Sicurezza informatica
La sicurezza informatica sta passando dalla rilevazione alla resilienza AI
Con praticamente tutti i beni, le attività aziendali o i dati preziosi registrati digitalmente, l’accesso continuo a questi dati e ai sistemi IT è essenziale.
È su questo che si basa una tattica di estorsione chiamata ransomware. Essa si infiltra in un dispositivo elettronico o in una rete, blocca gli utenti dai loro dati (di solito tramite crittografia) e poi richiede un riscatto per fornire la chiave di decrittazione e ripristinare l’accesso.
Il ransomware è un’attività criminale in rapida crescita, con danni globali previsti che supereranno i 265 miliardi di dollari all’anno entro il 2031.
Il problema sta diventando critico, poiché le campagne di ransomware moderne ora prendono di mira non solo gli individui ma anche le reti aziendali, i sistemi municipali e i settori delle infrastrutture critiche come la sanità, la finanza e l’energia.
“Nel 2024 il settore sanitario ha registrato i costi di violazione più alti di qualsiasi industria, con una media di 10,93 milioni di dollari per incidente, a causa di tempi di inattività prolungati, sanzioni legate all’HIPAA e la rimessione delle informazioni sanitarie protette.”
Questi incidenti sono più gravi e coinvolgono somme più elevate estorte, nonostante l’88% di tutti gli incidenti di ransomware abbia come bersaglio le piccole e medie imprese (PMI).
“Le organizzazioni che hanno pagato un riscatto hanno segnalato un pagamento medio di 2 milioni di dollari, rispetto a 400.000 dollari nel 2023. Oltre ai costi immediati, il tempo medio di inattività organizzativa dopo un attacco ransomware supera ora le tre settimane, provocando perdite operative e di produttività compresse in tutti i reparti aziendali.”
I metodi di ransomware sono diventati sempre più sofisticati, rendendo gradualmente insufficienti gli approcci di rilevazione tradizionali basati su firme e puramente discriminativi. Rintracciare i fondi è diventato più difficile poiché oggi il riscatto è solitamente richiesto in criptovalute.
In generale, l’IA è sia un problema che un’opportunità per la cybersecurity. Può aiutare a generare falsi più credibili per il phishing, migliorare l’efficienza dell’ingegneria sociale e creare nuovi punti di vulnerabilità nell’architettura di un sistema.
Fonte: Crowdstrike
Una nuova pubblicazione sostiene anche che l’IA generativa potrebbe contribuire ad alleviare le minacce alla cybersecurity. E che ciò è particolarmente vero nel caso degli attacchi ransomware.
È stata scritta da un ricercatore dell’Università di Cincinnati nella Journal of Information Security and Applications1, con il titolo “Rethinking ransomware defense in the age of generative AI”.
Come funziona il ransomware?
Ransomware 101
La maggior parte dei ransomware bloccherà i dati tramite crittografia dopo una violazione della sicurezza, consentendo all’hacker di accedere a un dispositivo o a una rete. In alcuni casi, può persino bloccare completamente l’interfaccia utente del dispositivo, anziché crittografare file individuali.
La richiesta di riscatto è solitamente accompagnata da una domanda di pagamento in criptovaluta, con un limite di tempo rigoroso per ottenere la decrittazione dei dati, dopodiché rimarranno bloccati in quello stato per sempre.
In alcuni casi, etichettati come doppia e tripla estorsione, la crittografia dei dati è combinata con minacce di divulgazione pubblica dei dati rubati, o addirittura di attacco ai tuoi clienti e partner se il riscatto non viene pagato.
Ciò può essere particolarmente problematico per dati riservati come informazioni aziendali, IP di valore, informazioni mediche dei pazienti, ecc. Inoltre, pagare per la decrittazione, o ottenerla con altri mezzi, non rimuove i dati rubati dai computer dell’hacker, il che significa che questa minaccia persiste anche dopo la decrittazione.
In generale, gli esperti di cybersecurity e le agenzie di applicazione della legge sconsigliano di pagare il riscatto, poiché non garantisce il ripristino dei dati e può spesso etichettare la vittima come un “buon” bersaglio per attacchi successivi.
Le perdite derivanti dal ransomware non riguardano solo il riscatto finale, ma anche i tempi di inattività e l’interruzione delle attività, danni alla reputazione, procedure di recupero costose e la sicurezza aggiuntiva necessaria, ecc.
“Le organizzazioni che subiscono incidenti ransomware spesso affrontano una perdita di fiducia da parte di clienti, investitori e autorità di regolamentazione. I clienti percepiscono le violazioni come fallimenti della dovuta diligenza, portando a una diminuzione della lealtà e a un aumento dell’abbandono. Gli investitori possono mettere in dubbio la maturità della governance dell’azienda e la postura di gestione del rischio, contribuendo a un calo della valutazione di mercato.”
Come prevenire il ransomware
Oltre ai metodi di IA generativa proposti da questo articolo, è necessario adottare alcune pratiche per ridurre i rischi degli attacchi ransomware e la loro gravità.
La prima è l’adozione generale di buone pratiche di cybersecurity e un finanziamento sufficiente per i team IT e la formazione sulle competenze di cybersecurity.
La seconda è mantenere tutti i software aggiornati e patchati, con un punto di fallimento da qualche parte, potenzialmente portando a una vulnerabilità crescente per l’intero sistema.
La terza è prestare attenzione all’accesso sicuro e agli errori umani, fornendo formazione per evitarli, poiché molti attacchi ransomware iniziano con l’ingegneria sociale e la persuasione di almeno un utente a aprire una breccia per gli hacker.
Infine, una politica seria per il backup e l’archiviazione dei dati può ridurre notevolmente l’impatto di un attacco ransomware disponendo di dati quasi aggiornati da utilizzare per il recupero.
Utilizzare l’IA generativa per combattere il ransomware
L’approccio attuale al ransomware si concentra su strumenti antivirus basati su firme, motori di regole statiche, o incorpora solo parzialmente modelli tradizionali di machine learning e deep learning.
“Questi approcci si basano fortemente su dataset etichettati e firme di attacco predefinite, lasciando le organizzazioni vulnerabili a exploit zero‑day e malware polimorfico che modificano continuamente il loro codice per aggirare anche i sistemi di rilevazione multilivello.”
L’IA generativa, lo stesso tipo di IA utilizzato da sistemi come ChatGPT, può aiutare ad alleviare queste limitazioni. In particolare, diversi tipi di IA generativa possono essere utilizzati:
- Modelli di linguaggio di grandi dimensioni (LLM).
- Reti Generative Avversarie (GAN).
- Autoencoder Variazionali (VAE).
- Modelli di Diffusione.
Cosa può fare ciascun sistema GenAI?
I LLM possono assistere specialisti IT e utenti comuni nell’analizzare grandi volumi di log di sistema, report di incidenti e feed di intelligence sulle minacce per identificare narrazioni di attacchi emergenti o generare raccomandazioni di risposta automatizzate.
I GAN hanno generato attacchi ransomware “falsi” che possono essere usati per prepararsi al caso reale. Quindi possono sintetizzare varianti ransomware realistiche per stress‑testare e riaddestrare gli algoritmi di rilevazione.
I VAE possono apprendere rappresentazioni comportamentali latenti che aiutano a distinguere l’attività di sistema dannosa da quella benigna.
Insieme, i GAN e i VAE possono aiutare a generare campioni ransomware sintetici e dati di processi benigni, affrontando la persistente sfida della scarsità di dati e dello squilibrio di classe nei dataset di cybersecurity.
Nella pratica, la fiducia e l’interpretabilità sono critiche per l’adozione nei centri operativi di sicurezza del mondo reale. Pertanto, i sistemi basati su GenAI dovranno non solo identificare le minacce ma anche giustificare i loro output in modi comprensibili per gli analisti umani.
Implementazione e rischi aggiuntivi
Implementare questi sistemi richiede competenze qualificate, poiché sono sensibili alla qualità dei dati, alla latenza computazionale e al costo di riaddestramento.
Va anche notato che questi sistemi devono essere implementati con cura e con adeguate salvaguardie di governance.
Rischi aggiuntivi includono attacchi di estrazione del modello, manipolazione dei prompt di strumenti di sicurezza assistiti da LLM e avvelenamento avversario della telemetria utilizzata durante i cicli di riaddestramento, tutti in grado di compromettere l’affidabilità della difesa cyber assistita dall’IA.
La stessa tecnologia che può aiutare contro gli attacchi ransomware può anche essere armata per automatizzare campagne di phishing, creare malware polimorfico o imitare il comportamento legittimo del sistema per eludere il rilevamento.
Raccomandazioni politiche
L’uso dell’IA generativa per la cybersecurity deve essere incorporato nel più ampio quadro delle politiche IA, sia a livello aziendale/istituzionale che nazionale.
Ciò include la supervisione etica e l’allineamento delle politiche, garantendo che l’uso dell’IA sia conforme a standard di privacy, sicurezza e responsabilità.
Attenzione tecnica dovrebbe essere dedicata anche alla pianificazione della resilienza, includendo test di recupero, politiche di backup e ridondanza del sistema.
I quadri esistenti dovrebbero aiutare a guidare l’implementazione di GenAI nel ransomware e negli sforzi più ampi di cybersecurity, come ISO/IEC 42001, NIST AI Risk Management Framework e le linee guida di conformità al EU AI Act.
È necessario considerare anche la capacità organizzativa, con un’integrazione progressiva dell’IA generativa a livello di competenza di cybersecurity presente in una determinata organizzazione come fattore limitante principale.
In generale, la strategia ideale è quella di apprendimento continuo, dove la conoscenza organizzativa derivante dagli incidenti viene integrata nei pipeline di riaddestramento dell’IA.
Considerazioni per gli investitori
Man mano che la tecnologia IA avanza insieme a una digitalizzazione sempre più diffusa, crescono anche le minacce e gli strumenti per contrastarle.
Nel complesso, la protezione contro il ransomware sta passando dalla rilevazione degli endpoint verso piattaforme di resilienza più ampie abilitate dall’IA che combinano rilevazione, simulazione, governance e risposta con l’intervento umano.
Ciò dovrebbe favorire un sistema di cybersecurity integrato e olistico che possa integrare tali strumenti IA senza problemi, fornendo ai modelli IA i dati e l’ambiente necessari per essere utilizzati al loro pieno potenziale.
Investire nella cybersecurity basata sull’IA
Crowdstrike
(CRWD )
CrowdStrike è stata fondata nel 2012 con un approccio cloud‑first alla cybersecurity, con un forte focus sui mercati B2B (business‑to‑business).
Il primo spostamento di CrowdStrike verso il cloud le ha permesso di essere in vantaggio nella protezione di questo tipo di dati, dimostrando un vantaggio competitivo importante per alimentare la sua crescita man mano che sempre più aziende passavano da server auto‑protetti on‑premise a server cloud.
Un punto chiave dell’offerta di CrowdStrike è che riunisce in un ambiente cloud ciò che prima era un panorama estremamente frammentato di soluzioni di sicurezza che dovevano essere integrate tra loro. L’azienda può fornire sicurezza a tutti i livelli dell’organizzazione, dai dispositivi individuali all’intera infrastruttura IT di un’azienda.
Fonte: CrowdStrike
Poiché la cybersecurity è qualcosa che deve essere profondamente integrata nelle operazioni di un’azienda, la scelta di un fornitore di cybersecurity è una decisione a lungo termine.
Ciò porta i ricavi di CrowdStrike a essere altamente prevedibili, con una ritenzione lorda del 98% dei suoi account utenti. Nel secondo semestre del 2026, l’azienda prevede una crescita del 40% del nuovo ARR netto (ricavi ricorrenti annuali).
L’azienda è ora un pioniere nella cybersecurity guidata da agenti IA, come lo è stata in passato nella cybersecurity basata sul cloud, incorporando già difese agentiche a tutti i livelli dei suoi sistemi.
Fonte: CrowdStrike
Un elemento chiave sarà anche fornire sicurezza agli agenti IA utilizzati per compiti personali e aziendali dagli utenti. Pur aumentando la produttività, questi agenti rappresentano anche un nuovo vettore di attacco per hacker e malware, e sistemi come quello di CrowdStrike diventeranno sempre più indispensabili per proteggere l’uso degli agenti IA.
Nel complesso, ciò offre all’azienda una enorme opportunità di crescita, soprattutto poiché detiene una posizione dominante nel segmento della cybersecurity cloud, quello più probabile a fornire la scala e la qualità dei dati necessari per implementare l’IA generativa e altre tecnologie IA per un utilizzo efficace della sicurezza digitale.
Fonte: CrowdStrike
Ultime CrowdStrike (CRWD) Notizie e Sviluppi delle Azioni
Studio citato
1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. Volume 101, settembre 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547
