Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L'IA sta rivoluzionando la sicurezza informatica, ma anche introducendo nuove minacce. Le aziende devono adottare strategie di sicurezza avanzate per proteggere i propri dati dalla nuova minaccia dell'IA agentica
Per capire bene il discorso che segue, ci sono due cose importanti da considerare. La prima è vedere come l’Intelligenza Artificiale sta cambiando e come questo influisce sulla sicurezza dei nostri dati. Questo è utile per chi vuole comprendere come le regole si traducono nella pratica. È importante ricordare che qui sto esprimendo la mia opinione personale sulla situazione attuale.
La seconda cosa da considerare è che, anche se riconosco la grande importanza di seguire le regole europee come il regolamento DORA o l’EU AI Act, mi interessa anche capire quali controlli di sicurezza debbano essere valutati, e quali funzionano realmente.
Detto questo, voglio esaminare come recenti ricerche (1)(2)(3) sottolineano nuovamente che il concetto di Zero Trust dovrebbe essere la base dei nostri sistemi di sicurezza e come dovrebbe evolversi per affrontare le minacce riconducibili agli agenti autonomi. Dando una rapida overview di come questo impatta sulla gestione e sulla necessità di mappare in modo preciso le identità non umane.
Secondo le stime, il mercato e i giornali, l’era dell’IA agentica è iniziata, ma se guardiamo i dati reali, questi sistemi sono ancora fermi sulla soglia delle nostre infrastrutture. Recenti report di Cisco (1. Cisco – The agent Gap Research) mostrano che ben l’ottantacinque percento delle aziende sta portando avanti esperimenti o progetti pilota con sistemi autonomi, ma appena il cinque percento è riuscito a fare il grande salto verso una distribuzione su vasta scala nei sistemi di produzione. Questo enorme scarto può trovare spiegazione (almeno parziale) in questi dati: quasi il sessanta percento dei responsabili indica la sicurezza come l’ostacolo principale all’adozione.
Di fronte a una lettura critica dei dati e dei testi normativi di riferimento, non stiamo analizzando un banale problema tecnico legato all’accuratezza delle risposte della macchina, ma siamo davanti a una vera e propria crisi di governance. Crisi causata dal fatto che l’azione autonoma potrebbe deviare in modo netto dall’intenzione iniziale di chi ha progettato il sistema, così generando un fattore di rischio non tollerabile senza una governance del fenomeno.
La superficie d’attacco si è estesa ben oltre il perimetro della protezione tradizionale dei dati. La governance dell’autonomia (agenti autonomi) rappresenta una vera sfida contemporanea. Un agente IA è diverso dal software tradizionale, che è sempre stato limitato a eseguire una logica rigida e predefinita. Ci troviamo di fronte a entità capaci di comprendere obiettivi complessi, scegliere in modo autonomo gli strumenti più adatti e completare operazioni articolate in più passaggi, senza bisogno di una supervisione umana continua su ogni singola azione. Se consideriamo il software tradizionale come una classica macchina a stati finiti, all’interno della quale ogni transizione è rigorosamente determinata e controllabile, l’IA agentica si presenta come una macchina con uno spazio degli stati virtualmente infinito. Il problema sistemico è che una grande parte di questi stati comprende azioni intrinsecamente pericolose e non prevedibili durante la progettazione. Questo livello di indipendenza operativa mette sotto forte stress i modelli di sicurezza classici, che si basano su permessi statici e su una costante interazione umana.
Quando entriamo in questo contesto, lo Zero Trust deve concentrarsi su tre aspetti chiave: identità, accesso e comportamento. Dobbiamo accettare che ogni agente funzioni realmente come un’identità non umana. Si autentica nei nostri sistemi, richiede risorse importanti e interagisce con API di terze parti. A differenza di un dipendente in carne e ossa, questo tipo di identità lavora senza sosta, è potenzialmente scalabile all’infinito e opera completamente in modo virtuale. Se non creiamo un sistema rigido per identificare e gestire il suo ciclo di vita, possiamo trovarci con attori digitali invisibili che possono essere compromessi, che si muovono nell’ombra senza che nessuno possa tracciare o intervenire. Anthropic sottolinea nelle sue linee guida architetturali (3) che, senza un’identità crittograficamente verificabile, si genera un vuoto di attribuzione. Questo rende impossibile capire chi ha fatto cosa, distruggendo la catena di responsabilità e vanificando i progressi compiuti nella gestione tradizionale degli utenti, compromettendo auditabilità, segregation of duties, ruoli e responsabilità.
Questa anarchia appare anche nella frammentazione dei ruoli aziendali, una situazione pressoché insostenibile. Oggi la responsabilità dei progetti di IA è assegnata quasi in modo casuale: il ventinove percento delle aziende la assegna ai CISO, il ventisette percento ai CIO, il ventiquattro percento a comitati, e c’è persino un preoccupante undici percento che ammette di non aver formalizzato alcuna responsabilità. Con l’arrivo dell’EU AI Act, della direttiva NIS2 e del regolamento DORA nel settore finanziario, questa approssimazione può diventare un grave errore normativo e operativo. DORA, in particolare, non accetta compromessi sulla resilienza operativa digitale nei processi finanziari automatizzati. Per questo motivo, la governance deve fare un salto di qualità. Ogni agente deve essere registrato con attenzione, in modo più dettagliato rispetto ai soli asset aziendali. Deve essere collegato a un proprietario umano responsabile e monitorato in tempo reale, utilizzando sonde proprietarie o integrazioni con SIEM e SOAR. Cisco inserisce questo approccio nel primo pilastro del suo framework per l’IA agentica (2), ricordandoci che avere un inventario statico e obsoleto non serve a nulla. La visibilità deve essere totale e dinamica; altrimenti, applicare le policy o dimostrare la conformità durante un audit diventa impossibile.
Il vecchio Zero Trust ci ha insegnato a non fidarci mai e a verificare sempre. Ottimo per umani e laptop, ma con gli agenti autonomi serve un passo in più, quello che l’OWASP definisce “agenzia minima” o least agency. La differenza non è sottile: se il privilegio minimo limita i dati a cui posso accedere, l’agenzia minima restringe rigorosamente il perimetro delle azioni consentite dall’agente AI, stabilendo dove, come e ogni quanto può muoversi. Se un agente deve fare il riassunto delle email, non c’è alcun motivo tecnico per cui debba avere il permesso di inviarle o cancellarle: deve poter solo leggere. Se gestisce automazioni finanziarie, deve limitarsi a estrarre dati da sorgenti approvate e inviare report a destinazioni verificate, senza potersi inventare chiamate ad API esterne.
Anthropic introduce un concetto che ritengo fondamentale: il “blast radius” (3). Si tratta di un parametro che dovrebbe guidare ogni progetto sin dalla fase di progettazione. Non è un aspetto da considerare solo quando l’infrastruttura è già compromessa. Un agente con accesso in sola lettura a un database isolato ha un “blast radius” minimo. Al contrario, un agente con diritti amministrativi sul cloud aziendale può esporre l’organizzazione a un grave disastro. Cisco traduce questa idea nel secondo pilastro della sua architettura, richiedendo l’autorizzazione per ogni singola azione (2). L’accesso dovrebbe essere concesso solo nel momento esatto in cui è necessario all’agente AI che richiede i privilegi. Questo accesso dovrebbe durare solo il tempo necessario ed essere limitato a ciò che è strettamente richiesto (il classico provisioning Just-in-Time per l’agente). Le politiche devono valutare il contesto in tempo reale, riducendo le autorizzazioni eccessive. In un contesto del genere, è quasi irragionevole considerare sicure le chiavi API statiche o le credenziali di servizio a lungo termine. Esse creano un livello inaccettabile di esposizione persistente. Il minimo indispensabile oggi è costituito da token di breve durata con rinnovo automatico. In situazioni critiche, le credenziali dovrebbero essere legate a moduli di sicurezza hardware (HSM) e revocate immediatamente in caso di anomalie.
Guardiamo la realtà: l’IA di frontiera sta azzerando il tempo che passa tra la scoperta di una falla e il suo exploit su scala globale. Quello che prima richiedeva mesi di lavoro manuale, oggi si fa in poche ore e a costi ridicoli. I vecchi processi di incident response, basati sull’analisi manuale, sono semplicemente superati. Anche se i vendor tendono a esagerare l’efficacia dei propri strumenti, è chiaro che se da un lato i difensori usano l’IA per trovare e correggere i bug più in fretta, dall’altro gli attaccanti fanno esattamente lo stesso, automatizzando la creazione di exploit non appena viene rilasciata una patch. I modelli avanzati sono già in grado di scovare vulnerabilità logiche talmente profonde che i migliori analisti umani hanno mancato per anni.
La vicenda di Anthropic Mythos ne è la prova lampante. La sua (almeno apparente) spaventosa capacità di individuare autonomamente falle latenti nel codice ha sollevato un polverone tale che la possibilità di breach ha fatto scattare l’allarme ai massimi livelli istituzionali. Di fronte al rischio che una tecnologia del genere potesse colpire l’infrastruttura bancaria europea muovendosi alla velocità del software, la Banca Centrale Europea ha dovuto convocare i rappresentanti degli istituti di credito per alzare barriere difensive adeguate.
Questo ci riporta dritti ai requisiti DORA e NIS2. Per governare eventi simili, servono metriche spietate, prima tra tutte il tempo di permanenza o dwell time, ovvero quanti minuti passano tra l’inizio di un’anomalia e il momento in cui l’essere umano se ne accorge. In un’architettura agentica complessa, dove le azioni si propagano a catena in pochi millisecondi, pretendere di rilevare le deviazioni comportamentali a mano è un’illusione.
La risposta sta nei sistemi di orchestrazione orientati agli agenti (Agentic SOAR). A differenza dei vecchi playbook statici, questi strumenti si adattano dinamicamente per rispondere ad attacchi guidati da altre IA. Anthropic propone un’idea pratica: ogni alert deve essere digerito e analizzato da un agente investigativo automatizzato prima ancora di arrivare sullo schermo dell’analista. Un modello di classificazione in sola lettura analizza i log e produce un report strutturato sul contesto dell’attacco. Il principio è chiaro: lasciamo alla macchina il lavoro sporco di raccolta e correlazione dei dati, ma la decisione finale sul contenimento e sulla gestione della crisi deve rimanere saldamente nelle mani dell’uomo.
Benché questo approccio sia condivisibile, bisogna tenere conto che queste linee guida provengono da chi vende tali soluzioni, inoltre questi modelli non sono ancora perfetti, così come non lo sono gli esseri umani, quindi bisogna porre grande attenzione in fase di validazione dell’efficacia del SOAR.
Minacce Avanzate: Prompt Injection, Supply Chain e AI-BOM
Dobbiamo anche fare i conti con minacce specifiche dell’IA che non hanno riscontri nel mondo tradizionale, come il prompt injection diretto e indiretto. Microsoft e altri istituti di ricerca continuano a dimostrare che i modelli linguistici non sanno distinguere in modo certo tra il contesto dei dati e le istruzioni eseguibili (4). Gli attacchi diretti riescono quasi sempre a violare le barriere saltando da un modello all’altro. Quelli indiretti sono persino peggiori: l’attaccante nasconde i comandi malevoli dentro una pagina web o un documento legittimo che sa che l’agente andrà a leggere, lasciando l’utente completamente all’oscuro del fatto che la macchina sta eseguendo codice ostile.
Le difese, per fortuna, stanno migliorando.La tecnica dello Spotlighting, promossa da Microsoft, isola i contenuti non affidabili usando delimitatori strutturali ben precisi all’interno dell’input (un po’ come la segregazione della memoria nei vecchi sistemi operativi), abbattendo il successo delle iniezioni indirette sotto il due percento. Se a questo affianchiamo dei classificatori costituzionali (ovvero IA addestrate solo a verificare che i messaggi non violino le policy di sicurezza), riusciamo a bloccare la stragrande maggioranza dei tentativi di manipolazione riducendo al minimo i falsi positivi.
C’è poi l’enorme buco nero della supply chain, che ora include anche i pesi dei modelli e i dati di addestramento. Anthropic ha dimostrato che basta inserire appena duecentocinquanta documenti infetti durante il pre-addestramento di un modello per creare una backdoor persistente capace di sopravvivere a tutti i successivi passaggi di fine-tuning e allineamento di sicurezza. Ecco perché una distinta dei componenti dell’IA (AI-BOM) per tracciare la provenienza di modelli e dataset non è più un optional burocratico, ma una necessità operativa. Cisco ricorda che questa verifica non può essere una tantum (2): deve essere continua, con controlli in tempo reale anche quando il modello è già in produzione.
A chiudere il cerchio serve una prevenzione della perdita dei dati orientata agli agenti (Agentic DLP). I vecchi DLP cercano pattern statici (come i numeri di carta di credito etc..); con l’IA serve un’analisi semantica dell’output, perché un utente malizioso può facilmente aggirare i blocchi tradizionali semplicemente chiedendo al modello di parafrasare le informazioni riservate.
Per mettere ordine in tutto questo, Anthropic suggerisce un percorso di maturità strutturato su tre livelli, che trovo estremamente logico.
Il livello fondazionale è il minimo sindacale da cui partire oggi per non essere travolti. Richiede identificatori crittografici per ogni istanza, isolamento della memoria tra le sessioni per evitare l’avvelenamento del contesto e triage automatizzato degli eventi. La domanda da porsi qui è: questo controllo rende l’attacco impossibile o solo noioso? Un’IA attaccante non ha problemi di tempo e il costo per tentativo è zero; i controlli che si limitano a rallentare falliscono quasi subito.
Il livello enterprise è il traguardo realistico per la maggior parte delle aziende. Introduce certificati crittografici gestiti nel loro ciclo di vita, controllo degli accessi basato su attributi e contesti di rischio, profili comportamentali automatizzati, log immutabili e l’uso di standard aperti per tracciare le operazioni tra agenti diversi.
Il livello avanzato è la trincea per infrastrutture critiche e ambienti super regolamentati. Parliamo di identità ancorate all’hardware tramite attestazione remota, esecuzione in enclave di calcolo confidenziale, autorizzazione valutata continuamente per revocare i permessi in un millisecondo e analisi comportamentale dinamica basata su machine learning. Sono convinto che con la maturazione del mercato, quello che oggi definiamo almeno enterprise diventerà presto lo standard per tutti.
Il futuro della sicurezza in questo scenario non dipenderà da quanto sarà intelligente o potente l’IA che compriamo, ma dalla solidità delle nostre fondamenta architetturali. Le aziende che sopravviveranno non sono quelle che si sono buttate a capofitto nell’innovazione per inseguire l’hype, ma quelle che hanno ridotto la superficie d’attacco all’osso e hanno progettato i loro agenti assumendo la violazione del sistema come una certezza matematica. Dobbiamo dare per scontata la compromissione e usarla come principio di design, non come un piano d’emergenza da rispolverare dopo il disastro.
Legare il modello Zero Trust per gli agenti IA a normative come DORA,NIS2 o l’AI Act non è un esercizio di stile per compiacere i revisori; è l’unico modo per essere certi che l’autonomia delle macchine risponda ancora ai nostri ordini e che l’azienda resti in piedi.
C’è però un elefante nella stanza che non possiamo ignorare: i testi normativi attuali hanno dei buchi spaventosi sulla sicurezza applicata all’IA, e diventano un vero e proprio deserto quando si parla di IA agentica. È una copertura ancora insufficiente che, nel medio e lungo periodo, rischia di farci pagare un conto salatissimo. Il problema di fondo è una brutale asimmetria temporale: la macchina burocratica si aggiorna a colpi di anni, mentre il progresso tecnologico che tocchiamo con mano oggi corre su base mensile. Questo sfasamento rappresenta un rischio intrinseco. Se vogliamo evitare il disastro, serve al più presto un’integrazione normativa capace di rafforzare i presidi contro le minacce emergenti, ma strutturata in modo così dinamico da rimanere flessibile e applicabile anche di fronte a quello che l’IA diventerà domani. Un compito che, diciamocelo chiaramente, per i legislatori rappresenta una sfida regolatoria complessa.
La vera domanda che ogni CISO e ogni security architect dovrebbe farsi, con assoluta onestà, è una sola: se domani mattina un nostro agente autonomo decidesse di deviare dalle istruzioni e diventasse ostile, saremmo in grado di accorgercene e bloccarlo entro trenta minuti? Se la risposta vi lascia anche solo un filo di dubbio, significa che c’è ancora moltissimo lavoro da fare sui fondamentali.
Fonti:
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]