Oggi come e dove si può usare concretamente l’AI a supporto della cybersecurity?
L’AI è un tema a 360 gradi. L’uso dell’AI nel SOC è un aspetto, ma c’è anche l’AI che deve proteggere se stessa e quella applicata alle soluzioni. L’approccio di Fortinet copre dall’AI generativa all’AI operativa che entra nel SOC, con un’attenzione mirata area per area. Parlando di AI generativa, è una tecnologia che utilizziamo già da qualche anno: è integrata nelle nostre soluzioni e ci ha permesso di alzare l’asticella non solo nei controlli in tempo reale contro minacce zero-day, ma soprattutto nell’usabilità delle piattaforme. Oggi è particolarmente evidente come l’AI sia abilitante per chi si torva a gestire un SOC, perché introduce velocità di reazione e qualità dell’analisi. All’interno dei SOC l’AI interviene a livello di soluzioni, protezione e gestione e, su ciascuno di questi aspetti, Fortinet concentra investimenti significativi che trasferiamo poi al mercato attraverso le nostre soluzioni.
L’AI è integrata nella vostra piattaforma o la proponete anche come soluzione autonoma?
Entrambe le cose. Abbiamo sviluppato FortiAI, una soluzione stand-alone che si può acquistare per supportare la gestione, la razionalizzazione degli eventi e l’assegnazione degli allarmi in ingresso. In parallelo, integriamo AI — generativa e non — all’interno delle nostre soluzioni per migliorarne qualità e tempi di risposta. Per noi è un motivo di orgoglio il numero di brevetti registrati: in EMEA sono circa 1.400 di cui oltre 500 riguardano specificamente l’intelligenza artificiale. L’investimento non è solo massivo ma anche sempre più attento a un utilizzo dell’AI reso fruibile ed etico.
Sul fronte dell’automazione abilitata dall’AI, a che punto siete in Fortinet?
Siamo molto avanti, soprattutto per l’uso nel SOC. Mettiamo a disposizione degli operatori un’interfaccia non solo grafica ma anche vocale, che aumenta il livello di interazione e consente di effettuare “deep dive” estremamente puntuali, fino a proporre le azioni per ostacolare o bloccare la minaccia. Cambia il paradigma rispetto a quando l’operatore doveva esaminare serie infinite di log e basarsi su motori di correlazione che producono risultati “prelavorati” da interpretare nel contesto. Oggi l’operatore riceve un supporto enorme e trae un beneficio concreto dall’intelligenza artificiale.
Le competenze richieste agli operatori si abbassano o si spostano su un altro piano?
La visione di competenza resta fondamentale, anche tecnica e di alto profilo. L’AI consente però di sopperire alla scarsità di personale perché una parte del lavoro viene ridotta drasticamente e, nel contempo, permette di elevare il livello di analisi per gli specialisti che conoscono anche il business dell’azienda. Invece di avere molte persone dedicate al monitoraggio e al controllo dei flussi “prelavorati”, posso contare su un gruppo più vicino al business, capace di correlare la minaccia con il rischio aziendale e di valutare, per esempio, l’impatto su un servizio critico o capire quando ci trova di fronte a decisioni da demandare a livelli superiori.
Questo avvicina quindi la security al risk management?
Esatto. Ci avviciniamo al risk management e a interlocutori come i CFO che un tempo non volevano nemmeno sentir parlare di security. Con il supporto dell’intelligenza artificiale l’operatore può produrre rapidamente report specifici indirizzati ai vari stakeholder interni. Dal potenziale incidente e dal suo possibile impatto si arriva in tempi brevi a una reportistica che, con linguaggio adeguato a ciascun interlocutore, rende evidente in modo semplice, intuitivo e grafico che cosa è accaduto, come è accaduto e che cosa è stato impattato. In questo modo riusciamo ad avvicinare la complessità della security al CFO, al COO, ai direttori di produzione e agli altri responsabili aziendali.