CrowdStrike: cyber attacco e difesa umana al Cybertech
CrowdStrike risponde al cyber attacco con un SOC agentico e AI, per individuare minacce complesse, proteggere il cloud e rafforzare la difesa delle aziende.
Durante il Cybertech Europe 2025 di Roma, Luca Nilo Livrieri, Director Sales Engineering Southern Europe di CrowdStrike, ci ha illustrato come l’azienda stia affrontando le nuove sfide della sicurezza informatica in un’era dominata dall’intelligenza artificiale. Un approccio che, pur abbracciando le tecnologie più avanzate, non dimentica mai il ruolo cruciale dell’elemento umano per contrastare un cyber attacco.
Luca Nilo Livrieri L’essere umano rimane al centro delle strategie di difesa di CrowdStrike, che sia uno specialista IT o un utente generico. Un esempio emblematico: il dipendente che riceve una telefonata condotta da un’AI rappresenta la prima linea di difesa per riconoscere un tentativo di vishing e bloccarlo prima che il cyber criminale possa sottrarre identità e dati aziendali. Anche la tecnologia più sofisticata, insomma, non può sostituire la vigilanza e la consapevolezza dell’utente, che deve essere costantemente formato.
Gli scenari attuali della cybersecurity
Secondo il CrowdStrike Threat Hunting Report 2025, gli attaccanti stanno sfruttando l’AI generativa su larga scala per amplificare le loro operazioni e accelerare gli attacchi. Oltre 320 aziende sono state violate da gruppi legati alla Corea del Nord attraverso offensive potenziate dall’intelligenza artificiale. Il gruppo Famous Chollima, in particolare, ha automatizzato l’intero ciclo di cyber attacco dall’interno delle organizzazioni target: dalla creazione di curriculum falsi fino alla conduzione di colloqui tramite deepfake.
Ma c’è di più. Gli attaccanti stanno ora prendendo di mira proprio gli agenti AI autonomi che le aziende stanno implementando. Il report documenta anche l’emergere di malware sviluppato con AI generativa: Funklocker e SparkCat rappresentano le prime prove concrete che questa minaccia, fino a poco tempo fa solo teorica, è ormai realtà.
Le sfide per le aziende sono rese ancora più ardue dalla velocità degli attaccanti, che utilizzano tecniche sempre più sofisticate. L’AI si rivela uno strumento potentissimo per generare contenuti ingannevoli, specialmente nel phishing e nel vishing, quest’ultimo raddoppiato come numero di casi nel 2025 rispetto all’anno precedente.
Una volta ottenute le credenziali di accesso attraverso queste tecniche di inganno, i cyber criminali compiono intrusioni che nell’81% dei casi non contengono malware, rendendo il cyber attacco molto più veloce ed efficace.
Luca Nilo Livrieri Particolarmente preoccupante è l’escalation degli attacchi alle infrastrutture cloud, aumentati del 136% anno su anno secondo i dati raccolti dagli analisti di threat hunting di CrowdStrike. Gli attaccanti cinesi sono responsabili del 40% di questa crescita. L’interesse per il cloud si spiega facilmente: l’accesso a queste infrastrutture consente di ottenere una quantità enorme di informazioni, dalla posta elettronica all’Active Directory, fino alla gestione delle applicazioni. Inoltre, questo tipo di cyber attacco risulta molto meno visibile. Un caso esemplare è quello di Scattered Spider, che una volta penetrato nell’infrastruttura cloud ha cancellato le notifiche di autenticazione multifattoriale all’utente compromesso, facendo letteralmente passare sotto traccia l’intera operazione.
La carenza di competenze
Il settore della cybersecurity soffre cronicamente di uno skill gap e di una carenza di competenze. È una situazione nota che si traduce nella difficoltà, per le aziende più grandi e strutturate, di trovare personale adeguatamente preparato. A questo si aggiungono due sfide fondamentali: gestire una quantità sempre maggiore di dati e affrontare la crescente complessità architetturale delle soluzioni di sicurezza.
Sul fronte dei dati, le imprese ne consumano una mole tale da rendere difficile l’analisi e la detection degli incidenti. La complessità delle soluzioni di protezione, invece, costringe gli specialisti IT a monitorare più console contemporaneamente, rendendo sempre più arduo individuare gli indicatori di cyber attacco che si manifestano all’interno della rete.
Per rispondere a queste criticità, CrowdStrike sta lavorando alla costruzione di un SOC di nuova generazione, che nella sua implementazione più completa sarà un SOC agentico. Questo strumento aiuterà le aziende a identificare rapidamente gli attacchi, soprattutto quelli cross domain, ovvero quelle offensive multi dominio condotte in modo da sfruttare la complessità aziendale e insinuarsi nei silos delle attuali soluzioni di sicurezza. Il nuovo SOC offrirà alle imprese un unico centro di controllo, con visibilità completa su ogni tipologia di cyber attacco.
La strategia di CrowdStrike si articola su due fronti: da un lato aiutare le aziende a evolversi nella gestione degli attacchi grazie al SOC agentico, dall’altro supportare quelle realtà prive di strutture o personale dedicato, affiancandole direttamente attraverso il proprio sistema di servizi e la rete di partner. Questo approccio permetterà ai clienti di disporre di una soluzione di individuazione, investigazione e risposta sufficientemente veloce da rispettare la regola dell’1-10-60: un minuto per la detection, dieci per l’investigazione, sessanta per la remediation.
Gli annunci fatti al Fal.Con di Las Vegas
In occasione del Fal.Con 2025, l’evento organizzato da CrowdStrike a Las Vegas, l’azienda ha presentato numerose novità tecnologiche, a partire dalla rinnovata piattaforma Falcon, che si basa su quattro pilastri fondamentali: Enterprise Graph, Charlotte AI AgentWorks, Agentic Security Workforce e un sistema agentico integrato.
Enterprise Graph rappresenta il cuore della piattaforma, definito dal marchio come il data layer pronto per l’AI più ricco del settore. Unifica la tecnologia a grafo pionieristica di CrowdStrike con la telemetria dell’intera azienda, creando un modello dell’organizzazione con un linguaggio di query comune costruito per l’intelligenza artificiale.
Charlotte AI AgentWorks è la prima piattaforma no-code del settore che permette a ogni team di sicurezza di diventare creatore di AI. Utilizzando il linguaggio naturale, i difensori possono impostare la missione, definire i dati e controllare il comportamento degli agenti senza scrivere una singola riga di codice. Ogni agente eredita automaticamente la telemetria, l’intelligence e la governance di Falcon.
Agentic Security Workforce comprende sette agenti mission-ready, ciascuno specializzato in compiti specifici: dall’automatizzazione del triage delle vulnerabilità all’analisi di file malware, dal threat hunting proattivo alla generazione di regole di detection, fino alla normalizzazione dei dati tra strumenti diversi.
Sfruttando il Model Context Protocol (MCP), Falcon diventa il centro operativo del sistema agentico integrato, connettendo in modo sicuro Charlotte AI con qualsiasi agente – fornito da CrowdStrike, creato dal cliente o di terze parti – in un’unica difesa coordinata.
La nuova console supporta interrogazioni in linguaggio naturale, spazi di lavoro specifici per ruolo e dashboard istantanee che permettono ai difensori di vedere, visualizzare e agire attraverso i domini con un solo clic. Il SOC agentico fornisce a ogni analista il potere di costruire agenti AI garantendo che possano funzionare in modo sicuro e su larga scala.
Da segnalare, infine, le recenti acquisizioni strategiche: Onum, specialista nella gestione delle pipeline di telemetria in tempo reale, e Pangea, che opera nella sicurezza dell’AI per proteggere le operazioni degli utenti con i modelli LLM disponibili all’interno dell’azienda.
