Il rilevamento basato sull'intelligenza artificiale colma le lacune relative alle vulnerabilità zero-day e ai tempi di latenza nella vostra pipeline di sicurezza

Ogni pipeline di file aziendale nasconde un’inefficienza. I processi MFT Managed File Transfer), i proxy ICAP Internet Content Adaptation Protocol), gli allegati e-mail, i portali di upload dei clienti e i trasferimenti di dati tra domini condividono una realtà statistica: circa il 99,9% dei file che li attraversano sono dati aziendali puliti. Lo 0,1% di file dannosi è l’unica ragione per cui la pipeline esiste. Ogni file paga lo stesso “prezzo in termini di sicurezza” indipendentemente dal rischio, e proprio questa uniformità costituisce l’inefficienza.

Il primo ostacolo è la latenza. Un file in coda dietro a decine di altri durante l’ora di punta mattutina attende il proprio turno per essere sottoposto a una scansione completa, indipendentemente dal fatto che si tratti di un semplice foglio di calcolo o di un eseguibile sconosciuto. Nel settore bancario e dei servizi finanziari, tale ritardo si traduce direttamente in transazioni bloccate, elaborazione più lenta e bonifici in attesa di essere scansionati. Secondo il sondaggio SANS 2025 Detection and Response Survey, i tempi di risposta sono diventati una delle principali sfide per il 53% dei team di sicurezza, in aumento rispetto al 45% dell’anno precedente.

Il secondo problema è rappresentato dai falsi positivi. La maggior parte dei motori di sicurezza basati sull’apprendimento automatico è ottimizzata per il recall: intercettare tutto, accettando il rumore di fondo. Questo compromesso funziona su un endpoint. In una pipeline di file, un falso positivo blocca un file aziendale legittimo, innesca un allarme non necessario al SOC (Security Operations Center) e mina la fiducia degli analisti che rende possibile l’automazione. Lo stesso sondaggio SANS ha rilevato che i falsi positivi rappresentano ora la principale sfida di rilevamento per il 73% degli intervistati.

Predictive Alin AI è il motore di rilevamento malware basato sull'intelligenza artificiale OPSWAT per il rilevamento zero-day pre-esecuzione, progettato per identificare i file dannosi prima che vengano eseguiti, utilizzando l'analisi basata sull'apprendimento automatico delle caratteristiche strutturali e comportamentali dei file. Il motore non si basa su firme, conoscenze pregresse di una minaccia specifica o test in sandbox per giungere a una conclusione. Predictive Alin AI analizza gli indicatori strutturali che rivelano l'intento dannoso prima ancora che venga eseguita una singola istruzione.

I motori antivirus tradizionali funzionano sulla base di un elenco. Se una firma corrisponde a una minaccia nota, il file viene segnalato. Con 450.000 nuovi campioni di malware che compaiono ogni giorno, secondo AV-TEST.org, tale elenco è sempre un passo indietro. L’intelligenza artificiale predittiva di Alin adotta un approccio diverso, estraendo e analizzando le caratteristiche strutturali che i file dannosi lasciano dietro di sé, indipendentemente dal fatto che siano già stati rilevati in precedenza.

Il motore valuta caratteristiche quali:

• Intestazioni dei file, sezioni e struttura generale

• Modelli di entropia e indicatori di codice compatto

• Punti di ingresso e caratteristiche del flusso di controllo

• Metadati e tabelle di importazione

Si tratta degli indicatori che una minaccia incorpora nella struttura del proprio file, presenti indipendentemente dal fatto che quella specifica minaccia sia già stata rilevata in precedenza. Un file creato per eludere il rilevamento deve comunque essere generato, e tale processo presenta degli schemi che un modello addestrato è in grado di interpretare.

La maggior parte dei motori di sicurezza basati sull'apprendimento automatico è ottimizzata per il richiamo: segnalano il maggior numero possibile di casi e accettano i falsi positivi come costo da sostenere per garantire la copertura. OPSWAT una scelta ingegneristica opposta con Predictive Alin AI. Il motore è ottimizzato innanzitutto per la precisione, con l'obiettivo di raggiungere un tasso di falsi positivi dello 0,01%. Quando Predictive Alin AI emette un verdetto, tale verdetto è concepito per essere considerato attendibile e per essere messo in atto senza necessità di revisione umana.

Tale precisione si estende in entrambe le direzioni. La stessa analisi che riconosce i marcatori strutturali di un file dannoso riconosce anche quelli di un file pulito. È proprio questa affidabilità bidirezionale a rendere possibile il caso d’uso “Deflection”, trattato in dettaglio nella sezione successiva.

Predictive Alin AI fornisce risultati in meno di 15 millisecondi al P50 per i file PE, con prestazioni al P90 comprese tra 10 e 22 millisecondi per tutti i tipi di file e inferiori a 100 millisecondi al P99 per formati complessi, inclusi i PDF. Attualmente sono supportati quattro formati: PE, PDF, Mach-O ed ELF, con l’intenzione di ampliare il supporto dei formati in futuro. Il verdetto viene emesso prima ancora che l’utente si accorga che il file è stato caricato, rendendo la protezione in linea pratica senza creare colli di bottiglia nella pipeline.

Il rilevamento dimostra che il sistema funziona. Ogni zero-day segnalato correttamente costituisce un dato che contribuisce a costruire il track record necessario per agire in senso opposto. Una volta instaurata tale fiducia, la stessa soglia di precisione utilizzata per segnalare i file dannosi può essere applicata per dichiarare puliti quelli innocui con la stessa sicurezza.

Quando Predictive Alin AI emette un verdetto di sicurezza con un alto livello di affidabilità, il file segue un percorso abbreviato verificato. Esso bypassa Multiscanning Metascan™ Multiscanning viene indirizzato direttamente alla tecnologia Deep CDR™ per la sanificazione prima della consegna. Quando Predictive Alin AI non è certa, il file segue il percorso completo: scansione multipla con un massimo di 30 motori, tecnologia Deep CDR™ e un verdetto completo prima della consegna. Ogni file viene sottoposto a un verdetto finale. La deviazione modifica solo il percorso, non il risultato.

Questo aspetto è particolarmente importante durante i picchi di carico. I picchi mattutini di e-mail, i trasferimenti batch di fine giornata e i picchi di upload dopo gli annunci sono proprio i momenti in cui le code si allungano e i tempi di risposta aumentano. Il deflection smista il traffico noto come valido già in fase di ingresso, in modo che il resto della pipeline non debba mai assorbire l'ondata.

La deviazione non riduce il livello di controllo. La filosofia “Trust no file. Trust no device.™” su cui si basa MetaDefender® rimane immutata. Nessun file viene considerato sicuro a priori. La deviazione è un’azione prudente: quando il motore è certo, interviene; in caso di dubbio, il file viene sottoposto a un percorso più lungo. L’ambiguità non viene mai risolta a livello di deviazione.

Secondo il sondaggio SANS 2025 Detection and Response Survey, i falsi positivi rappresentano la principale sfida in materia di rilevamento per il 73% dei team di sicurezza, con una percentuale di quelli che li riscontrano a livelli molto elevati che è salita al 20% dal 13% dell’anno precedente. Ogni falso positivo equivale a un analista distolto da una minaccia reale, a un file innocuo bloccato in un flusso di lavoro legittimo e a un’erosione progressiva della fiducia nel sistema di rilevamento stesso.

I team del SOC (Security Operations Center) che gestiscono flussi di file ad alto volume si trovano ad affrontare un problema che si aggrava progressivamente: più file passano attraverso il flusso, più avvisi genera il sistema di rilevamento e più diventa difficile distinguere il segnale dal rumore. Quando gli analisti trascorrono il proprio turno a eliminare i falsi positivi, le minacce reali hanno più tempo per agire. Il collo di bottiglia del SOC è il collo di bottiglia del rilevamento.

Per approfondire come un’analisi più intelligente riesca a spezzare questo circolo vizioso, consulta: “SOC Bottleneck: Breaking the Alert Fatigue Cycle with Smarter Sandboxing”.

Il divario di rilevamento e quello di latenza non sono limitati a un singolo settore. Nei settori manifatturiero, energetico e pubblico, tali divari si manifestano in contesti operativi diversi. La tabella sottostante illustra l’esposizione specifica di ciascun settore alle funzionalità offerte da Predictive Alin AI.

L'utilizzo dell'intelligenza artificiale predittiva Alin nei vari settori industriali

Le organizzazioni del settore dei servizi finanziari gestiscono alcuni dei flussi di file con i volumi più elevati in assoluto in qualsiasi settore. I portali di caricamento dei clienti, i flussi di lavoro di acquisizione dei documenti e i trasferimenti tra domini generano tutti un traffico continuo di file, e ogni avviso non necessario distoglie l’attenzione di un analista da una minaccia reale. Secondo il sondaggio SANS, i falsi positivi rappresentano la principale sfida in materia di rilevamento per il 73% dei team di sicurezza, con una percentuale di quelli che li riscontrano a livelli molto elevati che è salita al 20% dal 13% dell’anno precedente.

L'intelligenza artificiale predittiva Alin AI riduce il volume degli avvisi alla fonte, privilegiando la precisione piuttosto che il richiamo. Un verdetto di cui il SOC può fidarsi è un verdetto che il SOC può automatizzare, consentendo agli analisti di concentrarsi sui casi che richiedono effettivamente un'indagine.

Gli ambienti di produzione devono affrontare un problema specifico legato all’ingresso di minacce. Gli aggiornamenti del firmware, gli artefatti di compilazione e i pacchetti software forniti da terze parti arrivano sotto forma di file prima ancora di diventare minacce. Quando un pacchetto dannoso raggiunge un sistema OT, il danno è già all’interno del perimetro. L’intelligenza artificiale predittiva di Alin intercetta questi file al perimetro, emettendo un verdetto prima dell’esecuzione prima che vengano introdotti negli ambienti di produzione. Integrato in MetaDefender , la piattaforma avanzata OPSWATper il rilevamento e la prevenzione delle minacce, il motore aggiunge un livello di intelligenza predittiva ai flussi di lavoro di acquisizione esistenti senza richiedere modifiche architetturali.

Gli operatori del settore energetico e dei servizi pubblici gestiscono alcuni degli ambienti con le maggiori limitazioni di connettività nell’ambito delle infrastrutture critiche. Molti approcci di rilevamento perdono efficacia nelle implementazioni “air-gapped”, poiché si basano su consultazioni nel cloud o su telemetria esterna che semplicemente non sono disponibili. Predictive Alin AI funziona completamente offline con la stessa precisione del 99,99% delle implementazioni cloud, senza richiedere connettività esterna né consultazioni cloud per mantenere tali prestazioni. I pacchetti di aggiornamento sul campo e il software fornito dai produttori possono essere ispezionati a livello perimetrale prima che raggiungano le operazioni di rete o dell’impianto, con verdetti che arrivano in millisecondi indipendentemente dall’isolamento della rete.

Gli ambienti governativi e della difesa operano in presenza di due vincoli simultanei: rigidi obblighi di conformità che impongono che nulla venga trasferito senza essere stato prima esaminato e architetture di rete che impediscono la connettività esterna. Questi vincoli hanno storicamente costretto a scegliere tra una scansione approfondita e la velocità operativa. L’intelligenza artificiale predittiva di Alin risolve entrambi i problemi fornendo un rilevamento zero-day prima dell’esecuzione che:

• Funziona completamente offline in ambienti isolati e tra domini diversi

• Soddisfa i requisiti di rilevamento ad alta affidabilità senza ricorrere alla detonazione in sandbox

• Si integra con le implementazioni esistenti MetaDefender , MetaDefender File Transfer™ e MetaDefender

• Si migliora costantemente grazie a un ciclo di aggiornamento continuo “zero-day” basato su MetaDefender , senza che sia necessaria una connessione attiva per farlo

Scopri Predictive Alin AI in azione

Il webinar “Scan What Matters” illustra come l’IA predittiva di Alin colmi sia il divario nel rilevamento delle vulnerabilità zero-day sia quello relativo alla latenza della pipeline, con una dimostrazione dal vivo del caso d’uso della deviazione e delle metriche di precisione in produzione. Guarda la registrazione on demand quando preferisci.

Valuta le prestazioni del tuo programma di rilevamento

Il sondaggio SANS 2025 sul rilevamento e la risposta, sponsorizzato da OPSWAT, illustra come oltre 300 professionisti della sicurezza nei settori bancario, pubblico, sanitario e manifatturiero stiano ripensando il rilevamento di fronte all’aumento dei falsi positivi, alla “fatica da allerta” e all’esposizione agli attacchi zero-day. Scarica il rapporto completo per capire a che punto è il tuo programma.