Secondo le previsioni di Gartner, entro fine 2026 il 40% delle applicazioni enterprise integrerà agenti AI task-specific, contro meno del 5% nel 2025.
In questo scenario, uno degli ambiti più promettenti è quello della sicurezza informatica. Non solo perché la cybersecurity è per natura un dominio ad alta intensità operativa, ma perché si presta perfettamente a una logica multi-agent.
Architetture multi-agent: l’ultima frontiera dell’automazione
Le architetture multi-agent sono il passo più maturo che l'AI abbia compiuto finora nei processi aziendali. Più che una sequenza di tecnologie, questo percorso può essere letto come un progressivo aumento dell’autonomia operativa.
Automazione di singoli task
In una prima fase, l’AI è stata utilizzata per migliorare specifiche funzioni, come il riconoscimento di pattern e l’analisi dei dati, senza intervenire direttamente sui processi.
Supporto decisionale avanzato
Con l’introduzione dei modelli più evoluti, l’AI ha iniziato a supportare attività complesse come l’interpretazione delle informazioni, la sintesi e la generazione di contenuti, affiancando gli operatori nei flussi di lavoro.
Autonomia operativa multi-agente
Il passo successivo è rappresentato da sistemi in grado non solo di supportare, ma di agire. Non più un unico motore centrale, ma una rete di agenti specializzati che collaborano, si coordinano e contribuiscono all’esecuzione dei processi in modo dinamico.
Quest’ultima evoluzione risponde a un limite strutturale dei modelli monolitici. Un singolo sistema tende a essere difficile da controllare, testare e governare, soprattutto in contesti complessi. In un’architettura multi-agent, invece, ogni sistema è responsabile di una funzione specifica come la raccolta dati, l’analisi, l’arricchimento e il supporto decisionale, e opera entro confini definiti. Così, il sistema risulta più efficiente, trasparente e facilmente governabile, oltre che più scalabile nel tempo.
Una caratteristica chiave degli AI Agent è la capacità di scambiarsi informazioni e attivarsi in sequenza o in parallelo secondo workflow orchestrati. Il risultato è un sistema modulare in cui ogni componente può essere aggiornato, sostituito o controllato in modo indipendente, senza un potenziale singolo punto di fragilità.
Agenti AI, la nuova scommessa della cybersecurity
Le architetture agentiche stanno attirando un forte interesse nel mondo della sicurezza informatica perché rispondono a una tensione strutturale: da un lato, l’aumento continuo di minacce, superfici di attacco e complessità degli ambienti IT; dall’altro, la difficoltà, per i team di sicurezza, di gestire volumi crescenti di alert e attività operative con risorse limitate.
I limiti dell’approccio tradizionale
Il modello operativo dei Security Operations Center (SOC) si basa su una combinazione di strumenti evoluti (SIEM, EDR..), processi ben definiti e molteplici attività demandate direttamente agli analisti, tra cui la correlazione tra eventi, l’arricchimento del contesto e la verifica degli alert emessi dalle piattaforme di prevenzione delle minacce.
L’automazione esiste e si avvale di regole, playbook operativi e strumenti dedicati come le piattaforme SOAR, ma è in gran parte deterministica e limitata a scenari noti. Automatizzare azioni di remediation o mitigation richiede infatti un livello di fiducia molto elevato, che tendenzialmente non viene ancora attribuito alle macchine, se non in casi tipici ed evidenti. Di conseguenza, una parte rilevante delle operazioni e delle decisioni è ancora in mano agli analisti, soprattutto nei casi ambigui o ad alto impatto.
Quando il volume e la complessità aumentano, questo genera colli di bottiglia e rende evidenti i limiti di scalabilità: il sistema regge finché cresce il team, ma fatica a sostenere dinamiche sempre più veloci e minacce che, sfruttando la stessa AI, si fanno sempre più frequenti, numerose e sofisticate.
Architetture multi-agent: rendere sostenibile la sicurezza senza perderne il controllo
Le architetture multi-agent offrono un approccio vicino alla natura reale delle operazioni di sicurezza, che sono per definizione iterative e multi-step. Suddividere il lavoro tra agenti specializzati consente di gestire in modo più efficiente attività come la raccolta dati, la correlazione, l’analisi e la risposta, riducendo i colli di bottiglia operativi.
Per le aziende, il punto chiave è che le architetture agentiche non nascono per migliorare il rilevamento delle minacce, ambito in cui esistono da tempo strumenti maturi e molto efficaci. Il loro valore sta piuttosto nel rendere sostenibile l’intero modello operativo della sicurezza.
Le architetture multi-agent consentono infatti di aumentare la velocità delle decisioni, automatizzare le attività ripetitive e liberare le competenze umane, concentrandole sui casi più complessi.
Come funziona un sistema multi-agent: un workflow in 4 step
Il punto cardine di un sistema multi-agent è il workflow, ovvero il flusso operativo dinamico che può essere adattato in base a ciò che emerge all’interno del percorso. Un flusso, quindi, che evolve in tempo reale sotto il controllo di un supervisore che attiva agenti diversi in base alla situazione. Ogni organizzazione può modellare questo workflow in base alle proprie esigenze, ma è possibile individuare alcuni passaggi chiave.
- Il processo si attiva con un evento di sicurezza come un alert generato da un endpoint o da un ambiente cloud. È una fase determinante, ma anche una delle più critiche: secondo gli analisti, qui si concentrano le principali inefficienze, a causa dell’elevato volume di segnalazioni e della difficoltà nel distinguere rapidamente ciò che è rilevante da ciò che non lo è.
In questa fase il sistema può prendere ed eseguire decisioni, ma solo nei casi più evidenti. L'obiettivo è trasformare un flusso caotico di segnali in un insieme gestibile di eventi rilevanti.
- L’orchestrazione entra in funzione come punto di coordinamento del sistema: analizza la natura dell’evento e attiva, di volta in volta, gli agenti più adatti. Se il problema riguarda un endpoint, ad esempio, viene ricostruita la sequenza delle attività sul dispositivo; se invece coinvolge la rete, si analizzano traffico, connessioni e possibili comunicazioni anomale verso l’esterno. La differenza rispetto ai flussi tradizionali è che queste verifiche possono avvenire in parallelo, riducendo i tempi di analisi e rendendoli coerenti con le esigenze della cybersecurity moderna.
- I risultati confluiscono poi in una fase di sintesi e pianificazione, in cui la piattaforma costruisce una visione dell’incidente: cosa è successo, come si è sviluppato, quale potrebbe essere la causa e quali sono le azioni possibili. A questo punto il sistema potrebbe assegnare un punteggio di rischio e un grado di affidabilità, elementi chiave per decidere il livello di autonomia del sistema.
- La risposta viene quindi gestita in modo differente a seconda dei casi. Le azioni a basso impatto possono essere eseguite automaticamente, mentre quelle più critiche richiedono sempre un passaggio di human-in-the-loop per garantire controllo e corretta attribuzione delle responsabilità.
Il ruolo dell’analista nella sicurezza agentica
Come in molti ambiti aziendali, anche qui le architetture multi-agent non hanno l’obiettivo di bypassare gli analisti o, più in generale, i professionisti del SOC, ma finiscono inevitabilmente per trasformare il loro lavoro e per rivederne il contributo all’interno del modello operativo.
D’altronde, la cybersecurity è un terreno adatto per sollevare i professionisti da attività ripetitive, visto che una parte rilevante del loro tempo è assorbita dal triage degli alert, dalla raccolta e dalla correlazione dei dati e dalla compilazione di report. Con l’automazione agentica, queste attività possono essere gestite dal sistema, liberando risorse cognitive necessarie ad affrontare minacce più sofisticate.
Questo cambiamento si traduce nell’assegnare ai professionisti almeno quattro responsabilità:
-
Valutazione delle decisioni
La prima, cui si è già fatto cenno, è senza dubbio la validazione delle decisioni: il sistema decide da sé solo i casi ovvi e si basa su regole ben definite. Nella stragrande maggioranza dei casi, il sistema effettua uno scoring del rischio e fornisce raccomandazioni motivate, ingaggiando l’analista per confermare o meno le azioni proposte. Come detto, l’approccio human-in-the-loop resta fondamentale per garantire controllo e responsabilità. -
Gestione dei casi complessi
Quando il sistema rileva ambiguità o potenziali impatti elevati, il caso viene immediatamente indirizzato all’analista. In questo contesto, il suo ruolo non è solo interpretativo, ma anche di regia: valida le ipotesi, decide quali approfondimenti attivare e può indirizzare il lavoro degli agenti, richiedendo ulteriori analisi o limitandone il perimetro. In pratica, prende in carico il caso end-to-end, avvalendosi degli agenti come assistenti operativi per accelerare le verifiche e costruire una valutazione solida. -
Configurazione e miglioramento continuo
La terza area è più strategica: la configurazione e il miglioramento continuo del sistema. Gli analisti contribuiscono a definire playbook e criteri di escalation. In altre parole, non si limitano a usare il sistema, ma partecipano alla sua evoluzione. -
Addestramento e "tuning" degli agenti
L’analista contribuisce a migliorare il sistema attraverso feedback operativi, correzione degli errori e ottimizzazione delle risposte. Svolge un ruolo simile a quello di un trainer, aiutando gli agenti a diventare progressivamente più efficaci.
Kirey: innovazione e competenze per affrontare minacce sofisticate
In Kirey, aiutiamo le aziende a costruire un modello di sicurezza solido e sostenibile. Il nostro approccio non si fonda sulla sola fornitura di tool, competenze specialistiche e servizi gestiti, ma anche su una forte propensione all’innovazione, elemento chiave per tenere il passo con strategie sempre più avanzate da parte degli attaccanti.
Operiamo sulla frontiera dell’innovazione anche in ambito cyber, una frontiera che oggi coincide sempre più con l’automazione e con modelli avanzati come le architetture multi-agent. Nonostante questa tendenza, nella nostra visione il percorso è governato, controllato e reso affidabile dall’esperienza e dalle competenze specializzate dei nostri professionisti.
Contattaci per scoprire come possiamo supportare la tua organizzazione nel costruire un modello di sicurezza in grado di affrontare le sfide di oggi e di domani.
