Cybersecurity 2026: come gli agenti AI trasformano l’endpoint nel cuore della sicurezza aziendale

San Francisco, RSA 2026: tra migliaia di esperti di cybersecurity, CrowdStrike ha acceso i riflettori su una sfida cruciale. Gli endpoint aziendali – PC, workstation e dispositivi finali – sono diventati il campo di battaglia principale per la sicurezza dell’intelligenza artificiale. L’AI non è più solo un aiuto dietro le quinte. Ora agisce direttamente su sistemi e dati, confondendo le linee tra attività lecite e minacce potenziali. Difendersi, insomma, non è mai stato così complesso.

Endpoint, il nuovo campo di battaglia per la sicurezza AI

CrowdStrike ha messo in luce un fatto ormai chiaro: gli endpoint sono diventati il bersaglio principale e il punto dove l’intelligenza artificiale agisce con comandi, modifiche ai file riservati, accessi a dati sensibili e processi automatizzati. Questo cambia tutto. Le aziende si trovano davanti a una sfida nuova: monitorare attività che spesso non si riesce a catalogare subito come sicure o pericolose. Falcon, la piattaforma di sicurezza di CrowdStrike, oggi identifica oltre 1.800 applicazioni AI attive in tempo reale sui dispositivi monitorati, con più di 160 milioni di istanze applicative. Numeri che segnano un cambio di passo: la difesa si sposta da ambienti centralizzati a un modello distribuito, concentrato proprio sull’interazione diretta con l’intelligenza artificiale presente sui dispositivi degli utenti.

Controllo in tempo reale e lotta alla “shadow AI”

Le novità di Falcon portano sul campo nuovi strumenti di Endpoint Detection and Response che offrono un controllo a 360 gradi sulle attività delle applicazioni AI. Si monitorano comandi, script automatici, modifiche ai file e connessioni di rete, così da scovare rapidamente anomalie e isolare i dispositivi compromessi prima che il danno si allarghi. Un’attenzione particolare va alla “shadow AI”: quei software di intelligenza artificiale installati o usati senza che il reparto IT ne sappia nulla. Un problema serio, perché queste applicazioni spesso sfuggono ai controlli tradizionali. La piattaforma riesce a scansionare e riconoscere agenti, applicazioni e ambienti LLM attivi sugli endpoint, valutandone i rischi legati a privilegi e accesso a dati riservati.

La protezione si estende anche a programmi desktop molto diffusi come ChatGPT, Gemini, Claude, DeepSeek, Microsoft Copilot, GitHub Copilot e altri, monitorando in tempo reale tentativi di injection, furti di dati non autorizzati e violazioni delle regole aziendali. Ma non finisce qui: il controllo riguarda anche ambienti SaaS, browser e cloud, intercettando usi non autorizzati di AI su piattaforme come Salesforce Agentforce, OpenAI Enterprise GPT e Microsoft Copilot. Nel mirino ci sono pure i workload AI in ambienti containerizzati e i flussi di dati sensibili verso servizi esterni, per garantire una copertura completa e multidimensionale.

Insieme a Microsoft per una sicurezza più efficace negli ambienti misti

Un altro passo avanti importante è l’integrazione tra Falcon Next-Gen SIEM, la soluzione di CrowdStrike per la gestione degli eventi di sicurezza, e Microsoft Defender for Endpoint. Questa collaborazione permette di raccogliere e mettere insieme i dati di telemetria di Defender senza dover installare doppi sensori Falcon sui dispositivi già protetti da Defender. Il vantaggio è doppio: semplificare la gestione della sicurezza senza appesantire l’infrastruttura e migliorare l’efficacia dei Security Operation Center grazie a dati integrati provenienti da più fonti. Falcon Next-Gen SIEM unisce log, intelligence sulle minacce e analisi AI in tempo reale, offrendo una visibilità sempre aggiornata e profonda.

Tra le novità tecniche spiccano pipeline dati più rapide, la possibilità di effettuare ricerche federate su archivi esterni, l’integrazione di indicatori di compromissione da terze parti e un agente capace di tradurre automaticamente le query dai sistemi SIEM tradizionali al linguaggio specifico di CrowdStrike. CrowdStrike segnala una crescita del 75% all’anno nell’adozione di Falcon Next-Gen SIEM, confermando l’impegno verso un’architettura aperta e interoperabile che faciliti l’integrazione con diversi strumenti e ambienti IT. Alcune di queste novità sono ancora in fase di perfezionamento: i clienti sono invitati a basarsi sulle funzioni già disponibili. In questo scenario, la sicurezza degli endpoint diventa un tassello chiave nella difesa aziendale contro le nuove sfide dell’intelligenza artificiale.