Google, paradossi e gironi infernali della sicurezza

La sicurezza informatica vive oggi una crisi di percezione, un’allucinazione collettiva. Nonostante gli investimenti faraonici e l’accumulo esponenziale di log e alert, le violazioni continuano a mietere vittime. La ragione è strutturale: stiamo ossessivamente costruendo case blindate su fondamenta di sabbia. Il vero nemico non è la singola minaccia, ma l’oceano di rumore  che avvolge ogni centro operativo. Questo scenario è la “nebbia di guerra”, l’assenza di contesto che rende inutilizzabile l’eccesso di dati. Vediamo tutto, ma non riusciamo a comprendere niente di strategico. È il fallimento della trasformazione del dato grezzo in conoscenza. Ne parliamo con Danilo Allocca, executive security sales di Google.

In un mondo di crescente interconnessione, quali sono le principali criticità che riscontrate presso i clienti che devono conseguire obiettivi di cyber resilienza?

L’interconnessione ha amplificato la “nebbia di guerra”, spingendo le organizzazioni in due gironi infernali  dove le strategie di resilienza collassano miseramente:

• Il paradosso della prioritizzazione (la roulette russa): La criticità risiede nella cieca aderenza ai punteggi teorici. Lo scenario tipico vede i team correre a risolvere una vulnerabilità con Cvss 8.0 perché “teorica” e numericamente alta, ignorando invece quella con Cvss 7.5 che è attivamente sfruttata in quel preciso istante per colpire il loro settore. Questa è una scommessa pericolosa che condanna l’organizzazione a sprecare risorse nella difesa di muri inesistenti, mentre il predatore è già all’interno. La vera urgenza è determinata dall’attribuzione : sapere chi è l’attore minaccioso che opera con quella specifica chiave d’ingresso.
• La remediation “cosmetica” (l’incoscienza strategica): Il secondo fallimento è nella risposta, che è spesso una remediation “placebo”. Dopo l’alert, molte aziende si limitano alla “pulizia” —reinstallando o resettando password—senza comprendere il come dell’attacco. Questo è l’errore fatale: l’attaccante vuole abitare nella rete, utilizzando le Ttps (tattiche, tecniche, procedure) per muoversi lateralmente e celarsi. Se non si comprende il playbook dell’avversario , si chiude la porta principale ma si lasciano attive le chiavi di servizio , come dimostrato da attacchi basati sulla persistenza, da SolarWinds a Volt Typhoon.

Come dovrebbe essere, dal vostro punto di vista, l’approccio che dovrebbero seguire le aziende per garantire un ciclo continuo di difesa, risposta e ottimizzazione?

L’unico approccio sostenibile è quello che si libera dal giogo dei dati grezzi e si fonda su un’intelligenza trasformativa. È una svolta epistemologica: non più dati, ma conoscenza profonda e contestualizzata.

Questo approccio si articola su tre assi di miglioramento continuo:

• L’esigenza dell’intelligence raffinata (finished intelligence):
  • La conoscenza deve essere analisi contestualizzata. Non è sufficiente sapere che “c’è un virus nel mondo” ; serve sapere: “Chi mi sta cercando? Come opera solitamente? Quale playbook sta usando?”.

    

  • Questo richiede un’architettura che garantisca una capacità di visione che va oltre i confini della propria azienda. È la visione offerta da una telemetria su scala universale —l’aver già visto quell’attacco dall’altra parte del mondo —che si traduce immediatamente in una difesa locale. Questo è il vero fattore distintivo: trasformare l’esperienza globale in un vantaggio tattico immediato.
• Visione unificata e strategica del rischio:
  • Per superare le fondamenta di sabbia in ambienti ibridi e multi-cloud, è indispensabile una piattaforma di gestione del rischio unificata. Un sistema che fornisce una visione consolidata dello stato di salute della rete e delle applicazioni, permettendo di identificare le configurazioni errate e le vulnerabilità attraverso l’intero perimetro aziendale. Questo assicura che la prioritizzazione strategica (rischio reale vs. rischio teorico) sia applicata in modo coerente su tutti i sistemi, inclusi gli ambienti cloud e le risorse locali.
• Security operations (SecOps) adattative e chirurgiche:
  • La remediation deve essere orchestrata in flussi di lavoro di sicurezza che si adattano immediatamente alla specifica Ttp usata dall’attaccante. Questo è possibile solo con sistemi di automazione e orchestrazione della risposta (Soar) che non si limitino a un’azione predefinita, ma agiscano automaticamente e intelligentemente per eliminare la persistenza in modo mirato.

L’intelligenza artificiale rappresenta una leva da sfruttare per poter passare da una difesa reattiva a una difesa proattiva. Quanto è già concretamente adottata e come?

L’intelligenza artificiale (AI) non è il futuro della sicurezza, è la sua operatività presente. È la tecnologia che abilita il passaggio dal reattivo al predittivo.

L’AI è concretamente adottata in due ambiti, entrambi vitali per la resilienza:

• AI per la finished intelligence e l’attribuzione:
  • L’AI e il machine learning (ML) processano il volume massivo di eventi generati dalla telemetria su scala globale per individuare pattern comportamentali sottili. È l’AI che permette di superare la semplice correlazione e di eseguire l’attribuzione dell’attacco a specifici gruppi, identificando i loro playbook anche in assenza di Ioc noti. Questa capacità predittiva fornisce al Ciso un’analisi di rischio basata sul contesto reale —il vero superamento della Roulette Russa.
• AI per l’orchestrazione e la protezione dell’endpoint:
  • In ambito SecOps, l’AI è il motore delle piattaforme che automatizzano i flussi di lavoro di risposta. Quando una Ttp è identificata, l’AI non solo genera l’alert, ma innesca una catena di azioni adattive—dal micro-segmentare l’utente compromesso al threat hunting automatico—sollevando il carico dal personale.
  • Inoltre, l’AI è adottata per estendere la difesa fino all’ultimo miglio: il browser. Sistemi di protezione avanzata degli endpoint utilizzano l’AI per isolare proattivamente le minacce basate sul browser, analizzando in tempo reale il comportamento degli script e dei siti web prima ancora che l’utente acceda a dati sensibili in cloud o on-prem. Questo è fondamentale per una forza lavoro distribuita e rappresenta un perimeter less security efficace.

Nell’edizione 2025 del Barometro emergono diverse criticità da parte delle aziende nell’affrontare Nis2 sia sul fronte delle competenze sia su quello delle risorse economiche, quale la soluzione più efficace per superare questi ostacoli?

La sfida di Nis2 non può essere risolta con l’approccio tradizionale di assunzione di talenti e acquisto di hardware. La soluzione è lo scaling delle capacità umane attraverso l’automazione strategica e l’intelligence aumentata.

• Competenze: esternalizzazione dell’analisi (finished intelligence):
  • Le aziende non possono permettersi un team di analisti di threat intelligence di livello Mandiant. L’ostacolo delle competenze si supera incorporando questa competenza nella tecnologia. L’adozione di una finished intelligence elimina la necessità di compiere l’analisi grezza in casa, fornendo direttamente la conoscenza attribuita sulle Ttp. Questo permette ai team esistenti di agire con la massima efficacia, trasformandoli da analisti a esecutori strategici della remediation.
  • Inoltre, la capacità di avere una visione planetaria fornisce un’immediata competenza difensiva globale, essenziale per anticipare gli attacchi e rispondere ai requisiti normativi con una visione risk-based.
• Risorse economiche: ottimizzazione tramite orchestrazione (Soar e prioritizzazione):
  • La pressione economica si mitiga adottando piattaforme che garantiscano il massimo ritorno sull’investimento (Roi) del tempo speso dal personale. L’automazione SecOps è la risposta diretta: permette a un numero limitato di analisti di gestire un volume di allarmi altrimenti insostenibile, riducendo i costi operativi e il burnout del personale.
  • Parallelamente, l’utilizzo di una piattaforma unificata di controllo (es. security command center) per la prioritizzazione del rischio assicura che il budget sia speso solo per difendersi da “X”, l’attore che sta cercando attivamente quell’organizzazione. L’ottimizzazione del patching e dell’hardening, guidata dal rischio reale e non dal punteggio teorico, trasforma i costi di conformità in investimenti di resilienza mirati.

La vera resilienza non è evitare di cadere, ma capire chi ti sta spingendo, dove e come. Chi si affida solo ai propri log, sta guardando il passato. Chi sfrutta un’intelligence globale e contestualizzata, sta predicendo il futuro. Questa è la sola strada per superare la Nebbia di Guerra e affrontare l’era Nis2 con efficacia.

Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2025

© RIPRODUZIONE RISERVATA