La struttura Reply dedicata a servizi di sicurezza Premium, presidiata 24/7, per garantirti la prevenzione e la gestione tempestiva e ottimale degli incidenti.
,allowExpansion)
Article
Assistenti AI nei SOC
SFRUTTARE L'IA PER MIGLIORARE LA GOVERNANCE E LE OPERAZIONI DI SICUREZZA
L’integrazione di assistenti AI nei Centri Operativi di Sicurezza (SOC) e in generale nelle attività di sicurezza offre un modo per migliorare l’efficienza, compensare le carenze di risorse e costruire meccanismi di difesa più resilienti e proattivi.
Introduzione degli Assistenti AI per ottenere risultati tangibili nei SOC
L’esperienza di Reply mostra risultati tangibili nelle implementazioni reali di assistenti AI nelle operazioni di sicurezza. In un caso di studio incentrato sul rafforzamento delle capacità di un team SOC di primo livello, l’implementazione di un assistente AI ha prodotto miglioramenti notevoli: il tempo richiesto per il triage iniziale degli incidenti è stato ridotto fino al 50%, con una riduzione analoga del 50% nei tempi complessivi di risposta. Questa accelerazione non è avvenuta a scapito della qualità; al contrario, la qualità dell’analisi è stata significativamente migliorata grazie alla superiore correlazione degli eventi e all’arricchimento dei dati forniti dall’assistente.
Rafforzare le capacità esistenti
Il percorso verso l'adozione di un assistente AI in un contesto di sicurezza inizia con una scelta strategica tra due percorsi principali: rafforzare le capacità esistenti o coprire le lacune procedurali. La prima strategia prevede il rafforzamento dei processi già in atto. Ad esempio, un'azienda con un flusso di lavoro di risposta agli incidenti consolidato può sfruttare l'AI per potenziarlo e migliorarlo. Questo si ottiene introducendo playbook di automazione sofisticata e arricchimento dei dati progettati per casi d'uso specifici, il che migliora la qualità e l'efficienza della gestione della sicurezza. Un obiettivo chiave è migliorare l'efficienza operativa concentrandosi su aree in cui i team sono sovraccarichi, riducendo così il loro carico di lavoro manuale. Questo approccio promuove un ciclo di miglioramento continuo, in cui i flussi di lavoro esistenti vengono costantemente rafforzati con l'augmented intelligence.
Colmare le lacune procedurali
Il secondo percorso viene scelto quando un'organizzazione identifica un significativo divario nei propri processi di sicurezza, magari a seguito di una gap analysis ufficiale. Invece di ottimizzare qualcosa che già funziona, l'attenzione si sposta sulla creazione di flussi di lavoro completamente nuovi per gestire scenari di sicurezza precedentemente trascurati. Questo è particolarmente rilevante quando ci si trova di fronte a nuovi requisiti normativi, come quelli imposti da NIS2 o DORA, che possono richiedere processi completamente nuovi come la notifica rapida post-incidente. Gli assistenti AI possono essere strumentali nel colmare queste lacune, specialmente in aree che soffrono di una mancanza di risorse o di competenze specializzate. Questa strategia non riguarda semplicemente il colmare delle lacune, ma il migliorare l’adattabilità e la scalabilità introducendo nuove capacità per una difesa proattiva.
Come scegliere?
La decisione tra queste strategie è influenzata da una serie di fattori critici propri di ciascuna organizzazione. Questi elementi includono le specificità della gestione dei dati, come ad esempio se un SIEM sia ospitato on-premise o nel cloud, e il quadro generale di conformità e regolamentazione che governa l’uso dei dati. Nel contesto del SOC, le considerazioni si estendono all’approccio desiderato per l’analisi degli incidenti — se applicare una metodologia uniforme a tutti gli incidenti oppure concentrarsi intensamente su un gruppo selezionato di casi ad alto impatto. Il livello esistente di automazione, ad esempio attraverso l’implementazione di una piattaforma di Security Orchestration, Automation and Response (SOAR), rappresenta un altro elemento cruciale. Infine, l’atteggiamento complessivo dell’azienda nei confronti dell’intelligenza artificiale e della sua integrazione nei processi di sicurezza critici svolge un ruolo determinante nel definire l’indirizzo strategico.
Soluzioni pronte all'uso
Una volta definita una strategia, la considerazione successiva riguarda la tecnologia stessa. In questo caso, le organizzazioni si trovano di fronte a un’ulteriore scelta: implementare una soluzione pronta all’uso, out-of-the-box, oppure intraprendere lo sviluppo di un assistente su misura. Gli strumenti off-the-shelf sono pronti all’uso e offrono diversi livelli di automazione e capacità, dalle funzioni di assistente di base fino al ruolo più avanzato di analista virtuale. La distinzione principale risiede nel loro paradigma operativo. Alcuni funzionano come assistenti passivi, fornendo supporto su richiesta durante un’indagine quando sollecitati da un analista umano — ad esempio fornendo maggiori informazioni su un utente o un indirizzo IP specifico. Altri invece operano come analisti virtuali più autonomi, assumendo un ruolo attivo attraverso l’esecuzione di un’analisi preliminare di primo livello di un incidente, preparando così un caso ben contestualizzato su cui un analista di secondo livello possa intervenire in modo rapido e preciso.
“Crea il tuo assistente”
Al contrario, un’organizzazione può scegliere di adottare un approccio su misura: questo percorso offre una flessibilità senza pari, poiché l’architettura può essere adattata per soddisfare i requisiti esatti di casi d’uso aziendali specifici, spesso unici. Questa natura personalizzata consente un grado più elevato di controllo e precisione. Tuttavia, tale flessibilità comporta un investimento iniziale più elevato per l’implementazione. Il processo implica l’integrazione di un modello di AI adeguato con vari strumenti interni, come piattaforme SOAR e altre tecnologie di automazione, per costruire un assistente di sicurezza proprietario. Un’architettura efficace per un sistema di questo tipo prevede la creazione di una base di conoscenza completa alimentata da un flusso continuo di dati provenienti da strumenti di sicurezza come SIEM e XDR, nonché da piattaforme di ticketing e dal contributo degli analisti. Questa base di conoscenza, che comprende il contesto specifico della realtà dell’organizzazione, viene quindi sfruttata dal modello di AI tramite orchestratori per fornire un supporto attivo e incisivo alle operazioni di sicurezza.
Per il team SOC
L’AI è inestimabile per ridurre il peso delle attività ripetitive e a basso valore. Un’applicazione classica è l’uso di chatbot per fornire arricchimento e contestualizzazione immediati durante un’indagine. Un analista può semplicemente chiedere all’assistente maggiori informazioni su un indicatore di compromissione, ad esempio se un determinato utente abbia già svolto attività simili in passato, risparmiando tempo prezioso. Inoltre, l’AI può automatizzare l’intera prima fase di un’indagine, eseguendo play preconfigurati per raccogliere dati preliminari su determinati tipi di incidenti. Questo fornisce all’analista umano un allarme ricco e contestualizzato sin dall’inizio, consentendo una risposta più rapida e una qualità di analisi superiore. La reportistica e la generazione di ticket, spesso compiti noiosi ma necessari, possono anch’essi essere delegati a un assistente AI che comprende sufficientemente il contesto di sicurezza per redigere report specifici e accurati.
Per i Security Manager e i CISO
Per chi opera a un livello più strategico, gli assistenti AI rappresentano uno strumento potente per la governance e la supervisione. Integrandosi con i sistemi di ticketing, i SIEM e altre piattaforme di sicurezza, l’AI può sviluppare una visione olistica della security posture, fornendo ai manager accesso on-demand a dati correlati senza la necessità di consultare più team. Questa intelligenza centralizzata è cruciale per le attività di conformità. Ad esempio, si può interrogare un assistente AI per valutare l’aderenza di un’organizzazione ai requisiti della direttiva NIS2, identificando le aree chiave di miglioramento. L’assistente può analizzare il complesso testo normativo, estrarne i requisiti principali e confrontarli con le politiche e la documentazione interne dell’azienda per evidenziare conflitti o carenze.
Per i System e IT Administrator
Nella configuration management, un assistente AI che comprende il technology stack dell’organizzazione può supportare gli administrator identificando le configurazioni errate che possono aver portato a un security incident. Uno dei use case più rilevanti è nel vulnerability e patch management. Quando viene annunciata una nuova CVE, l’AI può analizzare l’advisory, identificare tutti gli asset interessati all’interno dell’ambiente aziendale, valutarne l’esposizione e la criticità di business per determinare le priorità, identificare il system owner e persino avviare il contatto per sollecitare la remediation. Questo trasforma un processo manuale complesso e multi-step in un workflow altamente automatizzato ed efficiente. Allo stesso modo, per la policy management, l’AI può identificare automaticamente le violazioni e semplificare la comunicazione con gli stakeholder pertinenti.
Sfrutta l'esperienza di Reply con gli assistenti AI nei SOC
La vasta esperienza di Reply mostra che il successo nell’adozione di assistenti AI dipende dalla scelta di una strategia attentamente allineata alle esigenze specifiche e al livello di maturità dell’organizzazione. Poiché questi sistemi intelligenti diventano sempre più centrali nelle difese aziendali, è importante ricordare che anche i sistemi di AI stessi devono essere protetti in modo solido. Gli esperti di sicurezza di Reply suggeriscono di mantenere un approccio human-in-the-loop, combinando la validazione manuale per le azioni critiche con dei guardrail tecnici che limitano rigorosamente il campo d’azione dell’assistente.
,allowExpansion;Resize,width=660)
Communication Valley
Communication Valley Reply è la società del Gruppo Reply specializzata nell’erogazione di servizi di sicurezza gestiti. Attraverso il proprio Cyber Security Operation Center, certificato ISO27001 e operativo 24/7 per 365 giorni all’anno, l’azienda garantisce business continuity e prevenzione delle frodi sia alle organizzazioni di medie dimensioni sia a quelle di grandi dimensioni. I servizi offerti da Communication Valley Reply includono il system e security monitoring, la gestione e l’ottimizzazione remota dei SIEM, il log management, il security device management e il network device management. Inoltre, Communication Valley Reply fornisce servizi altamente specializzati di banking fraud detection che consentono di identificare gli incidenti di frode online e di adottare le necessarie contromisure, così come pacchetti di IT operations che permettono di esternalizzare interi sistemi su base 24/7. Communication Valley Reply collabora strettamente con i principali enti di ricerca, università internazionali e i principali partner tecnologici del settore, con l’obiettivo di stabilire il punto di riferimento europeo per i managed security services.