Le minacce evolvono con una rapidità senza precedenti, richiedendo soluzioni sempre più sofisticate per proteggere dati e infrastrutture. Arctic Wolf, azienda statunitense fondata nel 2012, ha riconosciuto questa esigenza e ha integrato l’intelligenza artificiale (IA) nelle sue operazioni per affrontare le sfide emergenti nel campo della cybersecurity.
Arctic Wolf ha acquisito gli asset di sicurezza endpoint di Cylance, divisione di cybersecurity di BlackBerry, per potenziare le proprie capacità di protezione. L’azienda utilizza l’IA nel suo SOC per analizzare eventi e osservazioni provenienti da endpoint, sensori di rete e integrazioni con terze parti come CrowdStrike e SentinelOne. Questo approccio consente agli analisti di identificare e valutare in modo efficiente minacce potenziali, migliorando la capacità di risposta agli incidenti.
Tradizionalmente, i SOC si affidano a sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) che utilizzano regole predefinite per identificare minacce. Arctic Wolf, invece, impiega l’IA per generare dinamicamente queste regole, traducendo l’esperienza umana in sistemi automatizzati. Ad esempio, se viene rilevata una comunicazione sospetta tra un dispositivo interno e un server di comando e controllo, l’IA può intervenire per bloccare ulteriori comunicazioni, riducendo il rischio di compromissione.
Il team di Arctic Wolf adotta un approccio selettivo nell’applicazione dell’IA, basandosi su test preliminari che ne valutano l’efficacia. L’azienda riconosce che non tutte le attività beneficiano dell’automazione tramite IA; alcune richiedono l’intervento umano tempestivo. Pertanto, l’uso dell’IA è strategicamente orientato verso compiti specifici, ottimizzando le risorse e garantendo una risposta adeguata alle diverse tipologie di minacce.
Jeff Green, Senior Vice President of Engineering, sottolinea l’importanza di applicare l’IA in modo pragmatico, valutando caso per caso l’efficacia delle soluzioni. Questo approccio evita l’adozione indiscriminata di tecnologie non sempre necessarie, focalizzandosi su soluzioni che apportano valore concreto alla sicurezza informatica.