La crescita della pressione normativa, l’aumento della superficie d’attacco e la difficoltà a trovare competenze adeguate stanno cambiando il modo in cui le aziende affrontano la cybersecurity. Non si tratta più di dotarsi di tecnologie per difendersi, ma di attivare un presidio costante degli ambiti operativi la cui continuità deve essere garantita attraverso monitoraggio, analisi, risposta e aggiornamento costante. Si ricorre perciò sempre più spesso ai servizi gestiti, affidandosi a operatori specializzati che possano garantire continuità operativa, disponibilità di competenze e che siano in grado di seguire l’evoluzione delle minacce. Operatori i quali, a loro volta, stanno cambiando, ampliando il perimetro della loro offerta. E il SOC, che fino a poco tempo fa veniva associato soprattutto al monitoraggio degli eventi di sicurezza, oggi viene inserito in un modello più esteso, dove si incontra prevenzione, intelligence, gestione degli incidenti e automazione dei processi. Questo è il modello su cui IBM Consulting ha organizzato i propri servizi di cybersecurity, dove il presidio SOC si colloca all’interno di una struttura più articolata e si sta evolvendo verso una proposta di managed security services più estesa, concentrando sempre più la componente di delivery in Sistemi Informativi, società del gruppo IBM che è riferimento operativo per l’erogazione dei servizi cyber, che ha impostato le proprie attività per coprire l’intero ciclo della sicurezza e non solo nel presidio degli incidenti.
Tre aree, un unico modello
Tre le macroaree su cui si struttura il portafoglio d’offerta. Una di queste è quella della cybersecurity strategy and risk, che comprende i servizi più consulenziali e orientati alla definizione della postura di sicurezza, alla valutazione del rischio e alla costruzione di roadmap di miglioramento. Rientrano qui anche le attività di supporto alla compliance rispetto a normative e standard, ma senza toccare i servizi legali.
La seconda area è quella del cyber defend, cioè l’insieme dei servizi che servono a ridurre in anticipo la probabilità che un attacco vada a buon fine, dove rientrano la sicurezza infrastrutturale, la configurazione di firewall e sistemi di protezione, i servizi XDR ed EDR, la gestione delle identità e degli accessi, la sicurezza dei dati e delle applicazioni, oltre ai servizi dedicati agli ambienti OT e IoT. Al suo interno IBM inserisce anche le attività legate al quantum safe, un tema che negli ultimi anni è entrato stabilmente nelle priorità del gruppo, che si propone per preparare le aziende agli orizzonti normativi e tecnologici dei prossimi anni.
La terza area è quella del cyber threat management, che comprende i servizi SOC e più in generale tutte le attività di monitoraggio, rilevazione, contenimento e gestione degli incidenti.
“Qui rientrano i servizi SOC e tutte le attività di incident response – spiega Cristiano Tito, CyberSecurity Services Portfolio Lead, Italy IBM Consulting -, dove monitoriamo i possibili incidenti di sicurezza, valutiamo le misure di contenimento, accompagniamo il cliente fino alla risoluzione e all’aggiornamento della relativa documentazione. All’interno di questo ambito ci sono anche attività di threat intelligence, quindi analisi volte a capire se un cliente sia oggetto di attenzione da parte di gruppi ostili o attaccanti”.
Nel SOC di IBM: il raccordo con X-Force
A supporto di queste attività c’è un’organizzazione che combina presidio sul territorio e collegamento con le competenze internazionali di IBM. Da una parte ci sono team italiani che seguono attività di intelligence e di gestione degli incidenti. Dall’altra c’è il raccordo con le competenze globali del gruppo, a partire da X-Force, un team internazionale specializzato nell’analisi delle minacce. “X-Force è un team composto da persone di diverse nazionalità, ci sono anche professionisti italiani, ma operano con regole globali e possono essere coinvolti quando serve – specifica Tito -. Nel momento in cui un cliente deve capire da dove è partito un attacco, qual è stato il vettore e chi ha originato il breach, allora interviene un team globale ancora più specialistico, che si chiama X-Force IRIS, una eccellenza di IBM a livello internazionale e che viene chiamato spesso anche da clienti che non hanno ancora un servizio attivo con noi, ma che in quel momento hanno bisogno proprio di questo tipo di supporto”.
Questa impostazione si riflette anche nell’organizzazione del SOC di IBM in Italia e nel ruolo che il presidio nazionale svolge all’interno della rete globale del gruppo. Il modello italiano, infatti, si inserisce in una rete globale di oltre dieci centri distribuiti in varie geografie, in modo da garantire continuità del servizio e disponibilità H24. “IBM dispone di una rete globale di SOC distribuiti nel mondo, così da garantire da un lato un servizio follow the sun, con una copertura continua per le realtà multinazionali che operano su più fusi orari, e dall’altro una logica di delivery globale, per cui un centro localizzato in un Paese può servire anche clienti di altri mercati” dettaglia Tito.
Il SOC italiano dentro la rete globale
All’interno di questa architettura il SOC italiano mantiene comunque una sua identità precisa e una sua autonomia operativa. Il presidio si trova a Roma, presso la sede IBM, ed è nato circa dieci anni fa per rispondere a una richiesta specifica del mercato nazionale, emersa in particolare con la prima edizione della gara SPC Sicurezza nella pubblica amministrazione. “Il SOC di Sistemi Informativi nasce per rispondere a un’esigenza locale – riprende Tito –. Il mercato ci ha chiesto di avere un SOC in Italia, operativo per il mercato italiano, e questa esigenza si è ulteriormente rafforzata con il perimetro di sicurezza nazionale cibernetica e con tutte le normative che negli ultimi anni hanno spinto in direzione della prossimità. Il nostro centro SOC fa parte del network globale, ma ha anche una sua autonomia e gestisce servizi in maniera indipendente per clienti del territorio italiano, soprattutto per quelli che desiderano un livello di prossimità. Questo vale nella pubblica amministrazione, ma vale anche per diversi clienti privati”.
Negli ultimi mesi IBM ha avviato un’evoluzione del proprio SOC, ampliandone il perimetro oltre il modello tradizionale e orientando il presidio romano verso un ruolo più ampio di managed security services. Questa scelta nasce anche dalla difficoltà crescente delle organizzazioni nel reperire competenze aggiornate e nel mantenerle nel tempo, un fattore che sta spingendo molte realtà a chiedere formule di outsourcing o di gestione condivisa che vadano oltre il monitoraggio degli eventi di sicurezza, estendondosi a una parte sempre più ampia dell’operatività cyber.
Dai servizi custom ai managed per adattarsi alle esigenze dei clienti
Per accompagnare questa evoluzione, IBM ha aggiornato le competenze interne e ampliato il ventaglio delle tecnologie gestite, mantenendo un approccio aperto rispetto agli strumenti già presenti nei diversi contesti cliente. Il servizio, infatti, non si appoggia solo sulle tecnologie del gruppo, ma può estendersi anche ad ambienti costruiti su soluzioni di altri vendor. La stessa logica si riflette anche nel modo in cui il servizio viene costruito in base alle esigenze delle diverse organizzazioni. Nelle realtà più grandi, pubbliche e private, si chiedono spesso modelli personalizzati, con risorse dedicate e un presidio costruito su misura, mentre per aziende di diverse dimensioni ed esigenze IBM mette a disposizione modelli managed più scalabili.
“Fino allo scorso anno avevamo un SOC classico. Poi abbiamo deciso di fare evolvere il nostro SOC da struttura tradizionale a vero provider di servizi MSS – dettaglia Tito -. Limitarsi alle sole attività di threat management oggi è riduttivo, perché il mercato chiede anche servizi gestiti che riguardano l’infrastructure security, l’identità, la protezione del dato e altre aree preventive. Il grande cliente spesso vuole un custom SOC. Vuole persone dedicate all’esecuzione del servizio, non un modello condiviso. In quel caso costruiamo un team che lavora per quel cliente. Il nostro portafoglio di servizi non cambia in funzione della taglia del cliente. Cambia il tipo di accesso al servizio. Nel custom il cliente ci dice come vuole l’abito e noi glielo cuciamo. Nel managed mettiamo a disposizione un portafoglio scalare e scalabile, accessibile anche a organizzazioni di dimensioni più contenute”.
Il ruolo degli skill e l’arruolamento dell’AI nel SOC di IBM
In questa evoluzione le persone e i loro skill diventano importanti e per accompagnare il passaggio del SOC verso i managed services, IBM ha attivato in Sistemi Informativi la IBM Cyber Academy, aperta a profili diversi, dai diplomati ai neolaureati fino a chi arriva da altre esperienze professionali. Il programma dura tra un mese e mezzo e due mesi, in linea con una domanda di mercato che in Italia continua a concentrarsi soprattutto nel threat management e nei servizi di infrastructure security. Su questa base si innesta anche l’impatto dell’intelligenza artificiale, che sta già modificando gli strumenti disponibili e, insieme, il profilo professionale richiesto a chi opera nel SOC. Da un lato l’AI entra sempre più nei prodotti dei vendor e nelle tecnologie di protezione, dall’altro IBM Consulting porta avanti lo sviluppo di asset globali nell’ambito del programma Asset Based Consulting, con applicazioni che coprono diversi ambiti, dalla strategy and risk al cyber defend fino al threat management. Nei servizi SOC evoluti, un ruolo di primo piano è affidato in particolare ad ATOM (Advanced Threat Operations Management), una piattaforma proprietaria che accelera il triage iniziale degli incidenti. “ATOM è un sistema basato su agenti AI che consente di abbattere in maniera molto forte il tempo necessario per il triage dell’incidente di sicurezza – commenta Tito -. Quello che prima richiedeva giorni o ore, oggi può essere portato a termine in minuti. Allo stesso tempo riduce in maniera importante il numero dei falsi positivi e porta in mano agli ingegneri una situazione più pulita, più leggibile, più gestibile”.
Per IBM il valore di questo tipo di strumenti non sta soltanto nell’efficienza, ma anche nella possibilità di ripensare l’organizzazione del lavoro nel SOC. “Stiamo andando verso un modello in cui le attività più ripetitive di primo filtro e prima analisi degli alert verranno gestite sempre di più dall’intelligenza artificiale, mentre le analisi più specialistiche resteranno nelle mani del servizio umano. Questo non significa sostituire le persone, ma spostarne le competenze verso attività a maggiore valore aggiunto e costruire skill di governance dell’AI stessa”.
L’effetto, perciò, non è una semplice automazione di compiti esistenti ma una trasformazione del mestiere. Gli operatori devono saper governare strumenti più intelligenti, interpretarne i risultati e intervenire sulle eccezioni, mentre le attività più ripetitive vengono progressivamente assorbite dalle piattaforme. È uno spostamento che richiede formazione continua, e non soltanto una tantum.
La stessa AI, del resto, è oggi una delle forze che stanno ridisegnando il panorama delle minacce. Tra i segnali più evidenti rilevati da IBM c’è la crescita degli attacchi rivolti alle applicazioni esposte su Internet, spesso favorita da credenziali deboli o da meccanismi di autenticazione non adeguati, mentre il tema dell’identità e degli accessi assume un peso sempre maggiore nella protezione degli ambienti aziendali. Anche il ransomware sta cambiando forma. L’accessibilità degli strumenti di AI generativa ha infatti abbassato la soglia d’ingresso e reso più semplice preparare attacchi che in passato richiedevano competenze molto più elevate, allargando così il numero dei potenziali cybercriminali. Lo stesso vale per il phishing, che resta uno dei vettori più usati ma oggi può contare su messaggi molto più credibili, costruiti con maggiore precisione sul piano del linguaggio, del contesto e perfino della simulazione di voci e immagini.
I nuovi pericoli cui espone l’AI
A questo si aggiunge un rischio che nasce dentro le organizzazioni. L’introduzione non gestita di strumenti di AI, spesso senza una valutazione preventiva degli impatti di sicurezza, apre infatti una nuova superficie di esposizione, sia sul piano tecnologico sia su quello dei comportamenti. Per IBM, quindi, la fase che si apre richiede non solo difese più efficaci, ma anche regole più chiare su adozione, identità, accessi e uso dei dati.
Il problema, inoltre, non riguarda solo gli strumenti adottati direttamente dalle aziende, ma anche quelli che entrano attraverso la supply chain. Nello sviluppo software, per esempio, l’uso esteso dell’AI da parte dei fornitori può infatti tradursi in codice vulnerabile, soprattutto quando la velocità di rilascio prende il sopravvento sulle verifiche di sicurezza.
Il SOC finisce così per assumere un ruolo più ampio rispetto a quello tradizionale, dove al monitoraggio degli alert, si affiancano automazione, intelligence, risposta e governance. Nel caso di IBM, questa evoluzione passa dal presidio di Roma, dal collegamento con la rete globale del gruppo, dalla possibilità di operare su tecnologie diverse in base agli ambienti del cliente e da un continuo aggiornamento delle competenze. “La forza di una rete globale sta proprio nella possibilità di attivare rapidamente competenze molto specialistiche su tecnologie o casi particolari, attingendo al network IBM. Possiamo portarle al tavolo di progetto, farle lavorare insieme alle risorse italiane e trasferire quel patrimonio di esperienza anche a livello locale” conclude Tito.
