La cybersicurezza come codice: come l'IA trasforma sia gli attaccanti sia i difensori

Il costo di un attacco credibile è crollato più in fretta del costo della difesa contro di esso.

Il phishing un tempo esigeva di saper scrivere. Ora basta una consegna. L'attaccante scrive una riga nella sua lingua madre; un modello produce un messaggio perfettamente idiomatico e contestualmente plausibile nella lingua del bersaglio, adattato al suo datore di lavoro, alla sua posizione e alla sua impronta pubblica. Il costo di produzione di quel messaggio è essenzialmente nullo. Il costo di un dipendente che ci casca, invece, non è cambiato.

Non è un'ipotesi. È la realtà operativa che osserviamo nelle caselle di posta dei nostri clienti. Il volume di phishing di alta qualità è aumentato di circa un ordine di grandezza in diciotto mesi. Anche il tasso di conversione è aumentato, più lentamente però, perché alcune difese funzionano ancora.

Il lavoro del difensore consiste nel rendere le difese che funzionano ancora meno costose da deployare, più rapide da far evoluire e più difficili da aggirare. È un lavoro di ingegneria, non un lavoro di sensibilizzazione.

In SDEN, il lavoro di sicurezza prende tre forme. Anzitutto, la sicurezza applicata dentro una consegna: threat modeling fin dal design, analisi delle dipendenze nella continuous integration, rilevamento dei segreti, release firmate, architettura sicura di default. È la forma meno costosa e più efficace, perché elimina intere classi di vulnerabilità prima ancora che esistano.

Poi, i progetti autonomi: audit, penetration test inquadrati sull'OWASP Top 10 e i livelli ASVS, roadmap di remediation e risposta agli incidenti. Sono i progetti per cui i clienti di norma ci chiamano, e l'audit rivela di solito che le correzioni meno costose si collocano nel livello di design con cui il sistema non è mai stato costruito.

Infine, il lavoro di compliance: SOC 2, GDPR, preparazione alla ISO 27001, preparazione a SOC 2. La compliance non è la sicurezza; è la documentazione che prova che hai preso la sicurezza sul serio. Le trattiamo come discipline distinte che si illuminano l'una con l'altra.

Dal lato difensivo, l'IA trasforma tre parti del lavoro. Trasforma il rilevamento, facendo emergere anomalie in un volume di log che nessun team umano può leggere manualmente. Trasforma il triage, raggruppando gli alert e proponendo la catena di eventi più probabile da esaminare per prima. E trasforma l'hardening, automatizzando le parti tediose della code review e dell'audit di configurazione.

Ciò che non cambia è la risposta agli incidenti. Quando l'alert è reale e i dati lasciano la rete, il lavoro rientra nel giudizio sotto pressione, nella responsabilità della decisione e nella comunicazione con persone la cui carriera dipende dal fatto che venga detta loro la verità. Niente di tutto questo è delegabile.

Il pattern è lo stesso di ovunque altro nel blog: l'IA gestisce il volume; gli umani gestiscono il giudizio. Il lavoro di ingegneria consiste nell'assicurarsi che lo snodo tra i due regga sotto la pressione.

La maturità in sicurezza si misura il giorno in cui l'alert è reale.

Una postura di sicurezza matura non è visibile dall'esterno. Assomiglia a un team tranquillo che sa dove sono i suoi dati, chi può accedervi, come quell'accesso è registrato e cosa succederebbe se uno di essi lasciasse la rete. Assomiglia a un runbook di intervento che qualcuno legge davvero quando l'alert scatta. Assomiglia a un audit i cui riscontri sono tracciati nello stesso sistema di ticket del resto del lavoro di ingegneria.

Il vero test non è il report di penetration test. È l'esercizio di risposta agli incidenti: una simulazione su tavolo che svolge uno scenario realistico ed espone gli snodi tra i team, le decisioni e le comunicazioni. Li conduciamo con i nostri clienti su ogni progetto di lunga durata. Il primo è sempre scomodo. Il terzo è il deliverable.

Dopo di che, la sicurezza diventa ciò che dovrebbe essere: una proprietà del sistema, e non un progetto da rifare ogni anno.