattaforma IAM, il sistema è stato in grado di segnalare comportamenti di login insoliti e privilegi di accesso inappropriati. Questo approccio consente alle organizzazioni di rilevare più rapidamente gli account compromessi o l'uso improprio da parte di insider e di adattare dinamicamente le politiche di autenticazione quando vengono rilevati i rischi. Lo studio ha riscontrato chiari guadagni in termini di efficienza, pur sottolineando la continua necessità di una supervisione umana per interpretare le anomalie segnalate ed evitare inutili interruzioni. L'AI consente quindi di rafforzare il controllo degli accessi quotidiano e può trasformare l'IAM in una linea di difesa più adattiva e proattiva.

Ulteriori letture
  • Audit delle infrastrutture critiche "Audit IAM alimentato da AI per il rilevamento di anomalie nelle infrastrutture critiche" (Rodriguez et al. 2025)
    L'articolo propone un framework di audit IAM alimentato da AI che combina l'ingegneria delle caratteristiche, il rilevamento delle anomalie non supervisionato e la classificazione supervisionata per analizzare i log IAM. Su un set di dati sintetico modellato su infrastrutture critiche, il sistema ha raggiunto un tasso di rilevamento di 92% con un tasso di falsi positivi inferiore a 3%. I risultati dimostrano come l'AI migliori l'auditing dei registri IAM, consentendo di rilevare in modo proattivo le minacce interne e le sottili anomalie di accesso che spesso sfuggono ai metodi tradizionali.

Analisi dei log

L'analisi dei log esamina i log di sistema e di sicurezza per rilevare, indagare e comprendere gli incidenti.

Come AI cambia l'analisi dei log:

AI è in grado di elaborare volumi enormi di registri in tempo reale, di evidenziare sequenze insolite di eventi e di generare riepiloghi concisi. Questo migliora il rilevamento e consente di accelerare l'insegnamento e le simulazioni di incidenti.

Preparazione. Stabilisce le linee di base e identifica i potenziali punti deboli.
Risposta. Accelera le indagini e supporta la gestione degli incidenti in tempo reale.
Recupero. Informare le revisioni e i rapporti successivi agli incidenti.

Caso evidenziato: Agenti AI per l'analisi dei log e la scoperta di modelli di minacce

Nel 2025, Karaarslan et al ha esaminato come gli agenti AI possano supportare l'analisi degli ampi log generati dalle honeypots Cowrie. Le honeypots imitano deliberatamente sistemi vulnerabili per attirare gli aggressori, ma il risultato è un volume schiacciante di dati grezzi che è difficile da interpretare per gli analisti umani.

I ricercatori hanno dimostrato che gli agenti AI sono in grado di analizzare e sintetizzare automaticamente questi registri, estraendo i modelli di attacco ricorrenti e generando rapporti concisi. Questa automazione riduce l'impegno manuale, migliora la consapevolezza della situazione e consente ai difensori di individuare le tendenze e di adeguare più rapidamente le misure di sicurezza. Lo studio illustra come l'AI possa trasformare insiemi di dati ingestibili in intelligence utilizzabile, sottolineando al contempo la necessità di convalidare attentamente i risultati per evitare che tattiche avversarie in evoluzione o ingannevoli vengano lette in modo errato.

Ulteriori letture
  • Analisi auto-supervisionata dei log - "Analisi dei registri guidata da AI mediante costrutti di trasformatori" (Pan 2023)
    Questo studio esplora il modo in cui AI può supportare l'analisi dei registri per il rilevamento e l'investigazione degli incidenti. Utilizzando un modello Transformer addestrato sulle normali voci di registro, l'approccio applica l'aumento dei registri per l'apprendimento auto-supervisionato delle caratteristiche e quindi perfeziona il modello con l'apprendimento di rinforzo su un piccolo set di dati etichettati. I risultati indicano che questo metodo è in grado di superare le sfide poste dall'eterogeneità delle fonti di log e dalla scarsità di dati etichettati, dimostrando di essere promettente per un impiego pratico e reale nelle operazioni di cybersecurity.
  • Analisi dei log basata sull'apprendimento profondo per il rilevamento delle intrusioni -. "Classificazione dei registri degli eventi di cyberattacco utilizzando il deep learning con l'analisi delle caratteristiche semantiche" (Alzu'bi et al. 2025)
    Questo studio propone un framework basato sul deep learning che utilizza la vettorizzazione semantica e le incorporazioni BERT per analizzare i registri degli eventi per il rilevamento delle intrusioni. Grazie alla categorizzazione dei registri in base agli eventi e ai tipi di attacco con AI spiegabili, l'approccio migliora l'accuratezza del rilevamento, ottenendo oltre 99% di richiamo e precisione, e supera i modelli esistenti.

Analisi del malware

L'analisi del malware studia il software dannoso per comprenderne il comportamento, l'origine e il potenziale impatto.

Come AI cambia l'analisi del malware:

AI accelera la classificazione identificando le somiglianze di codice tra le varie famiglie di malware e generando spiegazioni sull'esecuzione della sandbox. Aiuta gli analisti a comprendere rapidamente il funzionamento del malware, favorendo una risposta più rapida e mitigazioni più efficaci.

Risposta. Accelera l'identificazione e il contenimento delle minacce informatiche.
Recupero. Contribuisce alla creazione di conoscenze per le difese future.

Caso evidenziato: Disassemblaggio del malware assistito da AI

Nel 2025, Apvrille e Nakov ha valutato R2AI, un plugin AI per il disassemblatore Radare2, su recenti campioni di malware Linux e IoT. Il sistema integra gli LLM nel processo di reverse engineering, aiutando gli analisti a decompilare le funzioni, rinominare le variabili e identificare i comportamenti sospetti. Lo studio ha dimostrato che l'assistenza di AI è in grado di ridurre i tempi di analisi da diversi giorni a circa la metà, mantenendo una qualità uguale o migliore rispetto all'analisi condotta solo da un uomo. Ad esempio, nel caso del malware Linux/Devura, l'AI ha dedotto correttamente i formati degli argomenti che gli analisti umani non avevano notato. Rimangono tuttavia dei limiti: i modelli producono occasionalmente allucinazioni, esagerazioni o omissioni e richiedono una costante convalida da parte di esperti qualificati. I risultati suggeriscono che il disassemblaggio assistito dall'AI è più efficace come moltiplicatore di forze, accelerando il triage e scoprendo più rapidamente i dettagli, pur facendo affidamento sulla supervisione umana per garantire l'accuratezza ed evitare interpretazioni errate.

Ulteriori letture
  • Segmentazione semantica per la classificazione "Apprendimento profondo con segmentazione semantica per la classificazione del malware" (Chen et al. 2025)
    Lo studio dimostra che l'applicazione dell'AI a parti selezionate dei file di malware, piuttosto che a intere sequenze di file, può migliorare significativamente le prestazioni. Concentrandosi sui dati di intestazione dei file eseguibili portatili, il modello ha raggiunto un'accuratezza del 99,54% nella classificazione delle famiglie di malware. Ciò suggerisce che la focalizzazione sulle sezioni di codice più informative consente di rilevare le minacce in modo più rapido e affidabile.
  • Apprendimento a pochi colpi per nuove minacce informatiche. "Un approccio di classificazione del malware a pochi scatti per il riconoscimento di famiglie sconosciute utilizzando la visualizzazione delle caratteristiche del malware" (Conti et al. 2022)
    Il documento propone di utilizzare l'apprendimento a pochi colpi per classificare le famiglie di malware con solo una manciata di esempi, evitando la necessità di riaddestrare i modelli ogni volta che emerge un nuovo malware. Visualizzando i binari del malware come immagini a tre canali e testando due architetture (CSNN e Shallow-FS), lo studio mostra un'elevata precisione nella classificazione del malware tradizionale e di quello nuovo. Questo dimostra il potenziale degli approcci a pochi colpi per migliorare l'adattabilità e la velocità di rilevamento delle minacce emergenti.

Formazione e laboratori

La formazione e i laboratori forniscono ambienti controllati per esercitazioni e simulazioni pratiche di cybersecurity.

Come AI cambia la formazione e i laboratori:

AI è in grado di generare scenari di laboratorio dinamici adattati ai progressi del discente, di creare sfide adattive di difficoltà variabile e di automatizzare il feedback e la valutazione. Ciò consente una formazione più realistica e scalabile.

Preparazione. Rafforza la preparazione attraverso simulazioni adattive.
Recupero. Incorpora nella formazione lezioni su incidenti reali.

Caso in evidenza: Gare cibernetiche alimentate da AI per l'addestramento adattivo

Nel 2025, Sisodiya et alha presentato una piattaforma informatica alimentata da AI e progettata per migliorare il realismo e l'efficacia della formazione in materia di sicurezza informatica. A differenza dei tradizionali laboratori statici, la piattaforma utilizza l'AI per regolare la difficoltà degli scenari in base ai progressi dei discenti, iniettare eventi di attacco realistici e fornire feedback automatici.

Lo studio ha rilevato che gli studenti addestrati in questo ambiente hanno ottenuto una maggiore precisione di rilevamento e tempi di mitigazione ridotti rispetto agli approcci convenzionali. Per gli educatori, il sistema consente di scalare le esercitazioni, personalizzare le sfide e incorporare nelle simulazioni gli insegnamenti tratti da incidenti reali.

Dal punto di vista tecnico, la ricerca ha anche dimostrato che le architetture ibride, che combinano la scalabilità del cloud con la fedeltà dei sistemi fisici, offrono scenari più realistici e adattivi. I risultati evidenziano come l'AI possa trasformare l'addestramento da esercitazioni fisse in ambienti di apprendimento dinamici che preparano meglio gli studenti e i professionisti alle minacce informatiche reali.

Ulteriori letture
  • Metodi di formazione sulla cybersecurity "Una revisione sistematica degli attuali metodi di formazione sulla sicurezza informatica" (Prümmer et al. 2024).
    Il documento dimostra che un'ampia gamma di approcci formativi sulla cybersicurezza, compresi i metodi basati sui giochi, migliorano il comportamento degli utenti finali e i risultati della sicurezza organizzativa. I risultati evidenziano l'efficacia dei programmi di formazione strutturati, ma rivelano anche sfide come le piccole dimensioni del campione e i disegni non sperimentali. Ciò sottolinea il valore dell'integrazione di AI nella formazione e nei laboratori per scalare gli interventi, personalizzare i contenuti e generare esercizi adattivi che superino i limiti dei metodi tradizionali.

Domande di discussione

  • Quale fase del ciclo di vita degli incidenti informatici (prevenzione, preparazione, risposta, recupero) è più probabile che venga trasformata dall'AI in futuro, e in quale fase l'AI sta attualmente facendo la differenza? Dove l'AI sembra meno efficace?
  • L'AI sposta l'equilibrio del potere nel cyberspazio verso i difensori o aiuta soprattutto gli attaccanti a mantenere il sopravvento?
  • Gli strumenti AI open source e ampiamente disponibili livelleranno il campo di gioco per i piccoli difensori, o i sistemi proprietari avanzati daranno ancora alle grandi organizzazioni un vantaggio schiacciante?
  • In che modo la capacità di AI di automatizzare il rilevamento, il triage e la risposta cambia la velocità e la natura delle operazioni difensive? Potrebbe rendere obsoleti i "modelli SOC tradizionali"?
  • I difensori potrebbero diventare troppo dipendenti dall'AI, causando punti ciechi se i modelli falliscono, vengono avvelenati o sono ingannati da input avversari?
  • Chi si assume la responsabilità se i sistemi AI non rilevano minacce critiche o formulano raccomandazioni errate: gli sviluppatori, le organizzazioni che li impiegano o gli analisti umani che vi si affidano?
  • In che modo i politici dovrebbero incoraggiare un uso responsabile dell'AI nella difesa senza soffocare l'innovazione o limitare l'accesso agli educatori e alle organizzazioni più piccole?
  • Con l'adozione dell'AI da parte di attaccanti e difensori, il conflitto informatico si evolverà in una gara di "difesa autonoma contro attacco autonomo"?

Bibliografia

Alzu'bi, Ahmad, Omar Darwish, Amjad Albashayreh e Yahya Tashtoush. Classificazione dei registri degli eventi di cyberattacco mediante apprendimento profondo e analisi delle caratteristiche semantiche. Computer e sicurezza 150 (marzo 2025): 104222. https://doi.org/10.1016/j.cose.2024.104222. 

Ammara, Dure Adan, Jianguo Ding e Kurt Tutschku. Generazione di dati sintetici sul traffico di rete: A Comparative Study'. arXiv:2410.16326. Versione 2. Preprint, arXiv, 22 febbraio 2025. https://doi.org/10.48550/arXiv.2410.16326. 

Balasubramanian, Prasasthy, Justin Seby e Panos Kostakos. CYGENT: A Cybersecurity Conversational Agent with Log Summarization Powered by GPT-3". arXiv:2403.17160. Preprint, arXiv, 25 marzo 2024. https://doi.org/10.48550/arXiv.2403.17160. 

Coppolino, Luigi, Antonio Iannaccone, Roberto Nardone e Alfredo Petruolo. Scoperta degli asset nelle infrastrutture critiche: An LLM-Based Approach". Elettronica 14, n. 16 (2025): 3267. https://doi.org/10.3390/electronics14163267. 

Gao, Peng, Xiaoyuan Liu, Edward Choi, Sibo Ma, Xinyu Yang e Dawn Song. ThreatKG: An AI-Powered System for Automated Open-Source Cyber Threat Intelligence Gathering and Management". arXiv:2212.10388. Preprint, arXiv, 30 ottobre 2024. https://doi.org/10.48550/arXiv.2212.10388. 

Geiger, Alexander, Dongyu Liu, Sarah Alnegheimish, Alfredo Cuesta-Infante e Kalyan Veeramachaneni. TadGAN: Time Series Anomaly Detection Using Generative Adversarial Networks". arXiv:2009.07769. Preprint, arXiv, 14 novembre 2020. https://doi.org/10.48550/arXiv.2009.07769. 

Ghioni, Riccardo, Mariarosaria Taddeo e Luciano Floridi. Open Source Intelligence e AI: una revisione sistematica della letteratura GELSI". Ai e società, 28 gennaio 2023, 1-16. https://doi.org/10.1007/s00146-023-01628-x. 

Humran, Hael Abdulhakim Ali e Ferdi Sonmez. 'Code Vulnerability Detection Across Different Programming Languages with AI Models'. arXiv:2508.11710. Preprint, arXiv, 14 agosto 2025. https://doi.org/10.48550/arXiv.2508.11710. 

Karaarslan, Enis, Esin Güler, Efe Emir Yüce e Cagatay Coban. Verso l'analisi dei log con agenti AI: Cowrie Case Study". arXiv:2509.05306. Preprint, arXiv, 22 agosto 2025. https://doi.org/10.48550/arXiv.2509.05306. 

Nebebe, Betelhem, Pavlina Kröckel, Romarick Yatagha, Natasha Edeh e Karl Waedt. AI Defenders: Machine Learning Driven Anomaly Detection in Critical Infrastructures". Gesellschaft für Informatik e.V., 2024, 1917-27. https://dl.gi.de/handle/20.500.12116/45143. 

Nukavarapu, Santosh Kumar, Mohammed Ayyat e Tamer Nadeem. 'MirageNet - Verso una struttura basata su GAN per la generazione di traffico di rete sintetico'. GLOBECOM 2022 - Conferenza globale sulle comunicazioni IEEE del 2022, IEEE, 4 dicembre 2022, 3089-95. https://doi.org/10.1109/GLOBECOM48099.2022.10001494. 

Nwoye, Chukwujekwu Charles e Stephen Nwagwughiagwu. AI-Driven Anomaly Detection for Proactive Cybersecurity and Data Breach Prevention". Rivista internazionale di ricerca e gestione delle tecnologie ingegneristiche 8, n. 11 (2024): 339-56. 

Ogundairo, Obaloluwa e Peter Broklyn. Elaborazione del linguaggio naturale per l'analisi degli incidenti di sicurezza informatica. 2024. 

Peng, Wei, Junmei Ding, Wei Wang, et al. 'CTISum: A New Benchmark Dataset For Cyber Threat Intelligence Summarization". arXiv:2408.06576. Preprint, arXiv, 30 giugno 2025. https://doi.org/10.48550/arXiv.2408.06576. 

Perrina, Filippo, Francesco Marchiori, Mauro Conti e Nino Vincenzo Verde. AGIR: Automating Cyber Threat Intelligence Reporting with Natural Language Generation". arXiv:2310.02655. Preprint, arXiv, 4 ottobre 2023. https://doi.org/10.48550/arXiv.2310.02655. 

Petrolini, Michael, Stefano Cagnoni e Monica Mordonini. 'Rilevamento automatico di dati sensibili mediante classificatori basati su trasformatori'. Internet del futuro 14, n. 8 (2022): 228. https://doi.org/10.3390/fi14080228. 

Rani, Nanda, Bikash Saha, Vikas Maurya e Sandeep Kumar Shukla. TTPXHunter: Actionable Threat Intelligence Extraction as TTPs from Finished Cyber Threat Reports". Minacce digitali: Ricerca e pratica 5, no. 4 (2024): 1–19. https://doi.org/10.1145/3696427. 

Rodriguez, David, Sarah Lee, Joshua Wilson e Sadis Bello. Audit IAM alimentato da AI per il rilevamento delle anomalie nelle infrastrutture critiche. 18 aprile 2025. 

Selling, Felix. Advancing Identity and Access Management with Artificial Intelligence for Anomaly Detection: A Proof of Concept Implementation Study". 2024. 

Xu, Shengzhe, Manish Marwah, Martin Arlitt e Naren Ramakrishnan. STAN: Synthetic Network Traffic Generation with Generative Neural Models". arXiv:2009.12740. Preprint, arXiv, 3 agosto 2021. https://doi.org/10.48550/arXiv.2009.12740. 

Yang, Ziqi e Zhenkai Liang. Identificazione automatizzata di dati sensibili a partire da specifiche implicite dell'utente. Sicurezza informatica 1, no. 1 (2018): 13. https://doi.org/10.1186/s42400-018-0011-x.

Grazie per esserti iscritto alla nostra newsletter!

Grazie! Ricevuto l'RSVP per l'AI sulla difesa informatica

AI nella difesa informatica

Caricamento...

Caricamento...