La cybersecurity è un pilastro fondamentale per garantire la resilienza operativa delle organizzazioni in un mercato in costante evoluzione. L‘incremento esponenziale delle minacce informatiche, sempre più sofisticate, mirate e dannose per dati, infrastrutture e reputazione aziendale, riflette la crescente complessità dell’ecosistema digitale. Questo scenario è ulteriormente amplificato dalla trasformazione digitale delle aziende, che estende le superfici di attacco e rende indispensabile un approccio alla sicurezza più avanzato. In tale contesto, i rischi non sono più limitati ai soli attacchi (che evolvono e diventano più efficaci, perché anche il cybercrime utilizza l’AI e i ransomware sono in continua evoluzione) ma comprendono anche la crescente pressione normativa e le sfide legate alla compliance. Adottare e mantenere elevati standard di sicurezza è una prerogativa essenziale non solo per proteggere le operazioni aziendali, ma anche per soddisfare requisiti normativi sempre più stringenti, come per esempio le normative GDPRNIS2 e gli altri standard di settore.

Ecco allora che un Security Operations Center (SOC) “tradizionale”, incentrato su un approccio reattivo, basato sulla rilevazione e risposta a incidenti, non basta più per affrontare queste sfide. È necessario abbracciare un modello evoluto e proattivo, che sfrutti le potenzialità dell’intelligenza artificiale (AI) e dell’automazione per anticipare, rilevare e mitigare in modo agile e puntuale tutti i tipi di rischi. Questo nuovo paradigma del SOC non è soltanto un miglioramento tecnologico: rappresenta una trasformazione strategica, pensata per affiancare le organizzazioni non solo nella protezione dagli attacchi, ma anche nel supporto alla conformità normativa. Attraverso servizi mirati e consulenze specializzate, il SOC diventa un partner essenziale per garantire che le aziende rispettino le normative di sicurezza e continuino a operare in un quadro di fiducia e trasparenza. Come evidenziato anche dagli esperti di Gruppo Eng, il SOC moderno è un abilitatore per la gestione del rischio aziendale a 360 gradi, combinando tecnologie avanzate e competenze verticali per offrire alle aziende la protezione ma anche il supporto normativo di cui hanno bisogno per navigare in un panorama sempre più complesso e interconnesso.

L’evoluzione del SOC: come era, come deve essere

Il passaggio da una difesa puramente reattiva a una difesa proattiva riflette la necessità di affrontare le minacce in modo dinamico e adattivo, basandosi su strategie di AI avanzate, strumenti di automazione e metodi di analisi predittiva. Il SOC moderno non è più quindi un semplice “centro di controllo” per la risposta agli attacchi informatici, quanto piuttosto sistema complesso che opera in modo integrato, monitorando continuamente l’intero ecosistema IT di un’azienda, e agendo tempestivamente per prevenire le minacce. Entriamo nei dettagli e per farlo riprendiamo punto a punto i temi chiavi di questa evoluzione.
Gli analisti SOC per anni sono stati impegnati a sorvegliare costantemente le attività sospette ed intervenire manualmente per contenere eventuali minacce. Tuttavia, questo approccio ha mostrato tutti i suoi limiti proprio perché basato sulla capacità umana di identificare comportamenti anomali e di intervenire rapidamente, un compito arduo quando il volume dei dati è molto elevato.

Il SOC di ultima generazione rappresenta quindi un salto tecnologico e metodologico che risponde alle esigenze moderne di cybersecurity, e mette in campo strumenti avanzati di rilevamento e risposta che possono operare a velocità e precisione superiori rispetto a quelle del passato. Questa evoluzione si è giocata proprio nell’organizzazione dei Managed Security Services (MSS) che si sono evoluti in tre fasi per adattarsi alle crescenti sfide della cybersecurity. La prima generazione è stata caratterizzata da servizi tradizionali come firewall, antivirus e gestione dei log, con un focus sulla prevenzione di accessi non autorizzati e protezione da minacce note; la seconda ha introdotto un maggiore focus sull’analisi avanzata dei dati per rilevare attività sospette e anomalie, spostando l’attenzione dalla pura prevenzione alla rilevazione precoce e alla risposta rapida, mentre la terza e più recente si incentra sul concetto di Managed Detection and Response (MDR), integra rilevamento avanzato, analisi e risposta agli incidenti, con un approccio proattivo che sfrutta tecnologie di intelligenza artificiale e machine learning per una risposta tempestiva e completa alle minacce.

Un SOC di terza generazione è proprio caratterizzato da un approccio proattivo e dinamico, le cui differenze si misurano quindi sulla necessità di fare uno shift su cinque punti chiave.
1. Da un monitoraggio manuale a un sistema basato sull’AI: Il monitoraggio attraverso l’attività manuale oltre a essere estremamente oneroso in termini di risorse, è soggetto a errori umani e incapace di garantire la tempestività necessaria. Con l’integrazione dell’AI, invece, il SOC in fase di detection analizza automaticamente i flussi di dati e individuare schemi sospetti in tempo reale, riducendo drasticamente il tempo necessario per identificare potenziali minacce. L’AI, a sua volta, può migliorare continuamente i propri algoritmi attraverso l’apprendimento automatico (machine learning) e questo rende il SOC più efficiente e preciso.
2. Da una risposta reattiva a una prevenzione proattiva (incident response): Un SOC di nuova generazione prevede necessariamente l’automazione della risposta agli incidenti. Anziché aspettare che una minaccia venga rilevata e successivamente gestita, il SOC moderno utilizza playbook automatizzati per rispondere proattivamente a scenari predefiniti. Questo approccio non solo riduce il tempo di risposta, ma consente anche di intervenire prima che una minaccia si concretizzi, prevenendo potenziali danni.
3. Dalla visualizzazione globale degli attacchi a un monitoraggio specifico basato su KPI e metriche rilevanti (reporting): Mentre il SOC tradizionale monitora le minacce tramite mappe di attacco che tracciano eventi su scala globale, il SOC moderno adotta un approccio basato su metriche specifiche e KPI (Key Performance Indicators) che riflettono direttamente gli obiettivi aziendali e il rischio specifico di ciascuna organizzazione. Questo consente di avere un quadro più chiaro e orientato al contesto delle minacce che potrebbero avere un impatto significativo sul business.
4. Continua validazione della postura cybersecurity (e risk management): Per anni, a fronte della possibilità bassa di attacchi a livello nazionale ad alto rischio, le aziende hanno potuto beneficiare del lavoro di analisi dei SOC, di fatto, senza “spostare” o comunque rimodulare il proprio baricentro cybersecurity, oggi questo non è più possibile ed il SOC si rivela uno strumento sempre più indispensabile anche per validare e monitorare la postura di sicurezza. 
5. Dalla presenza fisica a un ambiente virtuale e collaborativo (control room): La struttura tradizionale del SOC prevede la presenza fisica degli analisti in una control room centralizzata, dove gruppi di lavoro operano fianco a fianco. Tuttavia, con l’avvento delle tecnologie di collaborazione online e delle strutture SOC distribuite, è ora possibile gestire operazioni di sicurezza da ambienti virtuali, con team dislocati in diverse parti del mondo. Questo permette una maggiore flessibilità operativa e una migliore integrazione con risorse specializzate, indipendentemente dalla loro posizione geografica.

Nuovi modelli operativi, verso i servizi SOC estesi

I SOC di nuova generazione sono oggi “la” risposta diretta ai cambiamenti nelle esigenze aziendali e nelle modalità di gestione delle minacce informatiche, l’adozione di modelli operativi SOC più flessibili e basati sull’AI quindi sta crescendo rapidamente. Secondo Gartner, il 63% delle aziende adotta un modello SOC ibrido, che combina risorse interne ed esterne, per garantire una maggiore copertura e competenze specifiche. Questo modello consente alle organizzazioni di adattare il SOC alle proprie esigenze in modo dinamico, sfruttando le competenze interne e al contempo avvalendosi di servizi esterni specializzati, ideali per affrontare minacce di natura sempre più complessa. Più in dettaglio, si parla di un approccio che offre la flessibilità necessaria per affrontare una gamma crescente di minacce, mentre solo il 34% delle organizzazioni gestisce un SOC completamente interno. Sebbene molti leader si dichiarino soddisfatti dell’infrastruttura del proprio SOC (83%), delle politiche di sicurezza IT (80%) e delle competenze del team (75%), i costi restano una sfida, con solo il 55% di soddisfazione in questo aspetto. Inoltre, il 73% dei leader sta riportando cambiamenti nel modello operativo del proprio SOC nell’ultimo anno, spinto da iniziative di trasformazione digitale (68%), evoluzione delle minacce (54%) o cambiamenti nei fornitori terzi (51%).

Questo dato evidenzia la necessità di un adattamento continuo e di una costante revisione del modello operativo del SOC per rispondere alle nuove minacce e ai cambiamenti tecnologici. La flessibilità è diventata una qualità fondamentale per un SOC moderno, permettendo di rimanere allineati agli obiettivi aziendali e di affrontare in modo efficace un panorama di minacce in continua evoluzione. 

La chiave di lettura di questi numeri indica che un SOC moderno offre una difesa completa grazie a una serie di servizi che oggi diventano fondamentali: monitoraggio continuo, analisi delle minacce, risposta agli incidenti, analisi forense, intelligence sulle minacce, gestione delle vulnerabilità e reporting sono i principali. Parliamo di servizi che  consentono al SOC di identificare e mitigare le minacce in modo tempestivo, garantendo la resilienza operativa e supportando la leadership aziendale nella valutazione della postura complessiva di sicurezza e nell’individuazione delle aree critiche su cui intervenire.

La proposta di Gruppo Eng con Cybertech

In questo contesto, Cybertech, la divisione dedicata alla cybersecurity del Gruppo Eng – parte della struttura Digital Technologies– emerge come un partner di eccellenza, grazie a un approccio integrato e basato su AI e automazione per la protezione delle infrastrutture IT e OT (Operational Technology). Cybertech, infatti, non è soltanto un fornitore di servizi di cybersecurity, ma rappresenta un centro di eccellenza che offre un modello di sicurezza incentrato su un SOC avanzato. Con oltre 300 specialisti della sicurezza e un’esperienza pluridecennale nella gestione di progetti di sicurezza end-to-end, l’azienda supporta aziende e organizzazioni nel loro percorso verso la trasformazione digitale. Il valore di questo approccio si riflette nell’architettura di cybersecurity di tipo mesh in cui diverse piattaforme tecnologiche collaborano e offrono barriere progressive, mantenendo un controllo unificato e integrato, per garantire una postura adattiva e resiliente che consente alle organizzazioni di mitigare e gestire meglio il rischio cibernetico, crescendo e adattandosi nel tempo – questo assicura una sicurezza flessibile e adattiva, e nella vasta gamma di servizi SOC progettati per rispondere alle esigenze attuali di prevenzione, rilevamento e risposta alle minacce.

L’approccio alla sicurezza del Gruppo Eng si basa su una protezione in-depth e multilivello che combina soluzioni specifiche e trasversali, potenziata da un SOC di terza generazione per una risposta tempestiva alle minacce.

L’offerta Eng copre un ampio spettro di servizi end-to-end per garantire una sicurezza informatica completa, integrando strategia, protezione, difesa e resilienza. L’approccio parte dalla consulenza strategica (Cyber Strategy), dove esperti analizzano la postura di sicurezza attuale e definiscono una roadmap personalizzata per ridurre i rischi cyber, affrontando anche la complessità normativa con un team dedicato alla governance e compliance. La protezione si basa su una filosofia Zero Trust, che implementa soluzioni di sicurezza multilivello per difendere identità, reti, endpoint, server e dati, incluse infrastrutture ibride e multi-cloud. Per garantire una risposta efficace agli attacchi informatici, viene offerta una difesa operativa (Cyber Defense) attraverso il Security Operations Center (SOC) avanzato, potenziato da intelligenza artificiale e automazione, che permette di identificare e neutralizzare le minacce in tempo reale. Infine, la resilienza delle organizzazioni (Cyber Resilience) viene testata attraverso una serie di servizi che hanno la finalità di identificare e comprendere le minacce emergenti, come i servizi di Technical Security Audit e Threat Intelligence che, combinati con azioni di Red Teaming e simulazioni di attacco, migliorano la preparazione aziendale alle minacce dei gruppi hacker.

Caratteristiche distintive del SOC di Cybertech
Portafoglio di Offerta di Cybersecurity

Caratteristiche distintive del SOC di Cybertech

Il SOC di Cybertech si distingue per alcune caratteristiche fondamentali, che lo rendono uno dei servizi più avanzati e completi sul mercato. Mette a disposizione dei clienti le competenze di oltre 70 analisti SOC organizzati con approccio multilayer, dispone di due
SOC Control Rooms (Roma e Bologna) ed offre ai clienti la capacità di oltre 50 tecnologie distinte. Per capire come approfondiamo i principali elementi che compongono questa architettura, nell’ambito di un SOC Framework che è allineato agli standard come quello Nist, e si ispira appunto all’approccio componibile mesh introdotto da Gartner:

  1. Rilevamento avanzato delle minacce: Utilizzando tecnologie di Security Information and Event Management (SIEM) e sistemi di rilevamento avanzati come NDR(Network Detection and Response) e XDR (Extended Detection and Response), il SOC è in grado di analizzare eventi in tempo reale e identificare comportamenti sospetti. Questo sistema è arricchito da una componente di intelligenza artificiale, che migliora la precisione del rilevamento e permette di illuminare quelle aree cieche spesso trascurate dai sistemi tradizionali.
  2. Automazione della risposta agli incidenti: Un sistema di orchestrazione e automazione della sicurezza tramite SOAR (Security Orchestration, Automation, and Response), che consente di rispondere automaticamente a determinati eventi predefiniti, riducendo i tempi di risposta e minimizzando l’impatto di un potenziale attacco. Questo sistema automatizzato si avvale di playbook specifici per orchestrare escalation, analisi e risposta agli incidenti, consentendo al personale di concentrarsi su attività di alto valore aggiunto, come l’analisi forense.
  3. Intelligence e threat hunting personalizzato: Oltre ai sistemi di rilevamento automatico, il Security Operations Center offre un servizio di threat hunting, che permette di cercare proattivamente minacce nascoste che potrebbero sfuggire ai normali sistemi di rilevamento. Gli analisti SOC conducono indagini su minacce persistenti avanzate, analizzando le tattiche e le tecniche degli attaccanti per adattare continuamente le difese.
  4. Integrazione della threat intelligence: Uno degli elementi di forza del SOC è poi l’integrazione della componente di threat intelligence, che permette di monitorare l’ambiente esterno per identificare pattern di attacco emergenti e vulnerabilità critiche. La threat intelligence offre bollettini settoriali e avvisi specifici che aiutano le aziende a prevenire le minacce in anticipo, offrendo un quadro sempre aggiornato del panorama delle minacce.
  5. Dashboard personalizzate e Analisi contestuale: Cybertech fornisce dashboard personalizzate, che permettono ai responsabili della sicurezza di monitorare in tempo reale gli eventi e di avere una visione chiara della postura di sicurezza dell’azienda. Questi strumenti di analisi contestuale forniscono informazioni dettagliate sugli incidenti e facilitano la gestione della sicurezza a livello strategico.
  6. Gestione delle vulnerabilità e Prevenzione proattiva: Grazie a un sistema integrato di gestione delle vulnerabilità, il SOC è in grado di identificare e risolvere le vulnerabilità nei sistemi e nelle applicazioni prima che possano essere sfruttate da attori malintenzionati. Questo approccio proattivo consente di rafforzare continuamente la sicurezza del perimetro aziendale, riducendo il rischio di exploit e di violazioni.

SOC Cybertech, il valore aggiunto per i clienti

Il Gruppo Eng con Cybertech si propone quindi come un partner strategico per le aziende, non solo per la fornitura di servizi SOC, che comunque indirizzano anche i bisogni di compliance normativa, ma anche per la capacità di adattarsi e di evolversi insieme in sinergia con il cliente. Questo è possibile grazie a una struttura organizzativa flessibile, che consente al SOC di operare 24/7 attraverso un team specializzato su diversi livelli di supporto: monitoraggio delle minacce e analisi dei log, trouble-shooting avanzato con rilevamento proattivo delle minacce, oltre a attività avanzate di threat hunting e gestione di incidenti complessi. Il team per la cybersecurity di Gruppo Eng per farlo include professionisti con competenze diversificate che collaborano per garantire una copertura completa e una risposta tempestiva alle minacce. La capacità di rispondere rapidamente alle nuove minacce è ulteriormente potenziata dalla collaborazione con i principali fornitori di tecnologia e dai forti investimenti in ricerca e sviluppo.

Grazie all’integrazione di AI e automazione, il servizio SOC si distingue per la sua adattabilità e flessibilità, rendendo Eng e Cybertech un partner ideale per aziende che puntano a una trasformazione digitale sicura e resiliente. Il SOC non è solo una soluzione di difesa, ma un motore di innovazione e prevenzione, capace di proteggere dati e infrastrutture aziendali, offrendo una sicurezza dinamica e pronta a rispondere alle sfide emergenti.

Per saperne di più scarica l’infografica: Potenziare i SOC moderni con le capacità dell’AI
Non perdere tutti gli approfondimenti della room Evolve Your Digital Ecosystem

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE