Negli ultimi anni, il mondo della cybersecurity ha subito un’evoluzione profonda, che ha trasformato anche il ruolo del penetration tester. Se un tempo le attività di verifica della sicurezza si basavano principalmente su approcci manuali, sull’intuito e su tecniche affinate con l’esperienza e la sperimentazione diretta, oggi l’intelligenza artificiale (AI) e l’automazione stanno rivoluzionando il modo in cui vengono individuate e sfruttate le vulnerabilità.
Gli strumenti basati su AI sono in grado di elaborare enormi quantità di dati in tempi ridottissimi, trovando falle che un esperto umano potrebbe impiegare giorni a individuare, ma come per ogni nuova tecnologia c’è sempre il rovescio della medaglia sull’uso a cui viene destinata: se da un lato l’AI può assecondare i penetration tester nelle attività di difesa, dall’altro diventa un’arma potente nelle mani degli hacker che la sfruttano per rendere i loro attacchi sempre più complessi ed efficaci.
In fin dei conti, hacker e penetration tester condividono spesso le stesse competenze tecniche; ciò che li distingue è l’etica con cui le mettono in pratica. Uno dei due, potremmo dire, ha semplicemente scelto “il lato oscuro della forza”.
Nonostante l’AI offra vantaggi notevoli, il fattore umano rimane imprescindibile in questo campo; la creatività, l'ingegno, il riuscire a "pensare fuori dagli schemi" (modo di dire e di agire che sta alla base del ruolo di pentester, “thinking outside the box"), la flessibilità, astrazione ed intuito, sono doti che, al momento, mancano alle attuali Intelligenze Artificiali che ragionano in modo matematico e statistico. Possiamo quindi dedurre che la mente umana resti, attualmente, la fonte più idonea per svolgere questo lavoro che, assecondata da una mente artificiale, può velocizzarne i processi e prendere ulteriori spunti.
Errori per dati di addestramento errati
Un altro fattore importante di cui tenere conto è l'errore: "errare humanum est" ci insegna una famosa locuzione latina, ma sarebbe il caso di crearne una anche per quanto riguarda l'Intelligenza Artificiale poiché non è esente dal commettere errori, proprio come noi esseri umani. Gli errori dell'essere umano derivano principalmente da fattori legati alla distrazione, stanchezza, emozioni, pregiudizi, mancanza di conoscenza e altri fattori imprevisti. L'IA commette errori dovuti ai dati di addestramento errati, bias algoritmici o limitazioni del modello utilizzato e possono perseverare se questi fattori non vengono in qualche modo corretti alla fonte. Anche qui l'essere umano è un gradino sopra l'AI poiché non ha bisogno di aggiornamenti, ma impara dall'esperienza correggendo ed ampliando autonomamente le proprie metodologie d'azione.
C’è da considerare un fattore importante che non limita più il penetration tester solamente all’ambito strettamente tecnico, ma la figura si allarga a scenari sempre più interdisciplinari poiché deve avere nozioni di psicologia (si pensi al social engineering), di normativa (GDPR, ISO, NIS2), oltre che a capacità di analisi del business per comprendere le reali implicazioni di un attacco e adattarlo ad ogni singola azienda.
In ambiti come l’attacco simulato (Red Teaming) e di difesa proattiva (Threat Hunting), la possibilità di simulare attacchi realistici o generare pattern comportamentali simili a quelli di attori malevoli, rappresenta un’evoluzione concreta del potenziale dell’IA. Può essere addestrata per imitare le tecniche, le tattiche e le procedure (TTP - Tactics, Techniques and Procedures) di gruppi APT (Advanced Persistent Threat) reali, offrendo scenari più aderenti alla realtà e consentendo di testare con maggiore precisione la resilienza dei sistemi difensivi. Allo stesso tempo, però, questa capacità simulativa apre interrogativi sul possibile uso malevolo della stessa tecnologia: un attore ostile con accesso a strumenti di intelligenza artificiale può orchestrare attacchi automatizzati più sofisticati e meno rilevabili, aumentando così il livello di rischio globale.
Saper porre le domande nel modo corretto
Un altro aspetto emergente nell’evoluzione del penetration testing è la nascita di una vera e propria collaborazione cognitiva tra essere umano e intelligenza artificiale. Non si tratta più solo di usare l’IA come strumento, ma di instaurare un dialogo strategico in cui il professionista impara a formulare prompt efficaci, interpretare correttamente le risposte, verificarne la coerenza e sfruttare il potenziale predittivo dell’algoritmo per esplorare molti più scenari alternativi. In questo senso, l’abilità di interagire con modelli linguistici complessi diventa parte integrante del bagaglio operativo del pentester moderno. La sfida non è solo tecnica, ma è soprattutto comunicazione poichè saper porre le domande nel modo corretto può portare a intuizioni che accelerano il processo di scoperta o suggeriscono vettori di attacco ai quali non si era pensato o che, semplicemente, non si conoscevano.
Si delinea così una nuova forma di intelligenza operativa aumentata dove l’essere umano resta il decisore ultimo, ma con il supporto di una “mente parallela” in grado di processare milioni di possibilità in pochi secondi. È una forma di cooperazione che richiede senso critico, consapevolezza dei limiti del modello e capacità di selezionare ciò che è realmente utile in mezzo a un mare di possibilità.