L’evoluzione della difesa nell’era dei modelli di IA di frontiera: analisi, mitigazione e automazione con Anthropic Mythos
A cura di Carl Windsor, Chief Information Security Officer di Fortinet
L’intelligenza artificiale sta comprimendo le tempistiche del rischio informatico, riducendo il tempo che intercorre tra la scoperta e lo sfruttamento delle vulnerabilità – da settimane o mesi, a solo poche ore. Questo cambiamento è un’arma a doppio taglio: gli stessi modelli che accelerano gli attaccanti consentono anche ai difensori di rilevare, analizzare e mitigare i rischi a una velocità senza precedenti.
Il vantaggio competitivo oggi dipende dalla rapidità e dalla coesione della sicurezza. Le organizzazioni che non si adeguano a questa nuova realtà operativa non riusciranno a tenere il passo. Per operare con visibilità, controllo e resilienza in questo nuovo contesto, è necessario integrare modelli di sicurezza preventivi basati sull’IA nell’intero ciclo di sicurezza, accorciando i cicli di mitigazione e progettando la scalabilità fin dall’inizio.
I modelli di IA di frontiera
Uno dei principali vantaggi dell’intelligenza artificiale è la democratizzazione della tecnologia. Le nuove generazioni di modelli di IA di frontiera possono analizzare software, generare codici e simulare flussi di lavoro con un supporto umano minimo e a una velocità senza precedenti.
In termini di sicurezza, tuttavia, la medesima capacità impiegata per rilevare e correggere una vulnerabilità può anche trasformarsi in un’arma.
Di fronte a tale trasformazione del panorama delle minacce, Fortinet sta lavorando a stretto contatto con i fornitori di intelligenza artificiale, tra cui Anthropic e altre aziende di IA di frontiera, per prendere il meglio da ciascun modello.
Nelle ultime settimane si è assistito a una crescente attenzione nei confronti del progetto Glasswing di Anthropic e della sua anteprima di Mythos estesa alle organizzazioni responsabili della creazione e della gestione del software critico. Come parte di questo programma, Fortinet ha accesso a Claude Mythos Preview.
Sebbene i dettagli dell’implementazione e dei risultati non siano stati divulgati, il cambiamento è più ampio: i modelli di IA di frontiera stanno avanzando rapidamente nella loro capacità di analizzare, comprendere e testare sistemi complessi.
“I vantaggi della sicurezza alla massima velocità”
I nuovi modelli di IA di frontiera sono come un security engineer fuoriclasse e tuttofare. Conoscono i prodotti meglio di qualsiasi sviluppatore, poiché mantengono una comprensione completa del codice nel loro “cervello” in ogni momento. Una capacità che si traduce in risultati sorprendenti:
-
Individuazione rapida delle vulnerabilità: scansionano le codebase e identificano le vulnerabilità in modo drasticamente più veloce rispetto ai metodi tradizionali, consentendo alle aziende di passare dal patching reattivo alla riduzione proattiva del rischio;
-
Rilevamento e risposta alle minacce potenziati: correlano i segnali in enormi dataset di telemetria, rilevano modelli di comportamento anomalo in tempo reale e assistono i team dei SOC nel triage e nella risposta agli incidenti;
-
Automazione della sicurezza su larga scala: generano modelli di codice sicuro, automatizzano i flussi di lavoro dei penetration test e simulano i percorsi di attacco in architetture complesse, dissolvendo colli di bottiglia e consentendo alle organizzazioni di applicare in modo coerente pratiche di sicurezza di alta qualità in tutti gli ambienti;
-
Competenza di sicurezza aumentata: supportano i professionisti della sicurezza, non li sostituiscono. I team di sicurezza possono ottenere informazioni su dove iniziare a indagare e gli sviluppatori su dove concentrare le attività di refactoring.
Le sfide con cui i difensori devono confrontarsi
Nonostante il supporto che questi modelli offrono alle organizzazioni che si occupano della sicurezza dei prodotti, il loro impiego apre a nuove sfide:
-
Barriere più basse per gli aggressori: gli stessi strumenti democratizzano anche il cybercrime rendendo accessibili agli hacker meno esperti tecniche un tempo riservate a pochi. I difensori, tuttavia, mantengono un vantaggio strategico sfruttando la telemetria e il controllo integrato per neutralizzare le minacce su larga scala in modo coordinato;
-
Rilevamento di vulnerabilità a duplice uso: la decodifica accelerata delle patch genera exploit in pochi secondi, riducendo la finestra di esposizione da mesi a ore e rendendo vulnerabili i sistemi quasi istantaneamente. In questo scenario, la difesa deve evolvere trattando la mitigazione come un processo automatizzato;
-
Strumenti di supporto, non sostituti dell’esperto: nonostante i rapidi progressi, i modelli di frontiera possono commettere errori e generare falsi positivi, richiedendo la supervisione umana degli analisti di sicurezza per convalidare i risultati. L’IA è uno strumento, non sostituisce l’esperto, ma ne accelera la produttività.
La sicurezza dei prodotti Fortinet potenziata dall’IA
Da anni Fortinet utilizza l’intelligenza artificiale per migliorare l’analisi della sicurezza. Modelli di frontiera come Mythos Preview di Anthropic proseguono lungo questa traiettoria, implementando una maggiore capacità di analisi e test del software.
Questo cambiamento è significativo, ma non altera i principi fondamentali. Fortinet mantiene un programma maturo di gestione e divulgazione delle vulnerabilità progettato per identificare, mitigare e risolvere i problemi in modo rapido e responsabile. I prodotti sono creati con criteri secure-by-design, secure-by-default e con un approccio di difesa in profondità che limita l’impatto di eventuali attacchi accelerati dall’intelligenza artificiale.
L’accesso a modelli di frontiera come Mythos Preview comporta rigorose aspettative di utilizzo: ambienti controllati per supportare il rilevamento e mitigazione delle vulnerabilità nei sistemi Fortinet. Non vengono impiegati per la ricerca offensiva contro obiettivi esterni e gli output devono essere convalidati attraverso consolidati processi di revisione della sicurezza prima di intraprendere qualsiasi azione.
Come sopravvivere nell’era dell’IA
Come ogni strumento, anche l’intelligenza artificiale dipende dall’utilizzo che se ne fa. Tuttavia, la recente evoluzione dei modelli di frontiera supera questo concetto. Si profila una corsa agli armamenti, in cui tali sistemi non si limitano a potenziare la sicurezza, ma ridisegnano l’economia dei conflitti informatici.
In questo contesto, l’accesso ai modelli di frontiera non elimina la necessità di disciplina; al contrario, amplifica drasticamente le conseguenze di una disciplina errata. Per sopravvivere a questo nuovo scenario, le organizzazioni devono evolvere rapidamente.
Accorciare drasticamente i cicli di mitigazione
Data la velocità con cui ci aspettiamo si verifichino attacchi di reverse engineering, il nostro meccanismo di difesa principale sarà mitigare prima e applicare le patch in un secondo momento. Le mitigazioni iniziano con l’implementazione più sicura, che incoraggiamo attraverso la strategia secure-by-default, un impegno promosso dalla CISA e sottoscritto da Fortinet.
Gli attori delle minacce che utilizzano strumenti basati sull’IA saranno in grado di sfruttare le vulnerabilità entro poche ore dalla pubblicazione. Il tempo delle modifiche trimestrali è ormai passato: la velocità oggi è fondamentale.
Le mitigazioni temporanee saranno vitali. Fortinet promuove il concetto di virtual patch per risolvere rapidamente i problemi con firme in stile IPS prima che l’organizzazione abbia l’opportunità di applicare le patch e, in alcuni casi, ancor prima che sia disponibile una correzione. Se le virtual patch non sono disponibili, le soluzioni alternative definite dal fornitore saranno fondamentali per la mitigazione. Le organizzazioni devono pianificare questo passaggio fin dalla fase di progettazione architetturale.
Per concludere
Come parte di una più ampia collaborazione nel settore, le informazioni provenienti da programmi di accesso anticipato, come Glasswing, contribuiscono a un apprendimento aggregato e in forma anonima. L’obiettivo è innalzare il livello della sicurezza in tutto l’ecosistema, non creare vantaggi isolati, aiutando così le organizzazioni ad adottare pratiche di sviluppo e di risposta più sicure.
I modelli di intelligenza artificiale di frontiera stanno avanzando rapidamente e continueranno a farlo. Fortinet si è preparata a questo cambiamento identificando e risolvendo sistematicamente le vulnerabilità all’interno della propria base di codice. Negli ultimi due anni, il 68% delle vulnerabilità divulgate è stato rilevato internamente. Questo riflette un modello di sicurezza preventivo incentrato sulla riduzione dell’esposizione che anticipa la scoperta e lo sfruttamento delle vulnerabilità.
La linea temporale del rischio è cambiata. Il rilevamento, la convalida e la mitigazione devono ora operare come un processo continuo e integrato. I fornitori devono applicare l’IA all’inizio del ciclo di vita, abbreviare i cicli di remediation e utilizzare tecniche di ingegneria difensiva per limitare l’impatto di inevitabili vulnerabilità. Le organizzazioni in grado di farlo opereranno con maggiore visibilità e controllo. Quelle che non ci riusciranno rimarranno indietro.
La sicurezza dipende da un’esecuzione coerente. Oggi sono richiesti modelli di risposta più rapidi, supportati da sistemi progettati per la scalabilità.
