Dalla weaponized AI alla sicurezza dei prompt: CrowdStrike ridefinisce la difesa informatica nell’era dell’autonomia. Con il lancio di Threat AI, Falcon ID, Risk-Based Patching e l’acquisizione di Pangea, la piattaforma Falcon evolve verso un ecosistema di sicurezza “agentic” e interconnesso
Il nuovo perimetro della minaccia: velocità e intelligenza avversaria
Negli ultimi mesi il panorama globale della cybersecurity ha mostrato un’accelerazione senza precedenti: gruppi di cybercriminali, attori statali e hacktivisti hanno affinato le proprie tecniche, passando da campagne di massa a operazioni chirurgiche, spesso invisibili.
Secondo i dati di CrowdStrike, sono oggi oltre 265 i gruppi di attacco attivi e più di 150 i cluster di attività non ancora attribuiti, una galassia in espansione che spinge le aziende a rivedere priorità e modelli di difesa.
Le modalità di intrusione si evolvono con rapidità: il voice phishing è cresciuto del 442% in un solo anno, lo sfruttamento di vulnerabilità nei sistemi legacy resta tra le vie di accesso più battute, mentre le intrusioni “malware-free” – che non utilizzano codice malevolo tradizionale – rappresentano ormai l’81% degli attacchi osservati.
Un quadro in cui la velocità di esecuzione diventa decisiva: il tempo medio di “breakout”, cioè il passaggio da un punto di accesso alla compromissione dell’intero sistema, si è ridotto da 62 a 48 minuti, con punte record di 51 secondi. Un battito di ciglia per chi attacca, un’eternità per chi difende.
“La velocità è diventata l’arma principale degli avversari”, spiega Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Lo scorso anno il tempo medio di breakout — cioè il passaggio da un sistema compromesso al movimento laterale nella rete — è sceso: gli attaccanti si muovono più in fretta, e questo cambia completamente la scala difensiva”.
Nel mirino c’è sempre più il cloud, con un incremento del 136% delle intrusioni nel primo semestre 2025 rispetto all’intero anno precedente. Ma la trasformazione più rilevante riguarda l’uso dell’intelligenza artificiale da parte degli stessi gruppi criminali.
È il caso del collettivo nordcoreano Famous Chollima, che sfrutta LLM e deepfake per ottenere impieghi IT da remoto, creare codice su larga scala e generare fondi per il regime.
“Questa è quella che viene definita la weaponization della AI nella sua forma più evidente: l’intelligenza artificiale utilizzata come moltiplicatore di capacità offensive”, ha osservato Meyers.
L’evoluzione difensiva di CrowdStrike: l’era dell’Agentic SOC
La risposta di CrowdStrike a questo scenario si traduce in un’evoluzione profonda del proprio modello di difesa: la Agentic Security Platform costituisce l’ossatura dell’Agentic SOC, un ambiente in cui agenti AI cooperano in modo orchestrato, automatizzando analisi, correlazioni e processi decisionali.
Spiega da Elia Zaitsev, Chief Technology Officer di CrowdStrike: “Gli avversari usano l’AI per accelerare ogni fase dell’attacco. La difesa deve muoversi alla stessa velocità, con sistemi che imparano e agiscono insieme agli analisti”.
Il cuore di questa architettura è l’Enterprise Graph, un livello dati intelligente che unifica la telemetria aziendale — dai log agli indicatori di minaccia — in un modello semantico condiviso.
Due motori, il Global Query Engine e il Global Command Engine, consentono di interrogare e correlare informazioni in linguaggio naturale, rendendo accessibili i dati a umani e agenti AI senza necessità di competenze tecniche o tuning complessi.
Sopra questo strato nasce Charlotte Agent Works, una piattaforma no-code che permette di creare, testare e distribuire agenti personalizzati, fino a consentire — come sottolinea Zaitsev — “agenti che costruiscono altri agenti, orchestrati in modo sicuro grazie a protocolli standard come il Model Context Protocol”.
Questa architettura, già alla base del falcon agentic security platform, inaugura una nuova generazione di SOC autonomi, in grado di automatizzare l’analisi dei rischi, la prioritizzazione delle vulnerabilità, il threat hunting e l’elaborazione di regole di correlazione in tempo reale.
LEGGI ANCHE: AI agents, tra velocità e responsabilità: le priorità per le imprese
Identità, patching e protezione dati nell’era AI
Il secondo blocco di innovazioni introdotte da Crowdstrike riguarda tre ambiti chiave per la difesa moderna: identità, gestione delle vulnerabilità e protezione dei dati generativi.
Con Falcon ID, CrowdStrike introduce un sistema di autenticazione multifattore intelligente e passwordless, basato su standard FIDO2 e telemetria in tempo reale.
La piattaforma rileva dinamicamente comportamenti anomali, posizione e stato dei dispositivi, prevenendo anche attacchi di MFA exhaustion. “Non basta chiedere un secondo fattore, serve capire chi lo sta usando e da dove”, spiega ancora Zaitsev.
La funzionalità Risk-Based Patching, invece, fonde la visione della threat intelligence con l’azione operativa: identifica il 5% delle vulnerabilità che generano il 95% del rischio reale e le collega alla probabilità di exploit e alla stabilità delle patch, riducendo tempi e complessità nella remediation.
Infine, Falcon Data Protection per GenAI estende il controllo sui flussi dati legati all’intelligenza artificiale generativa, consentendo di bloccare l’uso di modelli non approvati, anche al di fuori del browser o all’interno di ambienti di sviluppo come Visual Studio Code.
Le policy consentono di impedire la condivisione accidentale di segreti o credenziali, pur mantenendo la produttività con strumenti AI aziendali approvati.
CrowdStrike: Threat AI e l’acquisizione di Pangea per proteggere l’AI dall’interno
Il punto di contatto fra le nuove funzionalità e la strategia di lungo termine è Threat AI, la prima piattaforma agentica di threat intelligence automatizzata.
Basata su anni di esperienza del team Counter Adversary Operations, Threat AI utilizza agenti autonomi — come il Malware Analysis Agent e l’Hunt Agent — per analizzare campioni sospetti, generare regole YARA, correlare indicatori di compromissione e restituire insight in pochi secondi.
“Non si tratta di togliere l’uomo dal processo, ma di permettergli di concentrarsi dove il giudizio umano conta di più”, ha precisato Meyers.
A completare questa visione si inserisce l’acquisizione di Pangea, azienda specializzata nella sicurezza dell’intelligenza artificiale e nella protezione dei prompt.
Come ha spiegato George Kurtz, CEO e founder di CrowdStrike, “l’AI sta ridefinendo la superficie di attacco aziendale a una velocità mozzafiato. Ogni prompt diventa un potenziale punto di ingresso per l’avversario. Con Pangea metteremo in sicurezza l’intero ciclo di vita dell’AI, dai modelli ai dati, dagli agenti alle identità”.
L’integrazione di Pangea estenderà la protezione Falcon allo strato di interazione con l’AI, introducendo la prima soluzione completa di AI Detection and Response (AIDR) per monitorare e bloccare attacchi di prompt injection, fughe di dati o uso improprio di modelli generativi.
Dall’automazione alla collaborazione uomo–macchina
Il messaggio è chiaro: l’intelligenza artificiale non sostituisce l’esperienza umana, ma ne amplifica la capacità di difesa.
Gli “agenti mission-ready” di CrowdStrike — alimentati da dati proprietari e costruiti su un’architettura AI-native — rappresentano la convergenza tra efficienza automatizzata e controllo umano.
Come ha ribadito Zaitsev: “Non stiamo creando co-pilot, ma veri compagni di squadra digitali. L’obiettivo non è sostituire gli analisti, ma permettere loro di pensare, decidere e reagire più velocemente di qualsiasi avversario”.
