Guarda il Webinar
Questo blog si basa sul nostro webinar congiunto con AWS. Se preferisci guardare il webinar, puoi farlo qui.
I numeri non sono più teorici. Secondo il CrowdStrike 2026 Global Threat Report, gli attacchi AI-autonomi sono aumentati dell’89% anno su anno, quasi raddoppiando in un solo anno. Il tempo medio di breakout degli attaccanti è sceso da circa un’ora a meno di 30 minuti, e l’intrusione più rapida mai registrata si è completata in soli 27 secondi. Nel frattempo, il team di sicurezza medio impiega circa sei ore per rispondere a una minaccia.
Questo divario – 27 secondi per attaccare, sei ore per rispondere – non è un problema tecnologico. È un problema strutturale. Ed è il problema che Skyhawk Security è stata creata per risolvere.
La Crisi del Sovraccarico di Alert è Reale
Prima di parlare di soluzioni, vale la pena soffermarsi un momento sulla portata del problema. A un recente AWS re:Invent, un cliente si è avvicinato al team di Skyhawk e ha menzionato che la sua piattaforma CNAPP aveva generato 16 milioni di alert. Non 16.000. Sedici milioni.
Un altro cliente si è presentato con 500.000 vulnerabilità in coda. Un terzo aveva 115.000 CVE identificati nel proprio ambiente e, anche dopo aver applicato il contesto AI da più strumenti, quel numero era sceso solo a 7.600. Un carico di lavoro ancora ingestibile per qualsiasi team di sicurezza.
Come ha dichiarato Jennifer Gill, VP of Marketing di Skyhawk Security, durante il webinar dell’azienda con AWS nell’aprile 2026: “Quando tutto sembra critico, sembra che niente lo sia. Sei davvero in una modalità reattiva costante.”
Questa è la realtà per la maggior parte dei team di sicurezza aziendali oggi. Gli strumenti generano più segnali che mai. Il problema è che quasi nessuno di essi è immediatamente utilizzabile.
Gli Attori delle Minacce Stanno Già Usando l’AI – E Funziona
Il passaggio agli attacchi basati sull’AI non è più un rischio futuro. Sta accadendo ora, e si sta accelerando. Anthropic ha confermato pubblicamente alla fine del 2025 che un attore di minacce sponsorizzato dallo stato cinese ha utilizzato Claude per eseguire una campagna di cyber spionaggio su larga scala, con l’AI che eseguiva autonomamente l’80-90% dell’attacco. CJ Moses di Amazon ha pubblicato un blog sull’uso dell’AI da parte degli attori delle minacce.
Ciò che rende gli attacchi basati sull’AI particolarmente pericolosi non è solo la loro velocità, ma la loro precisione. Come ha osservato Nathan Schmidt, Solutions Engineer di Skyhawk, durante il webinar: “Anche quelli che chiamavamo script kiddie, che sarebbero stati più un fastidio che altro, stanno adottando l’AI. Sta semplicemente amplificando ogni aspetto della minaccia e del rischio nell’ambiente.”
L’avversario si è aggiornato. La domanda è se le tue difese lo hanno fatto.
Combattere gli Attacchi AI con la Sicurezza Basata sull’AI: l’Approccio Skyhawk
La risposta di Skyhawk Security agli attacchi basati sull’AI è una difesa basata sull’AI, nello specifico un Continuous Autonomous Purple Team che combina la prospettiva offensiva di un red team con le capacità difensive di un blue team, operando in modo continuo e non dirompente contro il tuo ambiente cloud reale.
La piattaforma opera in due modalità distinte che Skyhawk descrive come “left of boom” e “right of boom.”
Left of Boom: Sicurezza Preventiva
Prima che si verifichi un attacco, l’AI Avversariale di Skyhawk (AI Red Team) simula continuamente scenari di attacco contro un gemello digitale del tuo ambiente cloud. Non si tratta di una libreria predefinita di attacchi pre-costruiti. L’AI è stata addestrata su migliaia di TTP (tattiche, tecniche e procedure) e genera sequenze di attacco personalizzate specifiche per l’architettura cloud, i controlli di sicurezza, la configurazione IAM e la topologia di rete di ciascun cliente.
Il gemello digitale è costruito a partire da metadati di sola lettura raccolti dal cloud pubblico tramite un ruolo di audit della sicurezza – nessun agente, nessun impatto sulla produzione, nessun rischio per la continuità aziendale. L’AI manipola quindi questa simulazione in modo dinamico, esplorando non solo ciò che è mal configurato, ma ciò che un attaccante potrebbe effettivamente fare con quelle configurazioni errate in combinazione.
È stato dimostrato durante la demo live: in un ambiente cliente, l’AI ha identificato che un ruolo con permessi eccessivi poteva essere assunto, una chiave di accesso recuperata, un’istanza EC2 creata, un security group personalizzato stabilito con le proprie regole di ingresso e uscita, e l’esecuzione di codice remoto avviata – tutto in un’unica catena di attacco connessa che ha impattato 43 asset. Nessuno strumento esistente nello stack del cliente aveva identificato questo percorso.
Right of Boom: Rilevamento, Risposta e Pre-Addestramento del SOC
Una volta identificati gli scenari di attacco, Skyhawk fa qualcosa che la maggior parte degli strumenti di sicurezza non può fare: pre-addestra il SOC su come appaiono esattamente quegli attacchi. Poiché l’AI ha già simulato l’attacco nel gemello digitale, il team di sicurezza ha effettivamente “visto” l’attacco prima che accada in produzione. Questo riduce drasticamente il tempo medio di risoluzione – i team non devono determinare se un alert è un falso positivo; sanno già come appare l’attacco reale e come rispondere.
Skyhawk fornisce anche raccomandazioni di remediation automatizzate, inclusi script Terraform per ambienti infrastructure-as-code, e può generare regole di rilevamento per strumenti di terze parti come Splunk e altri, in modo che le risposte siano coordinate sull’intero stack di sicurezza.
L’1% che Conta Davvero
La prova più significativa emersa dal webinar non era una funzionalità – era un risultato cliente. Un cliente si è presentato a Skyhawk con 500.000 vulnerabilità. Dopo aver applicato l’AI Red Team Avversariale, il numero di rilevamenti genuinamente weaponizzabili e collegati agli asset critici (crown jewels) è sceso a sette.
Non 50.000. Non 5.000. Sette.
Un secondo cliente, lavorando con i dati di Tenable, ha ridotto 41.000 vulnerabilità totali a 114 rilevamenti utilizzabili. Il cliente mostrato nella demo live ha ridotto 115.000 CVE – già filtrati attraverso più strumenti arricchiti dall’AI – a una manciata di elementi che richiedevano davvero attenzione immediata.
Questo è ciò che Skyhawk chiama “trovare l’1% che conta.” La piattaforma va oltre ciò che è teoricamente sfruttabile (che è ciò che i punteggi CVSS e la maggior parte degli scanner di vulnerabilità misurano) a ciò che è effettivamente weaponizzabile nel tuo specifico ambiente cloud, ovvero che un attaccante può concatenarlo ad altre esposizioni per raggiungere un asset critico per il business.
La distinzione è enormemente importante. Un punteggio CVSS elevato su un asset che non ha alcun percorso verso un asset critico è rumore. Un punteggio CVSS medio su un asset che si trova a un solo salto dai tuoi dati più sensibili è una crisi. Skyhawk ti dice quale è quale.
Integrazione con i Servizi di Sicurezza AWS
Skyhawk è progettata appositamente per gli ambienti cloud e si integra nativamente con l’ecosistema di sicurezza AWS:
| Servizio AWS | Come Skyhawk lo Utilizza |
| AWS Inspector | Acquisisce i rilevamenti di vulnerabilità e applica l’AI Avversariale per determinare quali sono effettivamente weaponizzabili |
| Amazon Macie | Utilizza i tag di classificazione dei dati per identificare e dare priorità agli asset critici – gli asset con dati sensibili ottengono priorità elevata nella simulazione degli attacchi |
| Amazon GuardDuty | Contribuisce con segnali di rilevamento delle minacce all’analisi delle sequenze di attacco e alla capacità CDR di Skyhawk |
Skyhawk detiene la designazione AWS Security Competency, che riflette la profondità di questa integrazione e l’allineamento della piattaforma con le best practice di sicurezza AWS.
Casi Studio Clienti
Amit Levran, SundaySky: L’AI Red Team Avversariale di Skyhawk ha fornito un ROI immediato, riducendo il rumore degli alert del 99% e portando alla luce una manciata di rilevamenti genuinamente critici da una coda di centinaia di migliaia. Nel loro CNAPP, utilizzando l’AI Red Team sono stati in grado di concentrarsi sullo 0,3% degli alert, eliminando il 99,7% del rumore per vedere esattamente cosa era weaponizzato e cosa li metteva a rischio reale.
Ibex Medical: Il team ha descritto di aver ottenuto “una visione completa dei problemi, incluse le aree periferiche” – trovando esposizioni di cui non erano precedentemente a conoscenza. Hanno notato di essere diventati proattivi con la loro sicurezza cloud per la prima volta e di aver recuperato “ore nella loro giornata” che in precedenza erano state consumate dal triage degli alert.
Conclusione
La sfida della sicurezza cloud nel 2026 non è una mancanza di dati. È una mancanza di segnale. I team di sicurezza sono sommersi da alert generati da strumenti progettati per trovare tutto, ma non per dirti cosa conta davvero.
Gli attaccanti basati sull’AI non hanno questo problema. Si muovono con precisione, velocità e scopo. Identificano il percorso più debole verso i tuoi asset più preziosi e lo sfruttano prima che il tuo team abbia finito di leggere la coda degli alert mattutini.
Skyhawk Security combatte gli Attacchi AI Autonomi con la Sicurezza Cloud Basata sull’AI. Il suo Continuous Autonomous Purple Team simula continuamente scenari di attacco reali contro il tuo ambiente cloud, dimostra quali vulnerabilità sono genuinamente weaponizzabili, pre-addestra il tuo SOC su come appaiono gli attacchi reali e valida che i tuoi controlli di sicurezza reggeranno quando conta di più.
Il risultato non è solo meno alert. È una riduzione del rischio cloud genuina, misurabile e dimostrabile.
