MySOC di Advens, tra persone e processi va oltre il monitoraggio. Negli ultimi anni, i Security Operations Center hanno esteso il proprio ruolo. Da funzione focalizzata soprattutto sul monitoraggio degli eventi, si sono trasformati in presidi continui, chiamati a intervenire su identità, cloud, ambienti industriali e processi aziendali. Un’evoluzione che si ritrova anche nei modelli di servizio sviluppati da Advens, realtà francese attiva nella cybersecurity, con presidi diretti in diversi Paesi, Italia compresa, che ha costruito il proprio posizionamento intorno a un modello di Security-as-a-Service sviluppato e gestito internamente.
Presente sul mercato dal 2000, Advens ha impostato una visione della sicurezza che integra competenze specialistiche, innovazione e capacità organizzativa, dove la parte tecnologica si confronta continuamente con la gestione delle persone, l’evoluzione continua delle minacce e la necessità di operare con processi misurabili. “L’idea alla base di Advens, richiamata anche dal nostro nome, è quella di accompagnare le organizzazioni nel tempo, seguendo l’evoluzione delle minacce e adattando di conseguenza il modo in cui la sicurezza viene progettata e gestita”, spiega Cristina Mariano, country manager per l’Italia di Advens.
mySOC Advens, un modello proprietario e indipendente dai vendor
Alla base dell’offerta di Advens c’è mySOC, un Security Operations Center proprietario attivo in modalità continuativa 24/7. Un’infrastruttura progettata fin dall’origine con un’impostazione vendor-agnostic, pensata per adattarsi allo stack tecnologico dei clienti e seguirne l’evoluzione. Le attività si articolano attorno a un motore di rilevamento e orchestrazione costruito internamente, che combina regole personalizzate, casi d’uso verticali, sistemi di arricchimento dei dati e playbook operativi. L’architettura lavora su un livello dati indipendente dai fornitori, appoggiandosi, a seconda dei contesti, su piattaforme come OpenSearch ed Elastic oppure su Microsoft Sentinel.
Intorno a questo nucleo, Advens ha costruito un ecosistema tecnologico ampio, con copertura su endpoint e identità attraverso soluzioni come CrowdStrike, Microsoft Defender, SentinelOne, Cybereason e Harfanglab, sul fronte firewall con Fortinet e Palo Alto Networks e, per i sistemi PAM, con piattaforme come CyberArk e Wallix. L’infrastruttura include inoltre componenti per l’analisi e la gestione dei dati in ambito SIEM, strumenti per il Network Detection and Response, soluzioni per la protezione dei dati e dell’email, scanner di vulnerabilità, servizi proxy e moduli di cyber threat intelligence. Il perimetro resta aperto anche ad altri vendor, in funzione delle scelte tecnologiche già presenti presso i clienti.
In un contesto in cui l’offerta di molti grandi produttori tende a ricondurre i servizi SOC all’interno di architetture fortemente standardizzate, la scelta di un SOC di proprietà consente di governare in modo diretto la qualità dei contenuti e delle risposte operative. “Avere un SOC di proprietà significa poter modellare il rilevamento e la risposta sulle reali modalità operative dell’organizzazione, senza forzare il cliente dentro schemi predefiniti o legati a un singolo fornitore -sottolinea Mariano-. La sicurezza non va letta come un insieme di strumenti, ma come un presidio che si adatta al perimetro digitale e ai processi aziendali”.
mySOC Advens: modularità, portabilità e trasparenza come elementi distintivi
Per Advens, disporre di un SOC di proprietà significa poter mantenere il servizio adattabile, senza vincoli imposti da architetture o modelli rigidi. Un approccio che consente di modulare il perimetro monitorato e gli strumenti utilizzati, aggiungendo o rimuovendo tecnologie, sedi ed endpoint senza trasformare ogni modifica in un progetto di migrazione. In questo modo, anche contenuti di sicurezza e telemetria restano sempre sfruttabili, a prescindere dallo stack tecnologico adottato.
Da qui prende forma un modello che riunisce competenze diverse, dalla difesa alle attività di simulazione e threat intelligence, fino alla gestione degli incidenti attraverso il CSIRT, il team specializzato nella risposta agli incidenti di sicurezza. Un’impostazione che rende il servizio osservabile e misurabile, attraverso indicatori come MTTD e MTTR, che calcolano i tempi medi di rilevamento e risposta, la mappatura rispetto al framework MITRE ATT&CK, che descrive le tecniche utilizzate dagli attaccanti, e una documentazione pensata anche per audit e verifiche. Contemporaneamente, il lavoro su correlazione, arricchimento e automazione consente di ridurre il rumore e di concentrare l’attenzione degli analisti sugli eventi che richiedono valutazioni e decisioni.
La gestione di un SOC proprietario comporta però un impegno che va oltre la tecnologia. Richiede investimenti continui su processi e piattaforme, ma soprattutto sulle persone, in un mercato che continua a soffrire la carenza di competenze specialistiche. La continuità del servizio dipende perciò dalla capacità di costruire percorsi di crescita e formazione per chi lavora nel SOC, di trattenere i profili più esperti e di avere un’organizzazione che riesca a stare al passo con un presidio costante.
Organizzazione, copertura continua e specializzazione OT
Advens struttura il SOC su più livelli, con analisti L1 e L2, team leader e SOC manager distribuiti in cinque unità operative specializzate, chiamate “bolle”, ciascuna con un portafoglio di clienti definito in base a settore, maturità di sicurezza, complessità infrastrutturale e tecnologie adottate. La copertura è garantita 24/7 attraverso un modello follow-the-sun, con presidi in diversi Paesi tra cui Francia, Italia, Spagna, Germania, Canada e Tahiti e con servizi multilingua.
Oltre al monitoraggio e alla remediation, il ventaglio di servizi comprende anche la gestione di alcune tecnologie di sicurezza fornite dai partner, che può estendersi all’installazione, al deployment e all’applicazione delle patch, oltre alla consulenza GRC (Governance, Risk e Compliance), alle attività di Red, Blue e Purple Team e alla gestione degli incidenti. Una parte del team è dedicata in modo specifico alla sicurezza OT, con un’offerta costruita per ambienti ibridi IT/OT. In questo ambito, Advens riporta anche un’esperienza maturata su un contesto ad alta esposizione come i Giochi Olimpici di Parigi 2024, dove ha realizzato e operato 13 OT SOC in due mesi.
Clienti, settori e pressioni sulle competenze interne
In Italia, Advens indirizza in particolare aziende di medie dimensioni in settori come manufacturing, food & beverage, energy & utilities e fashion, ambiti in cui la digitalizzazione spesso corre più veloce della sua messa in sicurezza. Inoltre, in molte di queste realtà l’aumento degli obblighi normativi, tra cui quelli introdotti dalla NIS2, rende ancora più pressante la necessità di un presidio strutturato e porta a valutare se costruire un SOC interno o affidarsi a un servizio esterno. Aumenta la domanda, ma non sempre la risposta è adeguata. “Negli ultimi due anni stiamo osservando una crescita costante della domanda di servizi SOC sul mercato italiano, con un aumento delle richieste di proposta e una maggiore propensione verso accordi di lungo periodo -osserva Mariano-. Allo stesso tempo, il mercato si sta affollando con l’ingresso di fornitori IT generalisti che propongono offerte spesso centrate sugli strumenti, lasciando sullo sfondo la profondità dei contenuti di rilevamento e la capacità di erogare il servizio nel quotidiano”.
mySOC per PMI e grandi aziende, due modalità di integrazione diverse
È proprio questo scarto tra domanda e modelli proposti che orienta l’approccio di Advens, riuscendo ad adattarsi a contesti molto diversi. Per le aziende che non hanno un team di sicurezza dedicato, l’approccio di Advens parte da una valutazione iniziale della situazione, utile a capire da dove iniziare e quali siano le priorità, anche sul piano normativo. Il percorso viene costruito in modo graduale, concentrandosi prima sugli interventi più urgenti e ampliando poi nel tempo il perimetro dei controlli.
Nelle aziende più strutturate, il modello si basa invece su una collaborazione diretta con i team interni, con ruoli e responsabilità definiti e momenti periodici di confronto. Il portale mySOC offre visibilità su regole, incidenti e indicatori di servizio, e supporta anche la produzione della documentazione richiesta da assicurazioni, autorità e audit, con servizi che includono consulenza GRC, CISO-as-a-Service e gestione dei sinistri.
Minacce: identità, perimetro, supply chain e ambienti industriali
Questa modalità di lavoro si inserisce in uno scenario in cui gli attacchi stanno aumentando sia per frequenza sia per varietà. Dall’osservatorio di Advens il ransomware a estorsione multipla resta tra le minacce più frequenti, con attacchi che puntano sia a bloccare i sistemi sia a sottrarre dati, per poi esercitare pressioni economiche e reputazionali sulle aziende. Sempre più spesso, l’ingresso negli ambienti digitali avviene sfruttando le identità degli utenti, attraverso email di phishing sempre più credibili, richieste ripetute di autenticazione che portano le persone a cedere, o il furto delle sessioni di accesso ai servizi cloud. Restano inoltre presenti i rischi legati ai sistemi esposti su Internet, come VPN e firewall non aggiornati o applicazioni e interfacce applicative che non ricevono un adeguato livello di protezione.
Negli ambienti cloud e SaaS i rischi aumentano per configurazioni errate, privilegi eccessivi e gestione non adeguata delle chiavi di accesso, spesso amplificati da rischi lungo la supply chain. Sul fronte OT, segmentazione incompleta e uso improprio dell’accesso remoto continuano a favorire la propagazione degli attacchi dall’IT alla produzione. In parallelo, iniziano a vedersi nuovi rischi legati all’intelligenza artificiale, tra prompt injection, perdita di dati sensibili e tentativi di furto o avvelenamento dei modelli.
AI e automazione, nel mySOC di Advens tra efficienza operativa e governo del rischio
Nel SOC di Advens l’intelligenza artificiale ha messo piede già nel 2017, con l’introduzione dell’AI nei flussi di analisi attraverso un team dedicato di data scientist, con applicazioni focalizzate sul rilevamento di anomalie, sull’analisi del comportamento di utenti e sulla classificazione degli alert. Oggi l’AI supporta l’identificazione di pattern complessi, mentre strumenti di indagine assistita forniscono indicazioni contestuali agli analisti per accelerare triage e qualificazione degli incidenti. Advens adotta anche un LLM on-premises basato su Llama di Meta, accessibile via VPN e addestrato su dataset di cybersecurity, affiancato dall’uso interno di Microsoft Copilot con accessi governati ai repository aziendali. Sul fronte dei clienti, l’esperienza si traduce anche in servizi dedicati all’adozione sicura dell’AI, tra policy, controlli e guardrail MLOps.
“L’AI è un alleato che filtra il rumore, accelera il triage e aiuta a correlare segnali complessi, ma non sostituisce il giudizio umano – chiarisce Mariano -. La capacità di contestualizzare un incidente, dialogare con il cliente e prendere decisioni in situazioni complesse resta fondamentale ed è prerogativa dei professionisti che nel SOC vi lavorano, mentre l’automazione serve a liberare tempo e attenzione per le situazioni che richiedono esperienza e visione”.
Nel lavoro dei SOC, questa combinazione tra competenze, automazione e capacità di lettura del contesto tende a spostare l’attenzione su metriche e obiettivi operativi, più che sul conteggio degli alert. “I SOC dovranno spostare l’attenzione dalla quantità di alert alla capacità di ridurre il tempo di permanenza degli attaccanti e di intervenire rapidamente sugli incidenti più rilevanti -conclude Mariano-. In questo scenario, la combinazione tra competenze umane, automazione e intelligenza collettiva è quello che permette di mantenere il controllo della sicurezza nel tempo”.
