Vai al contenuto
Gaia Cecchi

Tutti i progetti

Caso di studio 01

Cracker Breaker

LLM che trasformano alert SIEM grezzi in decisioni comprensibili anche per i non specialisti

Periodo
Settembre 2024 – Dicembre 2025
Contesto
Università di Siena (DISPOC) con i partner industriali Winet, Commit, Pragma e Ambrogio
Ruolo
Responsabile della definizione delle specifiche e dello sviluppo del modulo di IA
~90%
falsi positivi eliminati
<1 min
risposta real-time sugli alert critici
3
viste differenziate per ruolo

Il problema

Le piccole e medie imprese sono bersagli critici per la cybersecurity, ma affrontano barriere che gli strumenti enterprise ignorano:

  • I log di sicurezza (SIEM) generano migliaia di alert in formati complessi come JSON, incomprensibili per il personale non specializzato.
  • L’alto tasso di falsi positivi produce affaticamento da alert: eventi benigni classificati come minacce insegnano a ignorare i pericoli reali.
  • Le PMI non possono permettersi infrastrutture cloud costose o un Security Operations Center dedicato.
  • Senza formazione specifica, i dipendenti restano l’anello debole della catena di sicurezza — phishing, password deboli.

Utente target

Gli stakeholder non specialisti all’interno delle PMI: IT manager, operatori e amministratori che devono capire le minacce e rispondere agli incidenti senza un SOC alle spalle. Il sistema serve tre ruoli distinti — Super Admin, IT Manager e Operatore — ciascuno con una vista differenziata.

Il mio ruolo

Ero responsabile della definizione delle specifiche e dello sviluppo del modulo di IA:

  • Progettazione dell’architettura di IA — un sistema ibrido cloud/edge per bilanciare performance e costi.
  • Ricerca e sviluppo LLM — selezione, benchmarking e implementazione dei modelli per l’analisi dei log e la formazione sulla sicurezza.
  • Integrazione SIEM — la pipeline di comunicazione tra Wazuh (SIEM open-source) e i motori di IA via API REST.
  • Data science e valutazione — curatela del dataset, analisi statistiche e validazione delle performance dei modelli.

Il processo

Il progetto ha seguito un approccio iterativo, guidato dalle evidenze:

  • Selezione dei modelli — valutazione di LLM cloud e lightweight per bilanciare latenza, costi e qualità delle spiegazioni per ogni compito del prodotto.
  • Prompt engineering e XAI — tecniche di chain-of-thought per ottenere spiegazioni interpretabili, conformi al framework NIST e alla direttiva NIS2.
  • Pipeline di dati — log estratti da Wazuh, parsing in JSON, analisi semantica tramite LLM e generazione di output strutturato con pillole formative.

Decisioni chiave

  • Architettura duale: Google Cloud (Gemini Flash/Pro) per l’analisi in tempo reale degli alert critici con tempi di risposta sotto il minuto; Lightning.ai (Meta Llama 4) per le analisi asincrone, come la generazione di piani formativi da dati storici e questionari.
  • Open-source first: Wazuh come SIEM centrale, per eliminare i costi di licenza e garantire la massima flessibilità di integrazione.
  • Ottimizzazione dei costi: modelli piccoli (1B–8B parametri) per il deployment locale su macchine a bassa disponibilità computazionale, rendendo la sicurezza seria accessibile alle PMI.

Risultato finale

  • L’analisi dei pattern comportamentali ha identificato ed eliminato fino al 90% dei falsi positivi.
  • Il sistema genera spiegazioni in linguaggio naturale e raccomandazioni operative — «aggiorna il firewall», «blocca questo IP» — direttamente utilizzabili da personale non tecnico.
  • Produce inoltre piani di recupero e pillole formative da 300 caratteri per migliorare la postura di sicurezza aziendale in conformità alla direttiva NIS2.

Cosa ho imparato

  • La latenza è un requisito di sicurezza. Abbiamo spostato l’analisi in tempo reale da Lightning.ai a Google Cloud dopo aver scoperto che i tempi di avvio delle macchine virtuali (timeout di sei minuti) erano incompatibili con le esigenze di risposta agli incidenti.
  • La qualità dei dati batte la quantità. In ambito PMI, la ricchezza semantica dei log conta più del volume: una finestra curata di 30 giorni si è rivelata sufficiente per un’analisi affidabile.
  • L’IA è efficace solo quanto la sua interfaccia. Le viste differenziate per ruolo — Super Admin, IT Manager e Operatore — sono state fondamentali per l’adozione del sistema.