Quando due dei laboratori di intelligenza artificiale più avanzati al mondo scommettono sulla scoperta delle vulnerabilità con AI nello stesso mese, non si tratta di una tendenza. È un punto di svolta.
Il mese scorso Anthropic ha presentato il progetto Glasswing, costruito attorno a Claude Mythos, un sistema di AI incentrato sulla cybersicurezza e in grado di identificare autonomamente le vulnerabilità del software su larga scala. Quasi immediatamente, Mythos ha aiutato Mozilla a trovare e correggere 271 vulnerabilità in una singola release di Firefox.
La scorsa settimana OpenAI ha risposto con Daybreak. Sostenuto da Cisco, CrowdStrike, Palo Alto Networks e Akamai e basato sulle capacità agenziali di GPT-5.5-Cyber, Daybreak è progettato per automatizzare il rilevamento delle vulnerabilità, la verifica delle patch e lo sviluppo di software sicuro per le aziende enterprise e le amministrazioni pubbliche di tutto il mondo.
Il messaggio di entrambe le aziende è lo stesso: L’AI sta riducendo quasi a zero il tempo che intercorre tra la vulnerabilità e la divulgazione. Per i team IT e di sicurezza, questo cambia tutto.
Il collo di bottiglia non è più la scoperta
Per anni, il settore della sicurezza ha considerato la scoperta delle vulnerabilità come la parte più difficile del problema. Eseguire la scansione di più endpoint. Acquisire più dati. Correlare più CVE. La promessa implicita è sempre stata: se riusciamo a vedere tutto, saremo al sicuro.
Mythos ha individuato 271 vulnerabilità di Firefox in un solo passaggio, rivelando che la scoperta non rappresenta più il problema. Il fattore determinante è ciò che accade dopo aver trovato qualcosa.
Pensa al tipico flusso di lavoro di correzione in ambiente enterprise: I team eseguono una scansione pianificata delle vulnerabilità (spesso settimanale o mensile). Aspettano i risultati. Esportano i risultati in un foglio di calcolo o in un sistema di ticketing. Determinano quali dispositivi specifici sono interessati. Testano le patch in ambiente di staging. Approvano e distribuiscono manualmente e infine eseguono una nuova scansione per confermare.
Prima che l’AI diventasse la norma, questo processo richiedeva in genere dalle due alle quattro settimane. Ma in un mondo in cui Daybreak e Mythos possono far emergere nuove vulnerabilità sfruttabili in poche ore, quella stessa finestra di due-quattro settimane è un invito aperto. E ogni giorno in cui i flussi di lavoro di correzione rimangono manuali, frammentati e lenti, la finestra di esposizione non fa che aumentare.
La nuova equazione della sicurezza
Gli strumenti di scoperta basati su AI comprimeranno ulteriormente il divario di esposizione alle vulnerabilità (sta già accadendo). Le organizzazioni in grado di identificare le risorse interessate e di distribuire le correzioni in poche ore o minuti si troveranno in una categoria di rischio decisamente diversa rispetto a quelle che non sono in grado di farlo.
Oggi l’equazione della sicurezza è semplice: Tempo più rapido di rilevamento + tempo più rapido di correzione = finestra di esposizione più piccola
Gli scanner tradizionali e gli strumenti di patching disconnessi dagli altri flussi di lavoro hanno sempre avuto problemi con entrambi i lati di questa equazione. Le scansioni pianificate creano punti ciechi tra i cicli. I flussi di lavoro manuali delle patch introducono ritardi a ogni passaggio di consegne. Inoltre, spostare i risultati da uno scanner a uno strumento di patching e viceversa fa perdere tempo e introduce un inutile margine di errore.
Mentre l’AI accelera il processo di scoperta, la pressione sulla fase di correzione diventa sempre maggiore. Le organizzazioni meglio posizionate per limitare la loro finestra di esposizione e ottimizzare la resilienza non sono necessariamente quelle che hanno scoperto il maggior numero di vulnerabilità; sono quelle che agiscono sulle scoperte e le correggono più velocemente.
NinjaOne è stato progettato per arrivare pronto a questo momento
NinjaOne Vulnerability Management è stato progettato con una premessa diversa rispetto agli scanner tradizionali. Il suo design si basa sulla consapevolezza che il rilevamento e la correzione non dovrebbero vivere in sistemi separati e che la semplicità è di per sé un vantaggio per la sicurezza:
- Valutazione delle vulnerabilità continua e senza scansioni: Invece di affidarsi a scansioni pianificate che creano lacune tra un ciclo e l’altro, NinjaOne correla continuamente la telemetria dell’inventario software degli endpoint gestiti con le informazioni CVE in tempo reale. Non ci sono finestre di scansione. Nessun picco di prestazioni degli endpoint. Nessun punto cieco tra la scansione di martedì e quella del martedì successivo. Quando viene pubblicato un nuovo CVE, i dispositivi interessati vengono identificati in pochi minuti.
Questo aspetto è più importante oggi rispetto a un anno fa. Con l’accelerazione del ritmo di divulgazione da parte di Daybreak e Mythos, la differenza tra uno scanner che funziona settimanalmente e una piattaforma che correla continuamente si misurerà nell’impatto delle violazioni.
- Rilevamento che porta direttamente all’azione: La maggior parte degli strumenti di vulnerabilità si ferma alla dashboard. NinjaOne collega il rilevamento direttamente alla correzione. Dal momento in cui viene identificato un asset vulnerabile, i team IT possono passare alla distribuzione delle patch senza dover esportare dati, riorganizzare fogli di calcolo o cambiare piattaforma. Il ciclo di rilevamento e correzione si chiude in un unico flusso di lavoro.
Questo è il significato in termini pratici di “livello operativo di una piattaforma”: non necessariamente maggiore visibilità, ma meno tempo tra la scoperta e la correzione.
- Patch management autonomo: L’automazione delle patch basata sui criteri consente alle organizzazioni di distribuire le patch sugli endpoint su larga scala, senza bisogno di approvazione manuale in ogni fase. I team definiscono le regole relative a cosa deve essere patchato, ai tempi e alle modalità di esecuzione da parte della piattaforma. Per le organizzazioni che gestiscono centinaia o migliaia di endpoint, questo fa la differenza tra rispondere a un nuovo CVE critico in poche ore e non in settimane.
- Patch Intelligence AI: La velocità è importante, ma lo è anche la stabilità. Uno dei costi nascosti del patching rapido è il rischio di distribuire un aggiornamento che introduce nuovi problemi, per esempio un aggiornamento di Windows difettoso che genera errori blue screen, o una patch che interrompe il funzionamento di un’applicazione business-critical.
NinjaOne Patch Intelligence AI affronta direttamente questo problema. Analizzando gli avvisi di Microsoft, i segnali della community e la telemetria di distribuzione anonimizzata del mondo reale, classifica gli aggiornamenti di Windows come “Sembra stabile”, “Problemi noti” o “Attenzione” e può sospendere automaticamente la distribuzione degli aggiornamenti ad alto rischio prima che abbiano un impatto sui sistemi di produzione.
In un mondo in cui l’intelligenza artificiale genera patch più velocemente che mai, la capacità di verificarne la stabilità prima della distribuzione diventa sempre più essenziale.
- Copertura dei dispositivi offline: Ecco uno scenario che gli scanner tradizionali non sono in grado di gestire. Un dispositivo era offline quando è stata eseguita l’ultima scansione. Se un nuovo CVE viene divulgato mentre il dispositivo è fuori dalla rete, non apparirà nei risultati della scansione (il che significa che potrebbe rimanere senza patch per un tempo indefinito).
La correlazione lato server di NinjaOne utilizza l’ultimo inventario software conosciuto, in modo che anche i dispositivi offline vengano valutati rispetto alle informazioni CVE correnti. Quando si riconnettono, sono già segnalati e pronti per la correzione.
Cosa comporta questo scenario per i team IT e di sicurezza di oggi
L’uscita di Daybreak merita attenzione, ma sottolinea una realtà più ampia. Gli strumenti che gli aggressori (e i difensori) utilizzano per trovare le vulnerabilità stanno diventando esponenzialmente più capaci. Le organizzazioni che rispondono migliorando il proprio stack di rilevamento (aggiungendo più scanner, più feed e più dashboard) saranno più brave a “sapere” di avere un problema. Ma le organizzazioni che costruiscono resilienza saranno quelle in grado di agire con successo per colmare il divario tra la scoperta e la correzione con velocità e sicurezza.
Per capire dove si posiziona la tua organizzazione, un buon quadro di riferimento è il seguente: Quanto tempo impiega il tuo team per passare da un nuovo CVE a una correzione confermata nel tuo intero parco endpoint?
Se la risposta sincera prevede fogli di calcolo, code di ticket e passaggi da una piattaforma all’altra, è qui che risiede la tua vera vulnerabilità.
- Se la tua organizzazione si affida ancora a cicli di scansione periodici, hai dei punti ciechi tra ogni finestra di scansione e queste finestre stanno diventando sempre più rischiose.
- Se il tuo flusso di lavoro di patching richiede interventi manuali per passare dal rilevamento alla distribuzione, ogni CVE rimane in coda mentre gli aggressori lavorano per sfruttare la stessa esposizione che tu stai provando a chiudere.
- Se i tuoi strumenti di vulnerabilità e di patching non condividono i dati in tempo reale, stai operando con un ritardo strutturale insito nel tuo processo.
NinjaOne elimina tutti questi colli di bottiglia all’interno di un’unica piattaforma. Valutazione continua in tempo reale. Patching integrato e guidato dai criteri. Verifica della stabilità basata su AI. Il tutto senza scansioni pianificate, senza impatto sulle prestazioni dell’agente o frammentazione di piattaforme, in modo che la tua organizzazione possa ricalibrare i processi di gestione delle vulnerabilità e di patch management per agire in modo rapido e sicuro, con una correzione in tempo reale. Soprattutto considerando che l’AI sta ridefinendo e ampliano il panorama della gestione delle vulnerabilità, le organizzazioni devono riconfigurare il loro approccio alla sicurezza di base.