Caso di studio 01
Cracker Breaker
LLM che trasformano alert SIEM grezzi in decisioni comprensibili anche per i non specialisti
- Periodo
- Settembre 2024 – Dicembre 2025
- Contesto
- Università di Siena (DISPOC) con i partner industriali Winet, Commit, Pragma e Ambrogio
- Ruolo
- Responsabile della definizione delle specifiche e dello sviluppo del modulo di IA
- ~90%
- falsi positivi eliminati
- <1 min
- risposta real-time sugli alert critici
- 3
- viste differenziate per ruolo
Il problema
Le piccole e medie imprese sono bersagli critici per la cybersecurity, ma affrontano barriere che gli strumenti enterprise ignorano:
- I log di sicurezza (SIEM) generano migliaia di alert in formati complessi come JSON, incomprensibili per il personale non specializzato.
- L’alto tasso di falsi positivi produce affaticamento da alert: eventi benigni classificati come minacce insegnano a ignorare i pericoli reali.
- Le PMI non possono permettersi infrastrutture cloud costose o un Security Operations Center dedicato.
- Senza formazione specifica, i dipendenti restano l’anello debole della catena di sicurezza — phishing, password deboli.
Utente target
Gli stakeholder non specialisti all’interno delle PMI: IT manager, operatori e amministratori che devono capire le minacce e rispondere agli incidenti senza un SOC alle spalle. Il sistema serve tre ruoli distinti — Super Admin, IT Manager e Operatore — ciascuno con una vista differenziata.
Il mio ruolo
Ero responsabile della definizione delle specifiche e dello sviluppo del modulo di IA:
- Progettazione dell’architettura di IA — un sistema ibrido cloud/edge per bilanciare performance e costi.
- Ricerca e sviluppo LLM — selezione, benchmarking e implementazione dei modelli per l’analisi dei log e la formazione sulla sicurezza.
- Integrazione SIEM — la pipeline di comunicazione tra Wazuh (SIEM open-source) e i motori di IA via API REST.
- Data science e valutazione — curatela del dataset, analisi statistiche e validazione delle performance dei modelli.
Il processo
Il progetto ha seguito un approccio iterativo, guidato dalle evidenze:
- Selezione dei modelli — valutazione di LLM cloud e lightweight per bilanciare latenza, costi e qualità delle spiegazioni per ogni compito del prodotto.
- Prompt engineering e XAI — tecniche di chain-of-thought per ottenere spiegazioni interpretabili, conformi al framework NIST e alla direttiva NIS2.
- Pipeline di dati — log estratti da Wazuh, parsing in JSON, analisi semantica tramite LLM e generazione di output strutturato con pillole formative.
Decisioni chiave
- Architettura duale: Google Cloud (Gemini Flash/Pro) per l’analisi in tempo reale degli alert critici con tempi di risposta sotto il minuto; Lightning.ai (Meta Llama 4) per le analisi asincrone, come la generazione di piani formativi da dati storici e questionari.
- Open-source first: Wazuh come SIEM centrale, per eliminare i costi di licenza e garantire la massima flessibilità di integrazione.
- Ottimizzazione dei costi: modelli piccoli (1B–8B parametri) per il deployment locale su macchine a bassa disponibilità computazionale, rendendo la sicurezza seria accessibile alle PMI.
Risultato finale
- L’analisi dei pattern comportamentali ha identificato ed eliminato fino al 90% dei falsi positivi.
- Il sistema genera spiegazioni in linguaggio naturale e raccomandazioni operative — «aggiorna il firewall», «blocca questo IP» — direttamente utilizzabili da personale non tecnico.
- Produce inoltre piani di recupero e pillole formative da 300 caratteri per migliorare la postura di sicurezza aziendale in conformità alla direttiva NIS2.
Cosa ho imparato
- La latenza è un requisito di sicurezza. Abbiamo spostato l’analisi in tempo reale da Lightning.ai a Google Cloud dopo aver scoperto che i tempi di avvio delle macchine virtuali (timeout di sei minuti) erano incompatibili con le esigenze di risposta agli incidenti.
- La qualità dei dati batte la quantità. In ambito PMI, la ricchezza semantica dei log conta più del volume: una finestra curata di 30 giorni si è rivelata sufficiente per un’analisi affidabile.
- L’IA è efficace solo quanto la sua interfaccia. Le viste differenziate per ruolo — Super Admin, IT Manager e Operatore — sono state fondamentali per l’adozione del sistema.