Treviso è teatro per un giorno di un doppio anniversario: il decimo compleanno del Security Operations Center (Soc) di Yarix, brand di Var Group dedicato alla cybersecurity, ma anche della “business combination” tra Var Group e Yarix. Un’occasione per riflettere sull’evoluzione della cybersecurity, sulle sfide e sulle strategie future a partire proprio dall’importanza del Soc.
In questi dieci anni Yarix si è trasformata da una “realtà veneta” specializzata in cybersecurity a punto di riferimento internazionale per la sicurezza informatica, anche all’estero, grazie all’acquisizione da parte di Var Group. A raccontare questa evoluzione sono Francesca Moriani, amministratrice delegata di Var Group, con Mirko Gatto, co-fondatore di Yarix e oggi head of Cyber Security di Var Group e Marco Iavernaro, Global Security Operations Center manager. Un confronto che ripercorre le tappe fondamentali e mette in evidenza come la cybersecurity sia oggi priorità imprescindibile per aziende e istituzioni.
Francesca Moriani ricorda come la realtà attuale di Yarix in Var Group sia il risultato di una visione prospettica comune con l’ambizione di diventare un punto di riferimento europeo per l’innovazione digitale e la sicurezza. “Var Group, infatti, si propone come digital transformation partner ed offre consulenza e soluzioni per accompagnare le imprese nel percorso di trasformazione digitale, con un approccio basato sull’ascolto del mercato e delle trasformazioni che esso vive, così come sulle operazioni di m&a (per esempio l’acquisizione della spagnola Wise Security Global a maggio, specializzata in sicurezza informatica, Ndr)“. E’ in quest’ottica, che la cybersecurity emerge come ambito fondamentale sin dal 2014, quando Var Group accende il suo interesse per Yarix, all’epoca piccola realtà veneta iperspecializzata.
Spiega ancora Moriani: “Nel 2014, la cybersecurity non era un tema così all’ordine del giorno come oggi, non era una richiesta esplicita dal mercato. La mossa è stata quindi merito dell’intuizione di Giovanni Moriani (fondatore di Var Group, Ndr.), che ha creduto molto in questo segmento prima che diventasse mainstream”. Si parla di un periodo in cui Yarix aveva circa 25 persone e un fatturato di 2 milioni di euro.
Il Soc in particolare nasce nel 2015 a Montebelluna e, nel settembre 2016, entra a far parte del First (Forum of Incident Response and Security Teams), l’organizzazione globale che riunisce team di risposta agli incidenti di sicurezza informatica provenienti da governi, aziende e istituzioni educative, consolidando la sua posizione nel settore. Dicembre 2019 segna invece l’ingresso di Yarix al 100% nella multinazionale Var Group. “E oggi Yarix conta un fatturato di 50 milioni di euro con Var Group che arriverà a chiudere il proprio anno fiscale vicino ai 900 milioni, operativa con 4.000 persone in 13 Paesi”.
Un’evoluzione quindi che Francesca Moriani definisce “la miglior business combination” realizzata da Var Group, con un polo di competenze orientato alla sicurezza con presenza in Spagna, Germania, India, Messico “e presto Thailandia”, dando vita a un Soc ‘follow the sun’ per coprire le esigenze delle aziende h24 senza gravare sul lavoro notturno del personale.
Raccoglie e struttura così gli spunti Mirko Gatto: “Probabilmente abbiamo anticipato un po’ i tempi. Era quello infatti un periodo in cui soprattutto le Pmi vedevano la sicurezza IT più come una spesa, più che come un investimento strategico e non era ancora sviluppata una chiara percezione dei rischi cyber”. Mentre Yarix ha messo tra gli obiettivi principali nel tempo la capacità di scalare i propri servizi. “Per farlo – come sottolinea Gatto – è stato fondamentale trovare un partner industriale italiano, con una visione a lungo termine, piuttosto che un fondo o un colosso internazionale interessato solo a smontare e ri-assemblare l’azienda per finalità finanziarie”. Da qui, virtuosa invece, la crescita con Var Group.
Oggi evidentemente il clima è maturo. A partire dal 2020, con l’aumento esponenziale degli attacchi ransomware, Yarix ha gestito oltre 400 incidenti di gravità critica, intervenendo a seguito di interruzioni operative causate da attacchi informatici a danni di imprese esterne al Soc, e supportando la ripartenza del business con i servizi di Incident Response. In particolare nel 2024, il team di analisi ha visto una crescita esponenziale degli eventi totali di sicurezza, che hanno toccato la soglia dei 485mila colpendo in prevalenza il settore manifatturiero, IT, e la sanità. In percentuale +56% rispetto a quanto rilevato nel 2023, soprattutto con un incremento del 169% per gli eventi di gravità critica. Il soc Yarix oggi lavora con un team internazionale di 120 persone (ben 70 nell’headquarter di Treviso) per circa 2mila eventi di sicurezza al giorno analizzati. Sono 400 complessivamente le persone dedicate alla cybersecurity.
Persone e competenze nel Soc
Oltre ai numeri, dietro al Soc Yarix di Var Group ci sono però tre elementi che Marco Iavernaro vuole richiamare: “Il funzionamento del Soc è legato soprattutto a tre componenti fondamentali: persone, processi e tecnologie“.
E così nel corso degli anni sono cresciute le competenze specialistiche “si sono strutturati team dedicati alla configurazione tecnologica, all’analisi avanzata, e alla gestione degli incidenti di sicurezza”. Un salto reso necessario dall’esplosione degli attacchi e dalla pandemia che ha costretto le aziende ad aprirsi al lavoro da remoto: “Chi l’ha fatto in maniera strutturata ha retto meglio, chi invece l’ha fatto in modo improvvisato è diventato un bersaglio facile”. Perché chi non è dotato di un Soc strutturato si accorge tardi di essere nel mirino (soprattutto nel caso di spionaggio industriale, di esfiltrazione silente dei dati), oppure quando i sistemi risultano cifrati e la produzione o i servizi si fermano. “Chi, invece, dispone di monitoraggio costante e processi di gestione degli allarmi, riesce a intervenire nelle fasi iniziali dell’attacco, riducendo drasticamente le conseguenze”.
Riprende Moriani: “Un’urgenza cui prestare attenzione, anche considerato che oggi non sempre nel mercato è trasparente l’offerta di servizi Soc che davvero avrebbero diritto a chiamarsi con questo nome”. Non si tratta di semplice “strategia commerciale”, perché si riflette sul reale livello di protezione delle aziende e dell’impatto diretto sul business.
Gatto: “Se prima della guerra un gruppo criminale poteva chiedere 1 milione di euro come cifra massima di riscatto ransomware, ora vediamo richieste iniziali di 12-15 milioni. Di recente un’azienda ha chiuso a 5 milioni di euro di riscatto, una cifra enorme”. E’ questo lo scenario che, secondo gli esperti, rende cruciale dotarsi di strumenti preventivi/di remediation efficaci. Pagare il riscatto non è la “soluzione giusta”, e spesso si sconsiglia di farlo. Ma, in mancanza di backup sicuri e di sistemi di protezione, ci sono aziende costrette a questa opzione come unica via per salvare il business, anche perché spesso sono compromesse le risorse di backup.
Un altro elemento critico riguarda gli Apt (Advanced Persistent Threat): gruppi estremamente sofisticati, associati spesso a governi o a grandi organizzazioni, in grado di penetrare in profondità nelle reti aziendali per mesi, senza distruggere nulla, sottraggono dati preziosi. “Quando ci si convince che va tutto bene, in realtà c’è il rischio che sia stato compromesso il know-how strategico. Tali attacchi non generano clamore perché non bloccano la produzione, non chiedono riscatti: eppure, nel lungo termine, possono minare la competitività di un’impresa”, specifica Gatto.
L’aiuto dell’AI per l’analisi delle minacce
Ma la mole di dati e di allarmi da analizzare è ormai così vasta che l’elemento umano da solo non è più sufficiente. Var Group ha puntato quindi su un progetto legato alla valorizzazione dell’intelligenza artificiale, denominato Egyda, che coadiuva gli analisti nel security operations center. Spiegano gli esperti di Var Group: “Egyda permette correlazioni di dati in tempo reale che l’intelligenza umana, da sola, non potrebbe fare. Questo ci consente di anticipare e individuare attacchi che altrimenti passerebbero inosservati. Ed è fondamentale integrare l’intelligenza artificiale con quella umana e collettiva. Un lavoro, tuttavia, non banale: mettere in comunicazione data scientist e analisti di sicurezza, due categorie professionali che parlano linguaggi differenti, ha richiesto tempo e formazione, in un percorso che valorizza la diversity come elemento cruciale per l’innovazione.
Grazie a Egyda e ad altre componenti di automazione – come i sistemi di security orchestration, automation and response Soar – Var Group riesce oggi a ridurre sensibilmente il tempo medio di analisi di un allarme di sicurezza: “Siamo passati da 20 minuti a 12 minuti di tempo medio di analisi. Le macchine fanno il lavoro ‘stupido’, l’essere umano fa l’attività di intelligenza, di interpretazione. Ed è qui che l’AI sprigiona il suo valore”. Questa sinergia permette al Soc di Yarix di gestire migliaia di segnalazioni, rendendo più rapido e accurato l’intervento sui reali incidenti. Per tornare ai numeri: grazie a Egyda, i tempi di analisi e risposta sono stati ridotti del 40%, permettendo agli analisti di concentrarsi sugli aspetti qualitativi del contrasto al cybercrime. E nel 2024, il 52% degli allarmi è stato gestito con il supporto di questa piattaforma, e un quarto di essi non ha richiesto intervento umano.
Salto culturale ancora in corso
Oltre alle tecnologie e alle competenze, è indispensabile lavorare alla creazione di un “tessuto di collaborazione e relazioni in grado di operare di concerto, che oggi ancora di fatto non c’è”. Prosegue Gatto: “La stessa Agenzia per la Cybersicurezza Nazionale nata “relativamente” da poco non è ancora pienamente connessa alle reti di cooperazione internazionali e in Europa, come in Italia, scontiamo un certo ritardo geopolitico e organizzativo”. E’ importante invece che l’Acn possa diventare un perno di raccordo, coinvolgendo attivamente le competenze dei principali Soc privati italiani e creando una rete di condivisione dell’intelligence, come già avviene in parte in altri Paesi. Si muovono i primi passi proprio in questi giorni con l’idea di un hypersoc e in questi ultimi anni, vero, la percezione della sicurezza sta davvero cambiando, anche tra gli “addetti ai lavori”.
Se da un lato, dove c’è reale consapevolezza crescono anche gli investimenti mirati c’è però ancora chi confonde la cybersecurity con “l’installazione di qualche software”, o con le infrastrutture di sorveglianza. Ci sono imprese che fanno fatica a capire che investire sulla sicurezza è strategico e la complessità della materia non sempre trova competenze adeguate nelle piccole aziende. Anche per questi motivi la “celebrazione” del doppio decennale per Var Group vuole essere in verità un nuovo punto di partenza. “ll gruppo continuerà a investire in tecnologia (AI, piattaforme di automazione) e nella formazione, per ridurre il gap di competenze e alimentare la collaborazione tra le diverse anime tecniche (analisti, data scientist, responsabili di processo)”, riprende Gatto. “L’AI da sola non basta: la grande sfida sarà proprio integrare l’intelligenza delle macchine con le capacità umane. Questo ci porterà a rendere i Soc sempre più reattivi e proattivi, con una correlazione avanzata dei dati, fermando le minacce quando sono ancora nella fase iniziale”. E Moriani conclude: “Non possiamo più parlare di sicurezza informatica come una commodity: oggi è una questione di sopravvivenza aziendale. E l’unico modo per vincere questa battaglia è investire in tecnologia, formazione e collaborazione”.
© RIPRODUZIONE RISERVATA
