SOC di Lutech: velocità, competenze e AI per una sicurezza più efficace. Nel momento in cui scatta un allarme di sicurezza, il fattore tempo diventa decisivo. Bisogna capire velocemente se si tratta di un falso allarme oppure di un segnale reale, verificare se qualcuno sta tentando un accesso non autorizzato o si è già mosso nella rete aziendale, e attivare le risposte più adatte prima che l’intrusione si allarghi fino a causare furti di dati o blocchi dei sistemi. Sono queste le sequenze su cui lavora un SOC come l’A³ Cyber Defence Center di Lutech, attivo giorno e notte nella gestione degli eventi di sicurezza su tecnologie diverse e nel controllo dei punti più esposti delle aziende clienti di cui ha la delega per garantirne la operatività continua. A prova di attacchi. “Il nostro lavoro è ridurre al massimo i tempi di detection e response, chiudere in fretta i falsi positivi e, quando l’evento è reale, avviare immediatamente le azioni di contenimento”, spiega Fabio Ingrosso, head of Managed Services dell’A³ Cyber Defence Center di Lutech.
Una “A al cubo” perché è con tre A che Lutech descrive il proprio approccio alla sicurezza, che vuole sia Adaptive, Automated e AI-driven. Che, tradotto, significa dimensionare il servizio sul contesto del cliente, spingere sull’automazione dei processi e integrare l’intelligenza artificiale nei flussi di lavoro. “Non si tratta di un presidio di solo monitoraggio – prosegue Ingrosso -. Il Cyber Defence Center è una componente operativa e allo stesso tempo consulenziale, che accompagna le aziende nella gestione dell’incidente e, prima ancora, nella riduzione dell’esposizione”.
E a supporto di questo lavoro c’è un portafoglio di servizi che include Managed Detection & Response, Threat Intelligence e Offensive Security, per assicurare continuità e visibilità anche quando i segnali aumentano e il contesto cambia velocemente. Il modello di servizio prevede una copertura continuativa H24x7 con un’organizzazione che supera i 60 security engineer distribuiti su tre turni.
Due i centri in Italia, a Cinisello Balsamo, vicino Milano, e a Bari, che erogano servizi in lingua italiana e in inglese, per le realtà che chiedono estensioni multinazionali. A livello di certificazioni, il SOC di Lutech dichiara ISO 27001 e ISO 20000, con un insieme di specializzazioni individuali che copre sia la parte di governance e risk management sia quella più tecnica, dall’incident handling alle attività offensive, fino alle competenze vendor sulle principali piattaforme utilizzate.
L’impostazione si articola su tre fronti che, nella logica dell’offerta, devono restare collegati. Il primo è quello della consulenza, con servizi di Cybersecurity Advisory che aiutano le aziende a interpretare e tradurre requisiti normativi e standard internazionali in un percorso di adeguamento che unisce governance, processi e misure tecniche.
Consulenza e operatività si completano a vicenda nell’offering di sicurezza di Lutech
A questo si aggiungono gli sforzi per portare cultura della sicurezza al cliente, con attività di formazione e campagne di security awareness, comprese simulazioni di phishing e smishing, dal momento che una parte consistente delle compromissioni è ancora da assegnare a errori umani, identità esposte o scelte operative poco presidiate. Il secondo fronte è quello della delivery, cioè della parte “sul campo”, con Cybersecurity Delivery Solutions impostate su un approccio multivendor, dove Lutech mette in funzione controlli e soluzioni di sicurezza, sia presso le sedi dei clienti sia in ambienti cloud. Il terzo fronte è poi quello dell’operatività quotidiana, affidata al Cyber Defence Center, che gestisce in modo continuativo eventi e incidenti, lavorando sulle console delle tecnologie di detection, sugli strumenti di correlazione e automazione, SIEM e SOAR, e su canali di contatto strutturati come telefono, e-mail e attraverso il portale Web.
I servizi offerti da Lutech sono tanti, talmente completi che elencarli offre a chi sta scrivendo, l’assist per “appropriarsene” per fare un rapido ripasso del glossario security. Nel portafoglio rientrano managed detection & response (monitoraggio e risposta agli incidenti), early warning (segnali e allerte tempestive), cyber threat intelligence(indicatori e analisi su campagne e tecniche usate dagli attaccanti), supply chain risk management (controllo dei rischi legati a fornitori e terze parti), offensive security (test e simulazioni di attacco) e una componente orientata alla gestione delle tecnologie protettive, con attività che incident management, ossia la presa in carico e gestione dell’incidente fino al ripristino, change management, cioè il governo delle modifiche ai sistemi per ridurre impatti e rischi, e il patch management, vale a dire l’aggiornamento dei vari applicativi e sistemi operativi all’ultima versione, aggiornata e sicura, per non lasciare gli inevitabili spiragli delle vecchie versioni, meno complete dal lato sicurezza e quindi a rischio.
Crescono le responsabilità per le aziende, che devono dimostrare di essere sicure
Da dire poi che normative come GDPR, NIS2, DORA e le nuove linee guida dell’ACN stanno rendendo più stringente il tema della dimostrabilità delle misure adottate, perché non basta più “avere la sicurezza”, ma bisogna poterla provare con controlli, tracciati e documentazione, anche alla luce di verifiche sempre più frequenti e di sanzioni rilevanti in caso di mancato adeguamento, non solo in caso di incidente. D’altro canto proprio la spinta regolatoria diventa un modo per rendere più ordinato il funzionamento interno delle aziende, riducendo improvvisazione e frammentazione. E in questo il contributo di Lutech si fa sentire, dal momento che la sua impostazione prevede che insieme alla gestione operativa tramite il SOC ci sia una forte componente di advisory verso i clienti che segue, aiutandoli a tradurre requisiti e aspettative in scelte di governance, processi e controlli misurabili, con evidenze utili sia sul piano degli obblighi normativi sia nelle richieste di audit e di garanzia lungo la filiera.
SOC Lutech: certificazioni sulle piattaforme di oltre 30 vendor di security
Sul piano tecnologico, l’approccio è fortemente eterogeneo. Lutech indica di utilizzare oltre 60 tecnologie provenienti da più di 30 vendor, con competenze che coprono SIEM, NDR, EDR e XDR, network security, cloud security, OT security, identity management e security awareness.
In area SIEM rientrano piattaforme come Splunk Enterprise Security, Fortinet FortiSIEM e Microsoft Sentinel, mentre sugli ambiti NDR compaiono soluzioni come Darktrace e Cisco XDR.
Mentre sul piano EDR e XDR, le certificazioni sono, tra le altre, sulle piattaforme Broadcom, Trend Micro Vision One, Cisco XDR e SentinelOne Singularity XDR per la componente di extended detection.
La parte di network security include soluzioni come Fortinet FortiGate, Check Point Quantum, Cisco Firepower, Palo Alto Networks e F5 Networks. Per il cloud vengono menzionate Qualys TotalCloud e Microsoft Defender for Cloud. Per l’OT security, TXOne StellarOne e Nozomi Networks.
Per l’identità, CyberArk PAM, SailPoint, Ping Identity e Microsoft Entra ID. Per l’awareness, CyberGuru e Proofpoint PSAT. Tutte tecnologie per le quali il SOC di Lutech vanta certificazioni di alto livello.
Una varietà che ha un impatto diretto sul lavoro di chi lavora all’interno di un SOC. Più fonti e più segnali richiedono capacità di correlazione, normalizzazione e prioritizzazione, altrimenti il rischio è trasformare la sicurezza in un accumulo di alert. È anche per questo che Lutech insiste sul valore aggiunto delle attività che “stanno prima” dell’incidente. Da un lato c’è la threat intelligence, dall’altro c’è una logica di valutazione del rischio che cerca evidenze e segnali di esposizione, inclusa la supply chain, e che viene alimentata da attività offensive e da verifiche periodiche.
L’evoluzione delle minacce e i gap da coprire
Nelle analisi degli eventi, il SOC indica come minaccia più ricorrente gli attacchi di social engineering, in particolare il phishing di credenziali attraverso email, SMS, telefonate e applicazioni di messaggistica. “Il pattern più frequente che vediamo è il credential phishing – osserva Ingrosso -. Anche quando sono attive soluzioni di protezione e programmi di formazione, una quota di questi attacchi va comunque a buon fine. Per questo è importante fare delle attività di cyber threat intelligence, proprio per controllare e ci sono evidenze di credenziali sottratte e riemerse su canali pubblici, deep o dark web, prima che possano venire riutilizzate per accessi non autorizzati”.
Un secondo punto di debolezza che il SOC rileva spesso nelle organizzazioni riguarda la visibilità sui propri asset digitali. L’assenza di piattaforme di Cyber Security Asset Management rende più difficile avere una fotografia aggiornata di quello che deve essere protetto e, di conseguenza, stabilire delle priorità quando si evidenziano vulnerabilità gravi. Senza una conoscenza completa degli asset, anche la gestione delle patch e delle mitigazioni rischia di diventare reattiva e scollegata dal rischio reale.
Tutte attenzioni che Lutech ha ma, come Ingrosso segnala, il cui valore, anche economico, non viene correttamente percepito da alcuni clienti, i quali hanno una scarsa consapevolezza dei costi che un provider sostiene per mantenere un servizio H24x7 di qualità, soprattutto in un mercato in cui mancano profili esperti e l’aggiornamento professionale continua a pesare sia in termini di ore sia in termini di corsi e certificazioni. “Il confronto tra costi e benefici – lamenta – è spesso impropriamente fatto con le logiche di spesa tipiche dei servizi NOC o della gestione infrastrutturale, dove standardizzazione e disponibilità di risorse consentono canoni più bassi. La conseguenza è una spesa concentrata su monitoraggio e reazione, mentre sarebbe utile rafforzare gli investimenti in prevenzione e nella valutazione costante del rischio”.
Nel SOC di Lutech servizi personalizzati e potenziati dall’AI
Ritorniamo sul tema delle A al cubo, da cui il nome del Centro, tradotto in “adaptive, automated e AI driven”. L’adattività riguarda la possibilità di dimensionare il servizio sulla base delle dimensioni dell’organizzazione, della distribuzione geografica, dei livelli di servizio richiesti e delle personalizzazioni. L’automazione e l’AI, invece, entrano sia per migliorare l’efficienza operativa, sia per aumentare la tempestività della risposta.
“Abbiamo integrato l’AI nei processi del SOC fin dai primi rilasci dei copilot messi a disposizione dai vendor con cui lavoriamo, perché ci aiuta a semplificare attività ripetitive e a rendere più rapido il processo decisionale nella gestione degli incidenti – racconta Ingrosso -. Pur se le piattaforme dei vendor già includono funzionalità di machine learning e AI, l’integrazione di questi strumenti aiuta a ridurre carico manuale e tempi di triage. Ma oltre a questo, aggiungiamo un lavoro proprietario sviluppato a Bari, Eyes on Threats, che è la nostra piattaforma di threat intelligence basata su una architettura di Agentic AI, capace di analizzare dati strutturati e non strutturati, normalizzarli, correlarli con fonti di intelligence e generare automaticamente bollettini di early warning”.
L’automazione tramite SOAR è intorno al 35% del totale di oltre 120.000 attività gestite annualmente. Una bella riduzione dei tempi necessari per individuare falsi positivi e correlare informazioni di intelligence, con effetti diretti sulla rapidità con cui un team può passare dall’alert all’azione di contenimento.
Resta il fatto che la stessa AI sta diventando un elemento che rafforzando anche le capacità offensive lato cybercrime. “L’AI è un alleato per ridurre i tempi di detection & response, ma è anche una minaccia – conferma Ingrosso -. Vediamo emergere malware sempre più adattabili e progettati per eludere i controlli, come le famiglie Promptflux e Promptsteal che sfruttano modelli linguistici durante gli attacchi”.
Attacchi che stanno diventando sempre più economici per chi li lancia, e che cambia di conseguenza anche il ruolo di un SOC verso un modello più orientato al rischio. Lutech indica il passaggio da un centro reattivo a un vero e proprio Risk Operation Center, con l’obiettivo di unificare dimensioni IT, operative e finanziarie, e di assegnare priorità in base all’impatto sul business, facendo riferimento a framework di Cyber Threat Exposure Management e Risk-Based Vulnerability Management. In questa prospettiva, AI e automazione aiutano certamente a fare prima, ma anche rendere la mitigazione più proattiva e continuativa, mentre la sicurezza si allinea sempre di più alle scelte operative dell’organizzazione e alle dipendenze tecnologiche che la sostengono.
