Che cos’è l’Intelligenza Artificiale Generativa (GenAI)?

Il rapporto di Gartner sulle principali tendenze della cybersecurity per il 2025 enfatizza la crescente influenza dell’intelligenza artificiale generativa (GenAI), evidenziando nuove opportunità per le organizzazioni di migliorare le loro strategie di sicurezza e implementare modelli di difesa più adattivi e scalabili. Mentre il 2024 era previsto per focalizzarsi sullo sviluppo dei prodotti minimi vitali, entro il 2025 stiamo assistendo alla prima integrazione significativa dell’AI generativa nei flussi di lavoro di sicurezza, offrendo un valore sostanziale. E entro il 2026, secondo Gartner, l’emergere di nuovi approcci, come i “trasformatori d’azione”, combinato con tecniche GenAI più mature, guiderà piattaforme semi-autonome che aumenteranno significativamente i compiti eseguiti dai team di cybersecurity.

​​Cos’è l’Intelligenza Artificiale Generativa?

L’intelligenza artificiale generativa si riferisce a modelli di apprendimento automatico (ML) che creano nuovi contenuti apprendendo schemi dai dati esistenti. Come spiega Gartner, GenAI “impara da artefatti esistenti per generare nuovi artefatti realistici su larga scala”. In termini più semplici, si addestrano questi modelli su grandi set di dati (testo, codice, immagini, ecc.), e poi l’intelligenza artificiale generativa può produrre contenuti simili su richiesta.

Tecnicamente, la maggior parte degli strumenti GenAI moderni sono costruiti su modelli fondazionali—grandi reti neurali addestrate su dati ampi. Questi modelli richiedono un’enorme potenza di calcolo, ma una volta addestrati, possono essere adattati per molti compiti (dalla scrittura di codice di rilevamento alla redazione di rapporti sulle minacce). GenAI crea piuttosto che analizzare solamente e sta evolvendo estremamente rapidamente. Ogni pochi mesi si presentano nuovi modelli più capaci. Tuttavia, è importante notare che gli output di GenAI necessitano ancora della supervisione umana poiché i risultati generati dall’AI possono essere inaccurati o di parte, rendendo essenziale la convalida umana.

Come Funziona l’Intelligenza Artificiale Generativa?

L’intelligenza artificiale generativa è costruita sulla base dell’apprendimento automatico, in particolare di un sottoinsieme chiamato apprendimento profondo, che utilizza reti stratificate di algoritmi conosciuti come reti neurali. Queste reti sono ispirate al funzionamento dei neuroni nel cervello umano, consentendo ai sistemi di apprendere da grandi insiemi di dati e generare risultati in modo autonomo.

Uno degli architetture più influenti nell’intelligenza artificiale generativa è il modello a trasformatori. I trasformatori elaborano i dati in parallelo utilizzando meccanismi che aiutano il modello a comprendere il contesto su lunghe sequenze. Ciò li rende particolarmente efficaci per compiti di linguaggio naturale come riassunto, traduzione e generazione di codice. I modelli di linguaggio di grandi dimensioni (LLMs), spesso utilizzati nelle applicazioni GenAI, sono tipicamente basati sull’architettura dei trasformatori e addestrati su enormi dataset che includono repository di codice, rapporti di intelligence sulle minacce, registri di sistema e altro. Usando un metodo chiamato apprendimento non supervisionato, il modello impara a prevedere la parola successiva o l’elemento seguente in una sequenza. Nel tempo, costruisce una rappresentazione interna di grammatica, logica, stile e significato.

Ecco come funziona:

1. Fase di Addestramento: Il modello elabora enormi quantità di testo o codice non strutturato. Non memorizza il contenuto ma apprende le relazioni tra parole, frasi, sintassi e concetti.
   
   
2. Ottimizzazione: Il modello di base viene quindi affinato utilizzando dati specifici del dominio, come log di cybersecurity, rapporti sulle minacce o regole di rilevamento, per allineare i suoi output con esigenze specifiche.
   
   
3. Prompt: Quando un utente fornisce un input (un prompt), il modello genera una risposta prevedendo la continuazione più probabile, parola per parola o token per token.
   
   
4. Consapevolezza del Contesto: Gli strumenti GenAI moderni possono considerare una grande quantità di contesto contemporaneamente, permettendo loro di capire query complesse o compiti multi-step, rendendoli particolarmente utili nei flussi di lavoro di cybersecurity.

Ad esempio, in un contesto di operazioni di sicurezza, si potrebbe inserire un riepilogo di minaccia o un frammento di log, e GenAI potrebbe generare una regola di rilevamento, riassumere la minaccia o suggerire i prossimi passi—tutto basato sulla sua comprensione di dati simili visti prima.

La potenza di GenAI risiede nella sua capacità di sintetizzare, tradurre e generare intuizioni rapidamente, trasformando dati grezzi e complessi in informazioni azionabili. Tuttavia, gli output sono probabilistici, non deterministici, il che significa che la revisione umana rimane fondamentale per compiti ad alta garanzia.

GenAI Nella Cybersecurity

L’intelligenza artificiale generativa (GenAI) sta diventando sempre più una parte essenziale delle operazioni di cybersecurity moderne. Piuttosto che sostituire l’esperienza umana, GenAI la potenzia, agendo come un copilota digitale che accelera l’analisi, automatizza i compiti ripetitivi e aiuta i difensori a stare un passo avanti rispetto alle minacce in evoluzione.

I team di sicurezza stanno già sperimentando GenAI attraverso una gamma di flussi di lavoro, dall’intelligence sulle minacce alla gestione delle vulnerabilità. Ad esempio, gli strumenti GenAI possono riassumere gli avvisi CVE o generare regole di rilevamento basate su modelli di comportamento osservati. Nel triage degli avvisi, GenAI aiuta a ridurre il rumore identificando i falsi positivi probabili o raggruppando incidenti correlati. E quando si tratta di documentazione o formazione, l’intelligenza artificiale può redigere aggiornamenti delle politiche o simulare email di phishing per campagne di sensibilizzazione.

Queste capacità stanno diventando gradualmente integrate nelle piattaforme esistenti—non come strumenti autonomi, ma come miglioramenti integrati per arricchire i dati, accelerare il processo decisionale e semplificare la difesa. Pur rimanendo essenziale la supervisione umana, GenAI offre significativi guadagni di produttività, permettendo ai professionisti della sicurezza di concentrarsi su lavori a maggiore impatto.

Quali Sono I Pro e I Contro Dell’Intelligenza Artificiale Generativa Nella Cybersecurity?

GenAI viene utilizzata oggi per potenziare i compiti di cybersecurity—dai lavori di routine come riassumere dati e triage di avvisi a compiti più creativi come suggerire regole di rilevamento o contenuti di formazione. Ogni caso d’uso coinvolge comunque esperti umani nel processo, ma l’AI gestisce l’analisi e la documentazione ripetitive, aiutando i team a fare di più con meno. Ecco alcuni esempi di come GenAI può supportare i difensori:

• Intelligence Sulle Minacce & Risposta Agli Incidenti: GenAI può digerire e riassumere dati complessi sulle minacce. Ad esempio, può riassumere lunghi rapporti sulle minacce o avvisi CVE, mettendo in evidenza le informazioni più critiche, gli indicatori di compromissione o le tattiche, tecniche e procedure (TTP) degli attaccanti. Estraendo automaticamente le cause principali e i dettagli chiave da enormi quantità di dati, GenAI accelera le indagini e aiuta gli analisti a stare avanti rispetto alle minacce.
  
  
• Ingegneria Del Rilevamento: Gli ingegneri della sicurezza stanno esplorando GenAI per aiutare a scrivere regole di rilevamento o query. Ad esempio, fornendo a un modello AI esempi di attività malevole e come sono state rilevate, il modello può redigere nuova logica di rilevamento. In alternativa, GenAI può aiutare con il riassunto della logica di rilevamento, l’arricchimento CTI, la traduzione del codice di rilevamento tra vari linguaggi SIEM, EDR o Data Lake, e altro ancora. Tutte le funzionalità menzionate sono attualmente supportate da SOC Prime’s Uncoder AI. 
  
  
• Riduzione Dei Falsi Positivi: GenAI può aiutare a minimizzare i falsi positivi agendo come un livello di analisi secondario. Può valutare gli avvisi insieme al codice associato e fornire ragionamenti in linguaggio naturale, aiutando i team a distinguere rapidamente tra eventi benigni e sospetti. Secondo previsioni del settore, entro il 2027, GenAI dovrebbe ridurre i tassi di falsi positivi nei test di sicurezza delle applicazioni e nel rilevamento delle minacce del 30%, grazie alla sua capacità di perfezionare e contestualizzare gli output da tecniche di analisi tradizionali.
  
  
• Gestione Delle Vulnerabilità: GenAI può aiutare a prioritizzare e addirittura a risolvere le vulnerabilità. Un modello AI può scansionare il codice o le configurazioni per debolezze di sicurezza e evidenziare schemi rischiosi. Può quindi classificare quei difetti per potenziale impatto e suggerire passi di rimedio. Gli strumenti GenAI agiscono come revisori di codice intelligenti, aiutando i team di sviluppo e sicurezza ad affrontare prima le vulnerabilità più critiche.
  
  
• Analisi & Riassunto: Oltre ai dati strutturati, GenAI può riassumere informazioni non strutturate o semi-strutturate. Può prendere messaggi di allerta, chat su Slack o log di sistema e convertirli in riassunti in linguaggio semplice. Ad esempio, se migliaia di voci di log aumentano, un modello GenAI potrebbe descrivere la tendenza anomala in un paragrafo. Questo libera gli analisti dal dover esaminare ogni dettaglio; invece, ottengono intuizioni rapide generate dall’AI.
  
  
• Formazione & Politica: Alcuni team usano GenAI per generare scenari di formazione realistici. Ad esempio, può creare esempi personalizzati di email di phishing per il personale o scrivere una spiegazione personalizzata di una nuova politica di sicurezza. GenAI può analizzare le politiche esistenti per individuare lacune o addirittura redigere politiche riviste basate sulle migliori pratiche. Questo rende più efficiente il mantenimento della consapevolezza e della documentazione, sebbene tutti gli output siano validati dagli esseri umani.

Sebbene l’intelligenza artificiale generativa presenti significative opportunità per migliorare le operazioni di cybersecurity, introduce anche nuove sfide. Gli avversari stanno adottando gli stessi strumenti basati sull’intelligenza artificiale per aumentare la velocità, la scala e la sofisticazione dei loro attacchi. Infatti, Gartner si aspetta che gli attaccanti ottengano gli stessi benefici che la maggior parte delle industrie si aspetta da GenAI: produttività e aumento delle competenze. Gli strumenti GenAI permetteranno agli attaccanti di migliorare la quantità e la qualità degli attacchi a basso costo. Quindi sfrutteranno la tecnologia per automatizzare maggiormente i loro flussi di lavoro in aree come le attività di scansione e sfruttamento. Il lato offensivo non richiede conformità e regolamenti legali da implementare nelle strategie di attacco. Questo ritardo può estendersi a ore o addirittura giorni per minacce complesse, dando agli attaccanti un vantaggio sostanziale.

Le emergenti regolamentazioni sull’IA stanno anche aggiungendo un nuovo livello di complessità, introducendo rischi legali e limitazioni tattiche che non sono ancora pienamente comprese. Gartner prevede che, fino al 2025, l’intelligenza artificiale generativa porterà a un aumento del 15% delle risorse di cybersecurity necessarie per garantirla, risultando in una maggiore spesa per la sicurezza delle applicazioni e dei dati. La mancanza di trasparenza riguardo ai meccanismi dell’IA generativa e alle fonti di dati sta causando esitazioni nei leader della sicurezza nell’automatizzare le azioni basate sugli output delle applicazioni di cybersecurity generative. Di conseguenza, flussi di lavoro di approvazione obbligatori e documentazione dettagliata saranno necessari finché le organizzazioni non guadagneranno sufficiente fiducia in questi sistemi per aumentare gradualmente i livelli di automazione.

Ecosistema SOC AI di SOC Prime

Guidando l’innovazione nella rilevazione come codice, ingegneria del rilevamento alimentata dall’IA e caccia alle minacce automatizzata, SOC Prime riunisce soluzioni di sicurezza all’avanguardia in un potente ecosistema AI SOC indipendente dai fornitori. Combina la tecnologia SOC Prime, guidata dall’IA e dall’expertise collettiva, con le innovazioni dei nostri partner per offrire capacità di difesa informatica senza pari.

Ecosistema SOC AI di SOC Prime ha l’expertise guidata dalla comunità al suo cuore, riflettendo la tendenza principale dell’adozione attuale dell’IA mirata principalmente ad aumentare i compiti di routine e agendo come un copilota per i team di sicurezza. Ciò risuona con l’approccio di difesa informata dalle minacce che cambia le regole del gioco, che incoraggia una cultura di miglioramento continuo nella cybersecurity supportata dall’expertise combinata dei team Blue, Red e Purple per testare e migliorare continuamente le loro capacità difensive in modo collaborativo per aumentare l’efficacia. Costruito su un ciclo strategico di cinque anni, questo approccio sfrutta standard aperti per garantire trasparenza tra più strumenti e tecniche diverse, permettendo alle organizzazioni di integrare e adattare le loro difese mentre le minacce evolvono. Attribuendo intelligence sulle minacce che riflette tattiche e tecniche di grado militare del mondo reale, l’approccio di difesa informata dalle minacce potenzia i team di cybersecurity a prevedere, rilevare e rispondere alle azioni di attaccanti altamente sofisticati.

Allineandosi con la previsione di Gartner che le implementazioni AI che migliorano l’esperienza umana supereranno le analisi a scopo singolo, l’ecosistema AI di SOC Prime è progettato per amplificare le capacità dei team di cybersecurity combinando apprendimento automatico all’avanguardia con conoscenza guidata dalla comunità. Al cuore di questo ecosistema c’è la piattaforma SOC Prime, che serve tre prodotti principali. Threat Detection Marketplace, che funge da biblioteca di rilevazione come codice più grande del mondo, offrendo contenuti di rilevazione curati e intelligence sulle minacce azionabili. Uncoder servendo un IDE privato e copilota AI per l’ingegneria del rilevamento informata dalle minacce. E Attack Detective, che è un SaaS pronto per l’impresa per il rilevamento avanzato delle minacce e la caccia automatizzata delle minacce.

Per potenziare queste innovazioni, SOC Prime sfrutta una varietà di modelli di linguaggio di grandi dimensioni (LLMs) di mercato ospitati privatamente, come Llama. Manteniamo anche una suite di modelli AI/ML progettati appositamente:

• modello SOC Prime LLM di generazione aumentata del recupero (RAG). Alimentato dal database RAG con la collezione unica di SOC Prime di oltre 500.000 regole e query mappate a 11.000 etichette di metadati di alta qualità, questo modello LLM consente la generazione di regole di rilevamento arricchite dal contesto da dati CTI grezzi.
  
  
• modello ML di etichettatura SOC Prime MITRE ATT&CK.® Basandosi sulla nostra innovazione di etichettare le regole Sigma con ATT&CK, introdotta al primo EU ATT&CK Community Workshop nel 2018, SOC Prime cura il modello ML che abilita l’etichettatura automatizzata di tecniche (sub) di ATT&CK per il codice di rilevamento in Sigma e Roota. Addestrato sul dataset più grande del mondo di oltre 50.000 regole e query, incluse query native SIEM, EDR e Data Lake, regole Sigma e traduzioni di alta qualità. modello ML di rilevamento del linguaggio SOC Prime.
  
  
• SOC Prime language detection ML model. SOC Prime cura questo modello ML per automatizzare l’identificazione del linguaggio delle query in 44 diversi formati SIEM, EDR e Data Lake, addestrato con il dataset di SOC Prime che comprende oltre 500.000 regole e query, incluse regole native, regole Sigma e traduzioni di alta qualità.

Vediamo come GenAI può potenziare le operazioni quotidiane di cybersecurity usando l’esempio di Uncoder, che ha recentemente ricevuto un aggiornamento importante e offre una varietà di funzionalità potenziate dall’IA per l’ingegneria del rilevamento informata dalle minacce, 100% gratuite.

Uncoder è un’IA privata non agentica per ingegneri del rilevamento e analisti SOC. Gli ultimi aggiornamenti per Uncoder AI, rilasciati a maggio 2025, introducono un set robusto di funzionalità progettate per migliorare come vengono create, tradotte e ottimizzate le regole di rilevamento attraverso le tecnologie più popolari, agendo come un cambiamento radicale per i team di sicurezza per rimanere all’avanguardia nel panorama in evoluzione della cybersecurity.

Uncoder AI è alimentato da una combinazione di modelli di apprendimento automatico proprietari di SOC Prime—addestrati sul dataset più grande del mondo di oltre 500.000 regole e query di rilevamento, arricchite con oltre 11.000 etichette contestuali—e seleziona integrazioni con LLM pubblici leader di mercato. Per la maggior parte delle funzionalità potenziate dall’IA, Uncoder AI utilizza Llama 3.3 personalizzato per l’ingegneria del rilevamento e il processamento dell’intelligence delle minacce. Questo modello opera interamente all’interno del cloud privato conforme al tipo II SOC 2 di SOC Prime, garantendo pieno controllo sui dati, rigorosa privacy e protezione IP. È previsto il supporto per ulteriori LLM, offrendo agli utenti maggiore flessibilità mantenendo un approccio prioritario alla privacy.

Le seguenti capabilità potenziate dall’IA supportate da Uncoder AI sono ora disponibili gratuitamente:

• • Generazione di regola/query da Rapporto Sulle Minacce. Analizza il rapporto sulle minacce fornito e genera una regola/query per rilevare il comportamento descritto.
    
    
  • Generazione di regola/query via Prompt Personalizzato. Analizza il prompt personalizzato fornito e genera una regola/query basata sulle istruzioni dell’utente.
    
    
  • Sintesi dell’albero delle decisioni. Analizza una query/regola e spiega come funziona passo passo, con tutti gli incorporamenti, i rami e altra logica intricata.
    
    
  • Sintesi breve e completa della regola/query. Analizza una regola/query e fornisce agli ingegneri della sicurezza una spiegazione dettagliata ma chiara della logica di rilevamento e di tutti i punti principali coinvolti.
    
    
  • Ottimizzazione delle query. Analizza una query e conferma se è ottimale o suggerisce miglioramenti delle prestazioni.
    
    
  • Validazione della sintassi & struttura della regola. Analizza la sintassi e la struttura di una regola/query e segnala errori, suggerisce miglioramenti o conferma che tutto è corretto.
    
    
  • Generazione di Flusso di Attacco (Beta). Analizza il rapporto sulle minacce fornito o un’altra descrizione di attività malevoli e lo visualizza sotto forma di Flusso di Attacco.
    
    
  • Previsione delle etichette MITRE ATT&CK. Utilizza il modello ML ospitato privatamente da SOC Prime per mappare una regola Sigma a tecniche e sotto-tecniche ATT&CK.
    
    
  • Traduzione incrociata assistita dall’IA tra piattaforme. Traduce tra linguaggi nativi delle piattaforme. La logica di base delle query viene tradotta nativamente, mentre la traduzione delle funzioni avanzate è generata da un mini modello AI OpenAI GPT-4o di terze parti.
    
    
  • Supercharging in Roota. Trasforma una regola o una query specifica della piattaforma in una regola Roota e la arricchisce con metadati utilizzando algoritmi proprietari di SOC Prime e AI.

Registrati per la piattaforma SOC Prime per iniziare a esplorare le funzionalità potenziate dall’IA e sperimentare come GenAI agisce come un fattore di cambiamento per aumentare l’efficienza delle operazioni SOC.