La trasformazione digitale la si paga in termini di sicurezza. Possiamo negarlo? Aziende con infrastrutture che si portano dietro da una vita, man mano che la tecnologia avanza aggiungono., spostano, tagliano, potenziano, virtualizzano. Il risultato è che si ritrovano con delle architetture a dir poco eterogenee, con pezzi in cloud, altri in casa, altri chissà dove che magari funzionano, ma che diventano impossibili da gestire in sicurezza. Frankenstein insegna: questi “mostri” camminano, ma non li governi, e rischiano di fare danni. Gli ambienti digitali più estesi e interconnessi sono difficili da presidiare, le superfici di attacco aumentano e i muri, impalpabili, vengono facilmente violati da un cybercrime che è ormai ad altissimi livelli tecnologici. Uno scenario che deve essere monitorato continuamente e con le massime competenze, che portano molte aziende ad affidare la propria sicurezza IT a dei Security Operation Center (SOC) in grado di garantire monitoraggio continuo, capacità di analisi e intervento strutturato, a prova di una operatività ininterrotta. Una scelta che riflette l’evoluzione dell’offerta Fortinet, partita oltre vent’anni fa dal firewalling e oggi strutturata attorno al Security Fabric, la propria architettura omnicomprensiva, che mette in relazione tutti i diversi ambiti della sicurezza IT. “L’obiettivo è stato superare la frammentazione delle tecnologie – spiega Antonio Madoglio, senior director systems engineering Italy & Malta di Fortinet- per arrivare a un modello in cui rete, endpoint, cloud e OT condividono informazioni e contesto, rendendo un SOC più efficace nelle attività di rilevamento e risposta”.
Una evoluzione stimolata dalla continua pressione esercitata dalle minacce. Gli attacchi aumentano di numero e di varietà, e colpiscono settori diversi con tecniche sempre più raffinate. Lavoro da remoto, cloud e integrazioni con l’ecosistema dei fornitori ampliano continuamente i punti di esposizione, e il trend degli attacchi oggi non vede rallentamenti, anzi si arricchisce con delle new entry: “Ransomware e furto di credenziali restano molto presenti -osserva Madoglio- ma accanto a queste vediamo attacchi fileless, movimenti laterali e compromissioni della supply chain, e su questi non si può allentare l’attenzione, richiedendo una capacità di osservazione continua e di correlazione avanzata degli eventi”. In questo contesto, il SOC diventa il luogo in cui questi segnali vengono raccolti, interpretati e per i quali vengono attivate azioni tempestive di contrasto.
Tra normative e paure, cresce l’attenzione alla sicurezza
Le aziende che si orientano verso i servizi di un SOC evoluto lo fanno spinte da motivazioni diverse, spesso sovrapposte. In genere le pressioni normative sono quelle che danno la sveglia. La compliance a regolamenti come GDPR, NIS2 e DORA impone requisiti sempre più stringenti in termini di protezione, monitoraggio e capacità di risposta. Allo stesso tempo, molte aziende si stanno muovendo con investimenti proprio per avere già sperimentato incidenti, anche di entità contenuta e, spaventate, cercano di ridurre il rischio di impatti più gravi. Scottature dirette o indirette che nel tempo stanno cambiando l’approccio culturale alla sicurezza: non più peso, ma fattore abilitante per lo sviluppo del business.
“La sicurezza è sempre più percepita come un elemento legato alla continuità operativa -sottolinea Madoglio- non più come un costo accessorio, ma come una condizione necessaria per mantenere i servizi attivi. A tutto questo si aggiunge una richiesta diffusa di semplificazione, che porta le aziende a preferire piattaforme integrate e servizi gestiti, riducendo la complessità tecnologica e il carico sulle risorse interne. L’integrazione nativa fa la differenza, consentendo di ridurre i tempi di analisi e di accelerare la risposta agli incidenti, evitando passaggi manuali e silos tecnologici”.
La strategia SOC di Fortinet si inserisce in questo quadro come estensione naturale del Security Fabric. Firewall di nuova generazione, soluzioni EDR e XDR, Zero Trust Network Access, SD-WAN e SASE, threat intelligence e servizi SOC-as-a-Service operano in maniera coordinata, condividendo policy e informazioni. Il risultato è un modello che può adattarsi sia ad aziende di grandi dimensioni sia a realtà più piccole, mantenendo una struttura comune.
FortiAI, l’intelligenza artificiale integrata nelle piattaforme di sicurezza Fortinet
E in questa evoluzione, un ruolo sempre più rilevante se lo sta velocemente ricavando l’intelligenza artificiale, che nel SOC diventa uno strumento operativo quotidiano. Se in passato il machine learning veniva utilizzato soprattutto per migliorare i sistemi di detection, oggi la generative AI consente un livello di supporto più esteso agli analisti. “L’AI aiuta a ridurre i falsi positivi, a dare priorità agli alert e ad automatizzare attività ripetitive come il triage o l’arricchimento dei dati. -spiega Madoglio– FortiAI, il motore di intelligenza artificiale integrato nelle soluzioni Fortinet, inserito in piattaforme come FortiSIEM e FortiAnalyzer, consente al SOC di acquisire una capacità di analisi più profonda, orientata non solo alla reazione ma anche all’anticipazione delle minacce”.
Il SOC, nella visione Fortinet, non è però un ambiente chiuso. Le soluzioni sono progettate per inserirsi in contesti già esistenti, spesso caratterizzati da tecnologie di vendor diversi. Attraverso il programma Fabric-Ready, Fortinet certifica l’integrazione con soluzioni di terze parti, permettendo al SOC di diventare il punto di convergenza dell’ecosistema di sicurezza. “All’interno del SOC, le tecnologie Fortinet raccolgono telemetria, integrano i feed di intelligence dei FortiGuard Labs e abilitano automazione e orchestrazione – racconta Madoglio-, assumendo il ruolo di nucleo centrale nella gestione degli incidenti”. Nei modelli SOC-as-a-Service, questa funzione si rafforza ulteriormente, con la piattaforma che coordina sistemi e processi eterogenei.
La compliance entra così a far parte in maniera strutturale del SOC. Le funzionalità di reporting, il monitoraggio continuo delle policy, il controllo delle configurazioni e gli alert dedicati permettono alle aziende di mantenere l’allineamento con i requisiti normativi. A questo si affiancano servizi di consulenza per valutare i gap e definire percorsi di adeguamento.
SOC-as-a-service, un mercato che cresce che guarda alle PMI
Dal punto di vista del mercato, i servizi SOC-as-a-Service rappresentano uno degli ambiti a maggiore crescita. PMI ed enti pubblici, spesso privi di risorse interne dedicate, scelgono di esternalizzare il monitoraggio e la risposta, mentre le grandi organizzazioni adottano modelli co-gestiti per affiancare competenze specialistiche ai propri team. La piattaforma multi-tenant consente a MSSP e system integrator di erogare servizi scalabili, adattandosi a esigenze diverse “Le PMI cercano soprattutto semplicità e delega operativa, mentre le grandi aziende utilizzano la nostra tecnologia come base per SOC interni più strutturati”.
I modelli di servizio proposti sono vari e flessibili, con alcune aziende che scelgono di dare in outsourcing solamente un monitoraggio di base, altre affidano completamente detection, contenimento e remediation, mentre i modelli co-managed permettono una collaborazione continua tra SOC interni ed esterni. I servizi sono modulari, con pacchetti standard personalizzabili in base a settore, dimensioni e livello di maturità digitale.
Dal punto di vista tecnologico, lo stack SOC del vendor include FortiSIEM, FortiSOAR, FortiEDR, FortiXDR e FortiNDR, insieme ai firewall di nuova generazione, alla threat intelligence dei FortiGuard Labs, al sandboxing e all’AI. Elementi che operano in maniera coordinato, riducendo i tempi di triage e aumentando la capacità di risposta, mantenendo al tempo stesso apertura verso integrazioni esterne.
Competenze cercasi per i SOC del futuro
Punto dolente per lo sviluppo di questo mercato rimane quello delle competenze. Se le aziende clienti faticano a reperire specialisti della security, motivo per cui si rivolgono sempre più spesso a terzi, è invece vitale avere nei SOC figure quali analisti, threat hunter e incident responder, che sono, comunque, figure rare, e la cui presenza o meno incide direttamente sulla sostenibilità dei modelli di sicurezza. Competenze specifiche che Fortinet contribuisce a formare, spesso ancheb gratuitamente, attraverso il programma NSE (Network Security Expert) del Fortinet Training Institute, o attivando collaborazioni con Università e ITS.
Anche perché si tratta di formare una nuova generazione di professionisti, che siano in grado di interagire con l’automatizzazione crescente dei SOC. “Il SOC è destinato a diventare sempre più automatizzato e guidato dall’AI –conferma e conclude Madoglio-. L’adozione dei SOC-as-a-Service continuerà a crescere, in particolare tra le PMI, mentre automazione e intelligenza artificiale diventeranno indispensabili per gestire volumi di eventi sempre più elevati. Supply chain, convergenza IT/OT e gestione continua della superficie di attacco delineano uno scenario in cui il SOC non è più una funzione separata, ma una componente integrata della sicurezza complessiva, capace di accompagnare le aziende in un contesto che continua a complicarsi, garantendo monitoraggio costante e capacità di intervento specializzato”.
