.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Nonostante tutto il rumore che circonda la cosiddetta “agentic AI” nella cybersecurity, i Security Operations Center (SOC) continuano a confrontarsi con le stesse domande fondamentali: cosa migliora davvero l’AI oggi? Dove mostra i suoi limiti? E come possono le organizzazioni distinguere tra le due cose?
Nel recente webinar di Sophos, “The Agentic SOC: Separating Signal from Noise”, Kyle Falkenhagen, Senior Vice President of Product Management, ha offerto una delle spiegazioni più chiare e trasparenti di entrambi gli aspetti. In modo cruciale, si è concentrato su ciò che i team di difesa stanno realmente vivendo sul campo — non sulle promesse sensazionalistiche che hanno invaso il mercato.
In un contesto in cui quasi tutti i fornitori di cybersecurity dichiarano ormai di offrire qualche forma di AI, e molti hanno semplicemente “riverniciato” strumenti tradizionali come se fossero basati sull’intelligenza artificiale, questa distinzione è diventata più importante che mai.
Crescita del mercato vs realtà operativa
Nonostante l’esplosione di strumenti etichettati come AI, relativamente poche organizzazioni li utilizzano realmente. Come sottolineato da Falkenhagen, Gartner stima che meno di un quarto delle aziende utilizzi attualmente strumenti di cybersecurity potenziati dall’AI, anche se il clamore attorno a queste tecnologie è più forte che mai.
Questa discrepanza crea un dilemma. Molti SOC sentono la pressione di “fare qualcosa con l’AI”, ma la maggior parte sta ancora valutando dove — o se — inserirla. E dietro l’hype si cela una verità pratica: i team SOC sono già sotto forte pressione.
I falsi positivi restano il problema principale per la maggior parte dei team, e il volume di alert continua a superare ciò che gli analisti umani possono realisticamente gestire.
Sono proprio queste sfide operative a rendere l’AI utile oggi. Se implementata in modo corretto, l’AI aiuta i team a concentrarsi sulle minacce reali invece che sul flusso continuo di eventi innocui.
Dove l’AI sta davvero facendo la differenza
Il primo ambito in cui l’AI ha raggiunto una maturità significativa è il rilevamento (detection) — non tanto nelle capacità generative che attirano i titoli, quanto negli anni di investimenti in modelli comportamentali, machine learning ed elaborazione del linguaggio naturale (NLP) che operano silenziosamente in background. Come ha dichiarato Falkenhagen:
“L’AI nel rilevamento non è una novità e non è un hype. Sta migliorando silenziosamente i prodotti di sicurezza da anni.”
Questa base supporta oggi nuovi livelli di automazione nella gestione degli alert. Qui l’AI può aiutare analizzando enormi volumi di dati in tempo reale, assegnando priorità agli alert in base al contesto dell’organizzazione e inoltrando agli analisti solo quelli realmente rilevanti. Solo Sophos genera oltre 34 milioni di rilevamenti al giorno.
“Il report SANS 2025 Detection and Response ha rilevato che il 73% dei team di sicurezza indica i falsi positivi come principale sfida, in crescita rispetto agli anni precedenti,” ha affermato Falkenhagen. “Non è un fastidio marginale. È il problema operativo centrale… e il panorama delle minacce lo sta aggravando.”
Invece di gestire un flusso incontrollato di alert, i team ricevono una coda filtrata e contestualizzata — permettendo di iniziare prima e più rapidamente le attività di sicurezza.
Lo stesso vale per le indagini. L’AI può correlare dati provenienti da log, endpoint, sistemi di autenticazione e rete molto più velocemente degli esseri umani. Durante il webinar, Falkenhagen ha spiegato come oggi le indagini assistite dall’AI costruiscano automaticamente timeline, evidenzino indicatori rilevanti e traccino catene di attacco basate sulle identità — spesso in pochi minuti.
Per i team abituati a ricostruire manualmente le evidenze tra diversi strumenti, questo cambiamento è significativo. Non elimina il giudizio umano, ma accelera tutte le fasi precedenti alla sua applicazione.
Con l’88% degli attacchi ransomware che avviene fuori dall’orario lavorativo, l’AI agentica offre una vigilanza continua che gli esseri umani non possono sostenere. E con il 59% delle organizzazioni che affronta gravi carenze di competenze, l’AI amplia le capacità dei team, consentendo di individuare e contenere le minacce critiche indipendentemente dal momento in cui si verificano.
Anche le query in linguaggio naturale stanno abbassando la barriera d’ingresso per gli analisti junior che non hanno una profonda conoscenza dei SIEM. Richiedere “tutti gli account con più di 50 tentativi di accesso falliti nell’ultima ora” diventa un’interazione in linguaggio naturale, invece di una query complessa su più righe.
“L’AI diventa un livellatore. Offre agli analisti meno esperti un livello di contesto e guida investigativa che prima richiedeva anni di esperienza,” ha affermato Falkenhagen.
Cosa l’AI non fa ancora bene
Nonostante questi progressi, l’AI presenta ancora dei limiti, e un eccessivo affidamento su questi strumenti può comportare nuovi rischi.
Il primo limite è il contesto di business. L’AI può suggerire azioni di contenimento, ma non può comprenderne le conseguenze operative.
“L’AI non conosce il tuo business,” ha detto Falkenhagen.
Ad esempio, spegnere un server compromesso può essere tecnicamente corretto, ma disastroso per i ricavi se fatto nel momento sbagliato.
L’AI fatica anche a gestire la vera novità. Minacce che escono dagli schemi esistenti — zero-day, nuove tecniche di social engineering, insider threat — richiedono spesso il ragionamento umano.
C’è poi il problema dell’erosione delle competenze. Se gli analisti si limitano ad approvare decisioni dell’AI invece di costruire indagini, le loro capacità possono deteriorarsi. Gartner avverte che fino al 75% dei team SOC potrebbe affrontare questo rischio entro il 2030.
“Avremo una generazione di professionisti della sicurezza in grado di supervisionare l’AI ma non di operare senza di essa,” ha affermato Falkenhagen.
Infine, c’è il tema della comunicazione. L’AI può suggerire azioni, ma non è ancora in grado di gestire conversazioni con gli stakeholder, notifiche di violazioni o briefing per il management. Queste attività richiedono sensibilità, empatia e una profonda comprensione dell’impatto sul business.
Separare ciò che è reale da ciò che è solo rebranding
Cosa significa tutto questo per le organizzazioni che vogliono valutare strumenti basati sull’AI?
La prima domanda da porsi è: come funziona davvero l’AI? Non dal punto di vista del marketing, ma da quello architetturale. Se un fornitore non è in grado di spiegare modelli, fonti dati o logiche decisionali, è un campanello d’allarme.
Inoltre, è importante capire quali principi la guidano. L’AI deve essere centrata sull’uomo, trasparente e responsabile, altrimenti rischia di introdurre nuovi problemi invece di risolverli. I responsabili SOC dovrebbero verificare la presenza di supervisione umana e la possibilità di intervenire facilmente sul sistema.
La terza domanda è la più semplice — e spesso la più rivelatrice: cosa succede quando l’AI sbaglia?
“Se un fornitore non sa spiegare come funziona la sua AI, quali principi la guidano e cosa accade quando sbaglia — è meglio andare oltre. Queste tre domande permettono di distinguere il reale dal rumore più rapidamente di qualsiasi report di analisti,” ha affermato Falkenhagen.
Vuoi saperne di più su come Sophos utilizza l’AI in tutti i suoi prodotti e servizi? Consulta il nostro Solution Brief. Puoi anche guardare il webinar completo disponibile on demand.
