Dalla vigilanza e videosorveglianza al SOC, dai pericoli fisici a quelli cyber. In oltre un secolo di vita, Axitea è stata testimone attiva di tutti i cambiamenti che il concetto di sicurezza ha subito in Italia. Cambiamenti, stravolgimenti del contesto che non hanno comunque scalfito il senso della sua missione, che si è mantenuta intatta dalle origini a oggi, ossia proteggere i propri clienti da attacchi, intrusioni, manomissioni, furti, che possano mettere a rischio la loro operatività.
Axitea nasce infatti come azienda specializzata nella sicurezza fisica e nella vigilanza, ampliando nei decenni il proprio raggio d’azione fino a collocarsi tra i principali operatori italiani nel settore della sicurezza integrata. La protezione IT è confluita, crescendo, in maniera naturale nell’offerta dell’azienda fino ad arrivare al 2016, con la decisione di investire in maniera strutturata nella cybersecurity, con tecnologie e competenze fatte confluire nel proprio Security Operations Center, che ha dato il via a una nuova fase di sviluppo.
“Quando in Italia la sicurezza IT era ancora percepita come un costo necessario piuttosto che come un investimento strategico – spiega Gianluca Todaro, SOC Manager di Axitea – avevamo già intuito che la trasformazione digitale avrebbe molto presto reso la cybersecurity un elemento irrinunciabile per la competitività delle imprese”.
Da allora, i servizi cyber di Axitea sono diventati una parte sempre più importante del business, con una crescita a doppia cifra anno dopo anno. Un’evoluzione rapida al centro della quale si collocano i servizi gestiti del proprio SOC, attraverso i quali l’azienda affianca clienti di ogni dimensione e settore con soluzioni minuziosamente personalizzate e una presenza continuativa nella gestione della sicurezza a garanzia della loro continuità operativa.
Con l’arruolamento dell’AI più efficienza e più valore alle competenze
Risale a due anni fa il rinnovo che fa fare un balzo al SOC di Axitea, con l’integrazione di elementi di automazione e intelligenza artificiale, che fanno mettere le ali all’efficienza operativa del centro dando un consistente supporto ai professionisti che vi lavorano.
“L’introduzione nel 2023 di una piattaforma dedicata all’automazione, ha rappresentato una vera e propria svolta – spiega Todaro – che ci ha permesso di alleggerire il personale interno dalle attività più ripetitive e di screening preliminare, demandandole all’intelligenza artificiale. Gli analisti possono così dedicarsi alle operazioni a maggior valore, come l’analisi approfondita degli incidenti, il threat hunting e la definizione di strategie di difesa più adatte alle singole situazioni e ai diversi livelli di gravità, intervenendo soltanto quando è realmente necessario”.
Una flessibilità e indipendenza nell’approccio che deriva anche dal fatto di aver fortemente voluto mantenere interno il presidio tecnologico del SOC, riservandosi così la libertà di modellare gli strumenti di automazione sulle proprie esigenze, oltre che su quelle dei singoli clienti, e di personalizzare tutti gli aspetti dei servizi che propone, dai playbook di incident response, ossia l’insieme delle procedure da seguire in caso di attacco, alle modalità di escalation, vale a dire i diversi passaggi di intervento previsti. Su misura anche le soglie di alerting, che definiscono quando fare scattare una segnalazione, e i report direzionali, con la sintesi dello stato di sicurezza da mostrare al board. Tutti parametri da decidere caso per caso in base alle esigenze e agli accordi con il singolo cliente.
Tecnologie e competenze. Nel SOC Axitea l’aggiornamento è vitale per la sicurezza
Flessibilità e decisioni libere anche da vincoli tecnologici e di brand. Disporre di un SOC proprietario consente infatti anche di poter scegliere e integrare le tecnologie ritenute più adatte al singolo scenario, senza dipendere da un singolo brand. E l’infrastruttura di Axitea è pensata proprio per adattarsi a qualsiasi contesto e architettura, dai sistemi legacy agli ambienti multi-cloud ed eterogenei complessi, e per far dialogare componenti di vendor diversi, rendendo il SOC sempre più flessibile, più ricco di casistiche e in grado di evolvere insieme alle esigenze e alle esperienze dei clienti.
Ma gestire un SOC di proprietà comporta, comunque, uno sforzo non banale, sia in termini di investimenti tecnologici sia, anzi soprattutto, nel tenere costantemente aggiornate le competenze dei professionisti che vi lavorano e orchestrarle in modo da organizzare un servizio che copra tutte le esigenze di sicurezza dei clienti, assicurandone una disponibilità H24.
“L’aggiornamento è davvero continuo, non finisce mai – osserva Todaro – perché le minacce evolvono in continuazione e velocemente e la formazione degli operatori deve stare al passo sia delle azioni dei criminali sia delle tecnologie che via via vengono utilizzate per corrervi al riparo. È una priorità praticamente quotidiana, perché il grado di specializzazione che si richiede agli analisti deve essere molto alto e con le massime certificazioni. La posta in gioco è la continuità operativa di tante aziende che hanno delegato a noi la gestione della loro sicurezza”.
Il SOC di Axitea, operativo dalla sede di Milano, garantisce monitoraggio e risposta agli incidenti 24 ore su 24 per tutto l’anno ed è strutturato su due livelli di analisi: il primo concentrato sul monitoraggio e il triage degli alert, mentre il secondo si focalizza sulla correlazione avanzata e sulla gestione degli incidenti più complessi. Tutto si basa sui principi del NIST Cybersecurity Framework 2.0, modello ormai di riferimento per un approccio completo alla sicurezza, che si articola in identificazione, protezione, rilevazione, risposta e recupero.
Nel SOC Axitea un ecosistema integrato di tecnologie
Data la complessità crescente degli attacchi, il successo delle risposte che nascono nel SOC Axitea non può essere ascrivibile a una singola tecnologia, ma a un concerto di attività relative a più componenti specializzate. “Non lavoriamo per silos tecnologici – sottolinea Todaro – ma su un ecosistema integrato, dove ogni componente dialoga con le altre per contribuire in conoscenza del contesto e correlazione degli eventi”. Questa base tecnologica si arricchisce poi di un portafoglio di servizi complementari, come penetration test, vulnerability assessment, programmi di sensibilizzazione per i dipendenti, valutazioni del rischio e consulenza per la conformità a standard come ISO 27001, NIS2, GDPR e DORA. Strumenti utili per la definizione del singolo progetto, che prende forma solo dopo un’analisi approfondita del contesto aziendale, delle infrastrutture e dei rischi specifici in modo da costruire un piano di protezione su misura.
L’offerta di servizi è pensata per adattarsi alle diverse dimensioni aziendali. Per le piccole e medie imprese si concentra sulle aree che restano più esposte, come endpoint, email e perimetro di rete, mentre per le grandi organizzazioni il servizio si estende a infrastrutture multi-layer, con copertura su cloud ibrido, OT, sistemi legacy e ambienti distribuiti. “Il nostro modello di SOC as a Service – spiega Todaro – ci permette di offrire la stessa qualità di protezione a realtà molto diverse tra loro, adattando processi, strumenti e livelli di servizio in base alle specifiche esigenze e alle possibilità di investimento, perché oggi la cybersecurity non è più solo appannaggio delle aziende enterprise. Per un numero crescente di organizzazioni, è ormai diventata una leva strategica, se non addirittura un requisito obbligatorio per poter continuare a operare, anche alla luce di normative come NIS2, GDPR, DORA e il Cyber Resilience Act che stanno accelerando la domanda. La pressione normativa e l’esigenza di garantire continuità operativa stanno spingendo molte imprese a rivedere il proprio modello di difesa, con un adeguamento richiesto dai nuovi regolamenti che coinvolge non solo la tecnologia, ma anche la governance, i processi e la consapevolezza interna, ambiti su cui il nostro SOC interviene in modo trasversale”.
Un target eterogeneo, con esigenze diverse per maturità e consapevolezza
Oltre che dal punto di vista dimensionale, la trasversalità di Axitea si esprime anche a livello di mercati verticali che è in grado di presidiare. Manifatturiero, finanza, studi legali, utilities e logistica sono tutti settori bersagliati da attacchi sempre più sofisticati, in gran parte ransomware evoluti, spesso basati su tecniche tipiche delle APT o su compromissioni della supply chain. Molte realtà più piccole si trovano invece a dover gestire un livello di complessità per il quale non possiedono ancora gli strumenti adeguati, anche a causa di una limitata familiarità con la sicurezza IT. Da qui la necessità di improntare dei programmi formativi a complemento dei servizi offerti, in modo da aiutare le aziende a comprendere i rischi reali e a costruire un piano di protezione allineato al proprio livello di maturità digitale.
La collaborazione con i team interni alle aziende
Se per le piccole e medie imprese, i servizi del SOC rappresentano un presidio completo e autonomo, in grado di colmare la mancanza di risorse, competenze e cultura specifica sulla sicurezza, nelle realtà più grandi, dove esistono già team interni dedicati alla cybersecurity, l’approccio cambia e diventa collaborativo, con il SOC che lavora a stretto contatto con i team aziendali, condividendo responsabilità operative e strategiche. E Axitea, da fornitore esterno, diventa partner, un’estensione del security team del cliente, con cui vengono definiti insieme SLA, playbook e strategie di risposta, fino alla preparazione agli audit normativi.
Un equilibrio tra competenze umane e tecnologie avanzate che trova la sua massima espressione nell’impiego dell’intelligenza artificiale, che dal momento in cui ha fatto il suo ingresso in azienda si è comodamente ambientata, intervenendo via via in un numero crescente dei processi che afferiscono al SOC, diventandone un elemento stabile e irrinunciabile. Oggi è integrata nei flussi di lavoro per la correlazione automatica, l’analisi comportamentale e la gestione dei volumi di dati. “Il suo intervento è complementare e non in sostituzione degli analisti – precisa Todaro – amplificando, anzi, le loro capacità cognitive. Su questa convinzione abbiamo improntato un modello di collaborazione tra AI e persone, con la macchina che gestisce i volumi e la velocità, mentre l’essere umano affronta la complessità e gli aspetti legati al problem solving”.
L’automazione è parte del valore del servizio. I playbook SOAR di Axitea gestiscono in automatico gran parte degli alert di primo livello, consentendo al team di concentrarsi sui casi più complessi. Il risultato è un tempo medio di risposta (MTTR) di circa 25 minuti, tra i più competitivi del mercato. Playbook che si evolvono migliorando continuamente grazie ai feedback che arrivano degli analisti, in un circolo virtuoso che porta a una qualità uniforme del servizio, indipendentemente dai turni di lavoro o dal carico di lavoro.
Tanta tecnologia, ma il valore aggiunto di un SOC risiede nelle persone che vi lavorano. Ogni minaccia gestita diventa così una esperienza condivisa e conoscenza collettiva, in un processo di crescita continua. “La sicurezza è fatta di tecnologia, ma la differenza la fanno sempre le persone – conclude Todaro –. E il compito di chi possiede o gestisce un SOC, è mettere questi professionisti nelle condizioni di esprimere al massimo le competenze, esperienze, idee e intuizioni, perché solo così possiamo garantire un servizio efficace e duraturo per i nostri clienti”.
LEGGI ANCHE: SOC in Italia: come sono, di chi sono, per chi sono e dove sono. La mappa italiana completa
