L’intelligenza artificiale agentica a servizio della cybersicurezza, ma anche la cybersicurezza che protegge l’AI: le ultime novità di Palo Alto Networks coprono aspetti speculari, facendo leva sull’automazione per difendere i dati, le applicazioni e le architetture IT aziendali. Novità che si chiamano Cortex AgentiX, Cortex Cloud 2.0 e Prisma Airs 2.0.
Cortex AgentiX è un’evoluzione di Cortex Xsoar, la piattaforma per l’orchestrazione della sicurezza di Palo Alto, rivolta al personale dei Security Operations Center e ai fornitori di servizi gestiti. Nella nuova tecnologia AgentiX sono racchiusi due vantaggi: l’automazione, resa possibile da capacità di intelligenza artificiale agentica, ma anche il superamento della frammentazione dei flussi di lavoro di Soc.
AgentiX racchiude una serie di agenti AI predefiniti che operano a supporto del personale (e in particolare degli analisti dei Soc), in quanto capaci di “pianificare, ragionare ed eseguire soluzioni in modo dinamico, proprio come farebbe un esperto”, ha affermato Palo Alto. Utilizzandoli è possibile abbattere drasticamente i tempi di riparazione o ripristino dopo un incidente, ovvero il Mttr (Mean Time To Repair) si riduce del 98% ed è possibile evitare il 75% del lavoro manuale altrimenti necessario.
Palo Alto sottolinea altri due aspetti, ovvero la sicurezza e l’efficacia di AgentiX. Si possono impostare controlli di accesso basati sui ruoli e procedure di approvazione “umana” per determinate azioni portate avanti dall’intelligenza artificiale. Per quanto riguarda l’efficacia, AgentiX si distingue da alternative soluzioni della concorrenza perché non ragiona “a silos”, automatizzando singole attività dei Soc. Al contrario, la tecnologia di AgentiX può automatizzare interi flussi di lavoro, essendo basata su 1,2 miliardi di esecuzioni di playbook reali (raccolti da Palo Alto in dieci anni di attività) e includendo oltre un migliaio di integrazioni predefinite e il supporto nativo per il Model Context Protocol.
“Attivare agenti autonomi senza un controllo rigoroso può essere pericoloso”, ha detto Gonen Fink, executive vice president of Products, Cortex di Palo Alto Networks. “Ecco perché abbiamo sviluppato AgentiX sulla nostra collaudata piattaforma Cortex: offriamo tutta la potenza dell’agentic AI con il controllo, la tracciabilità e la gestione dei permessi che ogni azienda richiede. Non si tratta solo di automazione, ma della fine del lavoro manuale gravoso per permettere agli esperti di trasformare il Soc, non solo rispondere agli alert”.
Al momento Cortex AgentiX già include una serie di agenti AI specializzati per diverse attività. L’agente di Threat Intelligence aggrega e arricchisce l’intelligence sulle minacce per rilevare casi correlati e tecniche emergenti degli avversari; quello di Email Investigation automatizza la risposta, l’analisi e il contenimento delle minacce che arrivano tramite posta elettronica; l’agente di Endpoint Investigation fornisce analisi rapide, raccolta forense e contenimento degli host sulle principali piattaforme Edr; quello di Network Security: orchestra la risposta alle minacce, il controllo delle policy e la gestione della rete sui firewall Palo Alto Networks e di terze parti; l’agente di Cloud Security protegge gli ambienti cloud in logica “end-to-end”, dalla correzione delle vulnerabilità alla protezione delle applicazioni, fino al rilevamento e alla risposta alle minacce; l’agente IT semplifica le operations IT aziendali automatizzando aggiornamenti, patching, risoluzione dei problemi e onboarding degli utenti.
E non è tutto: la piattaforma di Palo Alto consente anche di creare in modalità no-code degli agenti personalizzati. Per questo c’è uno strumento builder, basato su GenAI, che fa leva su oltre mille integrazioni predefinite e sul supporto nativo per il Model Context Protocol.
Le novità per la protezione del cloud e dei modelli AI
Palo Alto ha anche presentato Cortex Cloud 2.0, evoluzione della propria piattaforma Cnapp (Cloud-Native Application Protection Platform): la novità importante è la possibilità di integrare in Cortex Cloud gli agenti basati su AgentiX. L’interfaccia del Cloud Command Center è stata riprogettata e ora, anziché proporre una serie di alert disconnessi tra loro, la soluzione propone delle dashboard basate su profili utente: qui vengono visualizzati insight immediati e attuabili su asset cloud, rischi critici e minacce attive, con suggerimenti sulle azioni di rimedio da applicare.
Tra gli annunci di prodotto c’è anche Prisma Airs 2.0, nuova versione di quella che Palo Alto definisce come “la piattaforma di sicurezza AI più completa del settore”, che protegge tutte le interazioni tra modelli di AI, agenti, dati e utenti. Rispetto alla prima versione, qui è stata integrata la tecnologia dell’acquisita Protect AI. Prisma Airs 2.0 include, innanzitutto, strumenti di protezione degli agenti AI, ovvero difende dal rischio di prompt injection, utilizzo improprio di strumenti e comportamento “dannoso” dei sistemi di intelligenza artificiale. Viene realizzato un inventario di ogni agente AI in uso, sia esso autorizzato dall’IT oppure no.
C’è poi un modulo di AI Red Teaming, che in modo continuo (in tempo reale, anziché a cadenza periodica) e autonomo va alla ricerca di vulnerabilità nelle applicazioni di AI generativa, considerando oltre 500 attacchi specializzati. Infine il modulo di AI Model Security, che esegue un’analisi approfondita dei modelli di intelligenza artificiale per trovare eventuali minacce sfuggite agli scanner tradizionali, per esempio backdoor architetturali, avvelenamento dei dati e codice malevolo nascosto. Viene realizzato un elenco completo di tutti gli elementi del sistema di intelligenza artificiale, inclusi architettura del modello, dataset di addestramento, licenze open-source e dipendenze software.
“L’AI sta trasformando ogni azienda, creando opportunità straordinarie ma anche nuovi rischi”, ha commentato Anand Oswal, executive vice president of Network Security di Palo Alto. “Prisma Airs 2.0 colma questo divario, unendo in un’unica piattaforma ispezione approfondita dei modelli, difesa in tempo reale degli agenti e red teaming continuo”.