Cisco ha deciso che i tempi sono maturi per affidare i propri prodotti a modelli IA sviluppati internamente. Il primo banco di prova è Duo Identity Intelligence, la soluzione dedicata all’analisi avanzata delle identità digitali che ora sfrutta un modello linguistico progettato e ottimizzato direttamente dall’azienda. Così facendo, Cisco punta a ridurre dipendenze esterne e a costruire un’IA pensata fin dall’origine per le esigenze specifiche della cybersecurity.

Il modello in questione si chiama Foundation-Sec-1.1-8B-Instruct ed è un sistema open-weight da otto miliardi di parametri addestrato secondo un approccio instruction-tuned. Dal punto di vista architetturale, si basa su Llama 3.1 di Meta da 8 miliardi di parametri, opportunamente adattato con ottimizzazioni mirate. Non si tratta quindi di un modello generalista “riciclato”, ma di una base solida rifinita per operare in contesti ad alta criticità, dove precisione, interpretabilità e coerenza operativa contano più della brillantezza linguistica.

Cisco ha calibrato il modello su tre grandi aree di utilizzo legate alla sicurezza informatica. La prima riguarda l’accelerazione delle attività dei Security Operations Center, con l’automazione di processi come il triage degli incidenti, la sintesi degli eventi, la generazione di note di caso e la raccolta delle evidenze. La seconda area è la difesa proattiva, che comprende la simulazione di attacchi, la prioritizzazione delle vulnerabilità, la mappatura delle tattiche e tecniche degli attaccanti e la modellazione del loro comportamento. La terza è il supporto agli ingegneri della sicurezza attraverso assistenza operativa, validazione delle configurazioni, analisi delle evidenze di conformità e miglioramento complessivo della postura difensiva.

Il primo impiego concreto del modello avviene all’interno del già citato Duo Identity Intelligence, il servizio che analizza chi accede alle reti, da dove lo fa e con quali dispositivi. Cisco spiega che, osservando i segnali successivi all’autenticazione, il sistema è in grado di individuare schemi che spesso sfuggono ai controlli di accesso tradizionali. Tra questi rientrano attività geografiche anomale, utilizzi inconsueti dei privilegi e indizi di attacchi come l’abuso della multi-factor authentication o il dirottamento delle sessioni.

Crediti: Shutterstock

Crediti: Shutterstock

Uno degli aspetti più visibili per gli utenti è il digest settimanale che Duo invia ai responsabili della sicurezza. Si tratta di una sintesi delle potenziali criticità legate alle identità digitali, che ora viene redatta con il supporto diretto del nuovo modello di Cisco. Secondo l’azienda, produrre un riepilogo di questo tipo richiede un’IA capace di comprendere il comportamento delle identità, interpretare lunghe catene di eventi e tradurre le informazioni in insight coerenti con il modo in cui gli amministratori prendono decisioni. I modelli generalisti, sostiene Cisco, non sono sempre adatti a questo livello di finezza e introducono spesso dipendenze esterne poco desiderabili in ambito security.

L’adozione di un modello proprietario dovrebbe invece tradursi in report più accurati, leggibili e allineati ai flussi di lavoro reali. Cisco afferma che i contenuti del digest risultano ora più chiari e consistenti, con una migliore capacità di prioritizzazione che aiuta a distinguere ciò che richiede un intervento immediato da ciò che può essere monitorato. Anche le raccomandazioni diventano più contestuali e azionabili, aumentando la probabilità che gli amministratori utilizzino attivamente le informazioni fornite dal servizio.

Questo miglioramento è il risultato di una collaborazione stretta tra i team che sviluppano Duo e quelli responsabili dei modelli fondazionali di Cisco. Insieme hanno costruito uno stack di prompt ottimizzato, pensato per allineare l’output del modello allo stile analitico richiesto dal digest settimanale. È un dettaglio significativo, perché evidenzia come la qualità dell’IA applicata non dipenda solo dal modello, ma anche dal modo in cui questo viene interrogato e inserito nel contesto operativo.

Attualmente, oltre duemila clienti Cisco ricevono il digest settimanale di Duo e l’azienda si aspetta che il salto qualitativo sarà percepibile fin da subito. La scrittura di email è però solo una parte marginale delle ambizioni legate a Foundation-Sec-1.1-8B-Instruct, che può essere eseguito sia on-premise sia nel cloud, viene infatti indicato anche come base per una serie di utilizzi downstream, che spaziano dalla prioritizzazione delle vulnerabilità basata sul rischio contestuale fino alla previsione delle mosse successive di un attaccante durante un’indagine in corso.

Questo modello da otto miliardi di parametri rappresenta tra l’altro solo uno degli elementi della strategia di Cisco. All’inizio di novembre, l’azienda aveva dichiarato di essere al lavoro su un modello fondazionale da 17 miliardi di parametri, affiancato da una vera e propria “falange” di altri sistemi di IA. Foundation-Sec-1.1-8B-Instruct si colloca quindi come una soluzione intermedia, già pronta per la produzione, che anticipa un ecosistema IA sempre più ampio e profondamente integrato nella visione di sicurezza di Cisco.

(Immagine in apertura: Shutterstock)