Nel panorama attuale della cybersecurity, le aziende italiane si trovano ad affrontare sfide complesse, amplificate dall’evoluzione delle minacce informatiche e dall’impiego crescente dell’intelligenza artificiale. La protezione dei dati, la conformità normativa e la formazione del personale sono alcune delle aree in cui le organizzazioni devono “ripensare” le proprie difese per garantire sicurezza e resilienza.
Ne parliamo con Marco Iavernaro, Global Soc Manager di Yarix (Var Group), che offre una visione di scenario su come le aziende dovranno affrontare nei prossimi anni il problema e sulle strategie più efficaci, mettendo a fuoco in particolare l’approccio di Var Group ed il valore della proposta Yarix con Egyda; il ruolo dell’intelligenza artificiale nella sicurezza informatica, l’importanza della protezione dei dati e della conformità alle normative, e il valore della cultura aziendale della cybersecurity.

Quali sono le principali sfide che prevedete nei prossimi anni per le aziende italiane (cybersecurity), considerando l’evoluzione delle minacce e l’utilizzo crescente dell’intelligenza artificiale sia come strumento di difesa che di attacco?

Le sfide che le aziende italiane, e non solo, potrebbero affrontare nei prossimi anni in ambito cybersecurity sono molteplici e strettamente legate all’evoluzione delle tecnologie, dell’intelligenza artificiale (AI) e delle modalità d’attacco. Tra le principali si possono individuare:

L’evoluzione degli attacchi guidati dall’intelligenza artificiale

Negli ultimi anni, l’intelligenza artificiale è diventata una risorsa fondamentale non solo per le difese, ma anche per chi intende sferrare attacchi cyber. Gli attori malintenzionati stanno utilizzando sempre più spesso algoritmi avanzati per rendere i loro attacchi più mirati e difficili da rilevare. Ad esempio, il phishing basato su AI consente di creare messaggi personalizzati e molto realistici, aumentando la probabilità che la vittima venga tratta in inganno. Parallelamente, strumenti come i deepfake permettono di manipolare video o audio per truffare aziende o individui, simulando interazioni apparentemente autentiche.

Anche i malware stanno evolvendo: nuovi tipi di software malevolo sono in grado di adattarsi dinamicamente alle difese di un sistema, rendendo obsolete le contromisure tradizionali. Per le aziende italiane, la sfida sarà duplice: da un lato, implementare strumenti di difesa automatizzati e basati su AI per identificare queste minacce in tempo reale; dall’altro, formare il personale per riconoscere e gestire attacchi sempre più sofisticati.

La protezione dei dati sensibili e la conformità normativa

La protezione dei dati è diventata una priorità per ogni azienda, soprattutto in un contesto come quello europeo, dove il Gdpr impone regole stringenti. In Italia, molte aziende stanno ancora adattandosi a questi requisiti, ma la crescente digitalizzazione rende la sfida più complessa. Non si tratta solo di proteggere i dati da accessi non autorizzati, ma anche di garantirne un uso etico e conforme alle normative.

In particolare, la direttiva Nis2 amplia significativamente gli obblighi di sicurezza per le aziende italiane, includendo un numero maggiore di settori, come sanità, servizi Ict e amministrazioni pubbliche. Introduce requisiti più stringenti, come la gestione avanzata dei rischi, la segnalazione rapida degli incidenti (entro 24 ore) e la responsabilità diretta del management.

Un’altra sfida sarà affrontare i crescenti tentativi di data breaches, attacchi mirati a rubare dati sensibili. Questo richiederà sistemi di monitoraggio più robusti e una maggiore collaborazione tra pubblico e privato per condividere informazioni sulle minacce.

La centralità della formazione e della cultura della cybersecurity

Nonostante l’evoluzione tecnologica, l’elemento umano rimane il punto più debole nella sicurezza informatica. Una password troppo semplice, un link cliccato per errore, o una mancata comprensione del rischio possono compromettere l’intero sistema di difesa di un’azienda. Per questo motivo, investire nella formazione del personale è fondamentale.

Ogni azienda dovrebbe creare programmi formativi regolari per educare i dipendenti sulle minacce più comuni, come il phishing o i ransomware, e sulle buone pratiche da seguire, come la gestione sicura delle password. Inoltre, è importante coltivare una cultura aziendale della sicurezza, dove ogni dipendente, indipendentemente dal ruolo, si senta parte attiva nella protezione dell’azienda.

Questo aspetto è particolarmente critico per le Pmi, dove spesso la formazione è carente e la cybersecurity viene considerata una questione esclusivamente tecnica. Rendere tutti più consapevoli dei rischi e delle possibili soluzioni contribuirà a creare aziende più resilienti.

Questi temi evidenziano come la cybersecurity sia un ambito in costante evoluzione, con sfide sempre più complesse e interconnesse. Per affrontarle, le aziende italiane dovranno adottare un approccio proattivo, combinando tecnologie avanzate, formazione e strategie di gestione del rischio.

Come la piattaforma proprietaria Egyda – e la vostra proposta complessiva – si differenzia rispetto ad altre soluzioni di mercato nella gestione della rilevazione delle minacce e in che modo supporta concretamente le aziende nel migliorare i tempi di risposta agli incidenti?

L’integrazione dell’intelligenza artificiale (AI) e del machine learning (ML) nel campo della cyber security porta con sé una serie di benefici significativi che possono migliorare notevolmente la capacità delle organizzazioni di prevenire, rilevare e rispondere alle minacce informatiche in modo efficiente e tempestivo. Di seguito, vengono esplorati i principali vantaggi offerti da queste tecnologie.

Miglioramento del rilevamento delle minacce e della risposta

Previsione proattiva: l’AI e il ML consentono la creazione di sistemi capaci di apprendere dai dati storici e correnti per identificare tendenze e pattern, consentendo un approccio proattivo nella previsione e nel rilevamento delle minacce prima che possano causare danni significativi.

Rilevamento in tempo reale: grazie alla capacità di analizzare volumi massicci di dati in tempo reale, l’AI e il ML possono identificare comportamenti sospetti e anomalie con una rapidità che va oltre le capacità umane, consentendo una risposta quasi immediata agli incidenti di sicurezza.

Riduzione dei Falsi Positivi

Affinamento continuo: gli algoritmi di ML sono in grado di apprendere continuamente dai nuovi dati, migliorando nel tempo la loro precisione. Questo affinamento continuo consente una significativa riduzione dei falsi positivi, ovvero allarmi non legati a vere minacce, che possono sovraccaricare i team di sicurezza e distogliere risorse da problemi reali.

Personalizzazione: la capacità di personalizzare gli algoritmi in base al contesto specifico di un’organizzazione migliora ulteriormente l’accuratezza del rilevamento, riducendo il numero di falsi allarmi e consentendo ai team di sicurezza di concentrarsi sulle minacce effettive.

Efficienza Operativa Migliorata

Automazione dei compiti ripetitivi: possono essere attribuiti ad AI e ML compiti ripetitivi e a basso valore aggiunto, come la raccolta e l’analisi preliminare dei dati, così che i professionisti della sicurezza possano concentrarsi su attività più strategiche e decisionali.

Gestione delle risorse: con l’aiuto dell’AI e del ML, le organizzazioni possono ottimizzare l’uso delle loro risorse di sicurezza, indirizzando il personale e le tecnologie là dove sono più necessari, in base alla gravità e alla priorità delle minacce rilevate.

Scalabilità delle Operazioni di Sicurezza

Marco Iavernaro
Marco Iavernaro, Global Soc Manager di Yarix (Var Group)

Adattabilità: man mano che una rete aziendale si espande così fa la superficie di attacco. L’AI e il ML permettono ai sistemi di sicurezza di adattarsi e scalare in modo efficiente, affrontando la crescente complessità e il volume delle minacce senza la necessità di aumentare proporzionalmente il personale di sicurezza.

Integrazione: le soluzioni basate su AI e ML si integrano facilmente con altre tecnologie di sicurezza fornendo un approccio olistico alla gestione delle minacce, che migliora la resilienza complessiva dell’organizzazione.

L’adozione dell’Intelligenza Artificiale e del Machine Learning nella cyber security ha prodotto notevoli successi in diverse aree. I seguenti casi di studio evidenziano come queste tecnologie siano state applicate con efficacia nel contesto del Security Operation Center (Soc) di Yarix. L’insieme delle tecnologie sviluppate in questo ambito ha preso il nome di “Egyda”.

Hyper Automation

La mole di informazioni che gli operatori di sicurezza si trovano a gestire nell’odierno contesto della sicurezza informatica è enorme e in costante crescita. È inoltre evidente la necessità di correlare informazioni provenienti da più fonti nel minor tempo possibile, al fine di poter contestualizzare e analizzare gli eventi di sicurezza. Ciò comporta un carico di attività notevole sugli analisti, che in diverse occasioni si ritrovano a dover compiere le stesse attività in maniera ripetitiva.

Con gli obiettivi di ridurre al minimo queste casistiche e di fornire agli analisti un dato il più completo possibile si è lavorato per portare un’automazione sempre più pervasiva di alcune attività di raccolta e correlazione dei dati di sicurezza.

La prima area di intervento è stata quella relativa agli strumenti di sicurezza (Siem, Edr, Ndr, ecc.), sui quali è stato eseguito un lavoro di standardizzazione degli scenari di rilevazione seguendo diversi standard di settore (ad esempio Mitre Att&ck) e adottando schemi di nomenclatura ben definiti.

Sulla base degli schemi di nomenclatura e degli scenari costruiti, si eseguono in modo dinamico interrogazioni supplementari delle basi di dati disponibili, per fornire un’informazione più completa e precisa agli analisti, correlando fra loro tutte le anomalie sollevate dagli strumenti di sicurezza.

Il cuore del sistema è un linguaggio di modellizzazione sviluppato internamente, dietro il quale si celano funzioni atomiche che si occupano di raccogliere, arricchire ed elaborare le informazioni relative all’anomalie di sicurezza in esame. Viene poi fornito un risultato in linguaggio naturale che indica qual è stata l’anomalia, i relativi metadati e quali sono le azioni di contenimento e rimedio proposte.

Infine, a valle della valutazione degli analisti, tutto il processo di escalation e presentazione del dato agli altri attori in gioco è stato automatizzato integrando fra loro tutti gli strumenti utilizzati.

La prospettiva futura è l’introduzione di una componente di Natural Language Processing (Nlp) al fine di rendere meno esosa la manutenzione e il continuo sviluppo del sistema. Inoltre, si prevedono vantaggi anche dal punto di vista della naturalezza di linguaggio e nella presentazione delle informazioni.

YUBA

YUBA è uno strumento di analisi comportamentale proprietario, progettato e sviluppato internamente, il cui obiettivo è quello di superare le metodologie classiche di rilevamento delle anomalie messe a disposizione sui Siem classici. Il target di YUBA è l’analisi dell’intero flusso di autenticazioni degli utenti verso i servizi Cloud pubblici (Microsoft Office 365, Google GSuite ecc.), al fine di rilevare le anomalie che possono indicare la compromissione delle credenziali di un utente.

Il sistema è in grado in raccogliere in autonomia i log grezzi dei sistemi, estraendo da essi una tripletta d’informazione atomica:

  • Chi: qual è l’utente che ha eseguito l’accesso
  • Quando: la data e l’ora dell’accesso
  • Dove: da che indirizzo IP (v4 o v6) è avvenuta l’autenticazione

Da questi dati, viene costruito in tempo reale un profilo completo dell’accesso. A partire dall’indirizzo IP viene valutata la posizione geografica (coordinate GPS con relativo raggio d’incertezza, continente, nazione, divisioni amministrative), l’orario locale dell’accesso e vengono aggiunti una serie di attributi all’indirizzo IP stesso quali ISP, ASN, presenza in determinate blacklist e così via. Vengono inoltre fatte delle valutazioni, quando i dati sono disponibili, sulle proprietà del dispositivo da cui è stata eseguita l’autenticazione.

Una volta completata questa fase di arricchimento, i dati vengono posti, in maniera anonimizzata, su delle basi di dati per l’accesso e l’elaborazione successiva.

L’elaborazione del dato è demandata a un sistema a più fasi.

Nella prima fase, viene eseguito un clustering mediate l’AI dello storico delle autenticazioni dell’utente: qualora l’autenticazione in esame non fosse all’interno di almeno un cluster questa viene segnata come potenzialmente anomala e passa alla seconda fase.

Nella seconda fase viene applicato un albero decisionale, anch’esso progettato e sviluppato internamente. Qui vengono valutati ulteriori parametri e il contesto dell’accesso in questione rispetto agli altri nel periodo temporale vicino, per fornire infine una decisione sulla bontà o meno dell’autenticazione oggetto di verifica. Lo strumento non fornisce solamente l’indicazione vero/falso, ma dà indicazione sul perché un determinato accesso sia stato ritenuto anomalo oppure no e si integra con la parte di Hyper Automation per la presentazione del dato in linguaggio naturale agli analisti.

Artificial intelligence

Sempre nel contesto del Security Operation Center, è stato costruito un modello di AI in grado di fornire un’indicazione probabilistica sul fatto che una determinata anomalia sollevata da una delle piattaforme di sicurezza monitorate (Siem, Edr, Ndr…) sia o meno un vero positivo. L’obiettivo del modello è quello di supportare gli analisti nel processo di triage e di prioritizzazione della gestione delle minacce da analizzare.

La fase iniziale di realizzazione del modello ha visto la costruzione di un formato di dati standard per la descrizione delle anomalie di sicurezza. Ogni strumento di sicurezza, infatti, fornisce dati molto diversi fra loro, non solo nel contenuto, ma anche nel formato. Questo fatto ostacola la costruzione di un modello supervisionato come quello adottato, da cui la necessità della standardizzazione.

Una volta stabilito il formato e “tradotto” un numero sufficiente di anomalie di sicurezza, è stato addestrato il modello, basato tecnicamente su una serie di “Regression Tree”. Il set di dati di training è stato rappresentato da tutti gli allarmi gestiti dal Security Operation Center (Soc) negli ultimi 18 mesi. Vi è inoltre la possibilità di eseguire su richiesta un nuovo addestramento del modello.

All’interno del Soc il modello processa tutte le anomalie sollevate dagli strumenti di monitoraggio e fornisce il risultato probabilistico sotto forma di uno score da 0 a 100 nonché quali sono stati i parametri dell’anomalia che più di tutti hanno contribuito ad innalzare o abbassare tale score, fornendo quella che di fatto è l’explainability del modello stesso.

Come supportate le Pmi nell’implementazione delle soluzioni in termini di metodo, competenze e risorse?

Le Pmi rappresentano una fetta significativa del tessuto imprenditoriale italiano, ma spesso non dispongono di risorse sufficienti per adottare tecnologie avanzate di cybersecurity. Questo le rende un bersaglio facile per attacchi opportunistici o mirati. Molte aziende sottovalutano il rischio o non hanno una visione strategica della sicurezza informatica, vedendola più come un costo che come un investimento.

Per supportare le piccole e medie imprese (Pmi) nell’implementazione di soluzioni di sicurezza informatica, è fondamentale adottare un approccio che integri metodo, pianificazione e competenze.

Metodo: Un approccio strutturato

Valutazione dei rischi: Le Pmi dovrebbero iniziare identificando i processi, i sistemi e i dati vitali per il loro business, valutando le potenziali minacce e vulnerabilità. Questo permette di stabilire obiettivi di cybersicurezza significativi e coerenti con gli obiettivi strategici dell’organizzazione. Un elemento fondamentale in quest’ottica è quello legato alla valutazione dello stato di maturità della sicurezza aziendale e alla predisposizione di documentazione preparatoria per la gestione di eventi critici, come possono essere gli incidenti di sicurezza.

Monitoraggio e aggiornamento: Implementare sistemi di monitoraggio continuo per rilevare anomalie e aggiornare regolarmente le misure di sicurezza, assicurando la resilienza e la continuità operativa. Grazie ai servizi gestiti di sicurezza offerti da Yarix è possibile essere allertati qualora si verifichino eventi di sicurezza sia all’interno del perimetro dell’azienda, con il servizio Soc, sia all’esterno della stessa con il monitoraggio eseguito dal team di cyber threat intelligence, volto ad identificare informazioni utili presenti all’esterno del perimetro aziendale.

Pianificazione strategica: Integrare la cybersicurezza nella pianificazione aziendale, definendo misure di sicurezza conformi al quadro normativo vigente e aggiornandole periodicamente. Yarix supporta le Pmi grazie alle sue attività consulenziali che permettono di verificare l’aderenza con framework riconosciuti a livello internazionale e utili per misurare i gap rispetto allo standard e identificare le aree in cui è prioritatio intervenire.

Per raggiungere tale scopo è consigliabile nominare un responsabile per la cybersicurezza, anche esterno, che supporti nell’individuare e raggiungere tali obiettivi.

Competenze: Formazione e sensibilizzazione

Formazione del personale: Organizzare programmi di formazione per aumentare la consapevolezza dei dipendenti sulle buone pratiche di cybersicurezza, come la gestione sicura delle password e il riconoscimento di tentativi di phishing. La partecipazione attiva alle iniziative di formazione è fondamentale per proteggere sia i dipendenti che l’organizzazione.

Coinvolgimento di esperti: Collaborare con professionisti Ict e fornitori IT qualificati per implementare soluzioni di sicurezza adeguate e mantenere aggiornati i sistemi operativi e le applicazioni. È importante scegliere fornitori che soddisfino adeguati livelli di cybersicurezza, definendo misure contrattuali e requisiti adeguati alla criticità dei dati e dei servizi affidati.

Adottando queste strategie, le Pmi possono rafforzare la loro resilienza cibernetica, proteggendo il proprio patrimonio informativo e garantendo la continuità dei servizi offerti.

Competenze: Formazione e sensibilizzazione

Formazione del personale: Organizzare programmi di formazione per aumentare la consapevolezza dei dipendenti sulle buone pratiche di cybersicurezza, come la gestione sicura delle password e il riconoscimento di tentativi di phishing. La partecipazione attiva alle iniziative di formazione è fondamentale per proteggere sia i dipendenti che l’organizzazione.

Coinvolgimento di esperti: Collaborare con professionisti Ict e fornitori IT qualificati per implementare soluzioni di sicurezza adeguate e mantenere aggiornati i sistemi operativi e le applicazioni. È importante scegliere fornitori che soddisfino adeguati livelli di cybersicurezza, definendo misure contrattuali e requisiti adeguati alla criticità dei dati e dei servizi affidati.

Adottando queste strategie, le Pmi possono rafforzare la loro resilienza cibernetica, proteggendo il proprio patrimonio informativo e garantendo la continuità dei servizi offerti.

Per saperne di più scarica il whitepaper: I numeri del cybercrime secondo Yarix

Non perdere tutti gli approfondimenti della Room One Security by Var Group

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE