Rappresentazione concettuale dell’evoluzione dei SOC Security Operations Center, dalla sorveglianza tradizionale a un sistema digitale avanzato simile a un sistema nervoso, con sensori, analisi AI, correlazione eventi e risposta automatizzata alle minacce informatiche.

L’evoluzione del SOC: dalla quinta generazione all’era dell’Intelligenza Artificiale

A cura di:Andrea Boggio Ore

In un precedente articolo[1] ho illustrato che cosa sono i Security Operations Center (SOC) e qual è la loro storia. In estrema sintesi, il SOC è un’entità organizzativa composta da processi, tecnologie e persone altamente qualificate dedicate al monitoraggio e all’indagine in tempo reale degli eventi di sicurezza con il fine di prevenire, rilevare e rispondere alle minacce cyber.

I SOC esistono – seppur con nomi, forme e caratteristiche diverse – da alcuni decenni. In questo senso è possibile tracciare un percorso evolutivo e utilizzare il termine “generazioni”, anche se è opportuno evidenziare che non esiste un ente normativo che le abbia ufficialmente standardizzate o formalizzate in qualche modo. Enti, aziende, istituti e analisti autorevoli hanno delineato nel tempo concetti che sono stati, de facto, accettati come narrativa di mercato. Oggi il concetto di generazione SOC è accettato comunemente pur non essendo uno standard formale: è una classificazione diffusa, non un modello normativo. Le comunità tecniche preferiscono esprimersi in termini di livelli di maturità, capability ed evoluzione dei modelli operativi[2].

L’Intelligenza Artificiale (IA) non rappresenta semplicemente un’evoluzione tecnologica per il SOC, ma un classico cambio di paradigma[3]. Negli ultimi anni la superficie di attacco si è ampliata in modo esponenziale: cloud ibrido, SaaS, IoT, lavoro remoto, identità distribuite. Parallelamente, gli attaccanti utilizzano automazione, malware polimorfico, social engineering avanzato e – sempre più – IA generativa. Siamo ormai a un punto di svolta in cui i modelli sono diventati realmente utili per le operazioni di sicurezza informatica, nel bene e nel male.

Dalle segnalazioni di attività di Vibe Hacking[4] – termine coniato dai ricercatori di sicurezza per descrivere l’uso di agenti di codifica IA per eseguire direttamente operazioni offensive sulle reti bersaglio – alla prima operazione di spionaggio informatico altamente sofisticata il passo è stato breve. Come riportato dal team di Anthropic[5], nella seconda metà di Settembre 2025 è stata rilevata una campagna di attacco in cui l’attore di minaccia (umano) ha manipolato Claude Code[6] per essere assistito nelle fasi di reconnaissance, vulnerability discovery, exploitation, lateral movement, credential harvesting, data analysis ed exfiltration. Anthropic ritiene che l’attore di minaccia abbia sfruttato l’IA per eseguire l’80%-90% delle operazioni tattiche, concentrandosi esclusivamente nelle attività strategiche di supervisione.

In questo contesto il volume di eventi supera la capacità umana di analisi, la qualità e la quantità degli attacchi aumentano a dismisura e il tempo di compromissione si riduce drasticamente. Il SOC non può difendere il proprio perimetro senza adottare le stesse armi tecnologiche degli avversari.

Una storia compatta delle generazioni SOC[7]

Parafrasando il titolo di un libro di David Foster Wallace[8]Everything and More: A Compact History of Infinity (2003) – ho provato a condensare al massimo la complessa storia dei SOC rappresentandone gli attributi minimi indispensabili. Si tratta di una semplificazione arbitraria e quindi opinabile, ma nella consapevolezza dei limiti intrinseci ritengo necessario ricorrere a questo tipo di rappresentazione:

Generazione Periodo Principali Tecnologie Missione Modello operativo
Prima 1975-1995 Dispositivi di rete Monitoraggio disponibilità NOC
Seconda 1996-2001 Antivirus, IDS, Firewall Monitoraggio reattivo SOC
Terza 2002-2005 Antispam, IPS Monitoraggio reattivo SOC/MSSP
Quarta 2006-2012 DLP, SIEM Monitoraggio proattivo Hybrid SOC
Quinta 2013-2025 SOAR, XDR, CTI, UEBA Monitoraggio proattivo con automazione MDR

Tabella 1 – Generazioni SOC: attributi minimi

È una storia caratterizzata da trasformazioni continue scatenate da fattori interni (ruolo del SOC nel contesto dell’organizzazione, missione specifica in relazione agli obiettivi generali, adeguamento dei servizi e delle competenze) ed esterni (spostamento progressivo nello spazio cibernetico di beni e servizi tradizionalmente di pertinenza del mondo fisico e materiale, pervasività esponenziale della trasformazione digitale, aumento della superficie di attacco e conseguentemente di monitoraggio, evoluzione del panorama delle minacce cyber, continua innovazione tecnologica ed equilibri geopolitici turbolenti).

Ogni generazione SOC ha ampliato le proprie capacità operative e i relativi cataloghi di servizi, adottando modelli operativi adeguati al progressivo aumento del livello di complessità e di maturità nell’ambito delle operazioni di sicurezza. Dai primi SOC – pochi, interni e fortemente orientati alla dimensione di disponibilità dell’informazione e alle infrastrutture di rete – si è giunti a SOC proattivi, ibridi e/o esternalizzati, capaci di controllare infrastrutture digitali complesse, in grado di rispondere tempestivamente alle minacce cyber e caratterizzati dall’utilizzo esteso di automazione, playbook di risposta e tecnologie evolute.

Dal Panopticon al sistema nervoso

Le generazioni SOC disegnano una traiettoria che prende le mosse da un modello simile al Panopticon[9] e che tende, attualmente, a comportarsi come un sistema nervoso capace di correlare segnali deboli, automatizzare risposte e – auspicabilmente – anticipare le minacce cyber.

Il Panopticon, ideato da Jeremy Bentham[10], è un modello di prigione circolare in cui i detenuti sono disposti in celle (log, eventi) lungo il perimetro, al centro c’è una torre di controllo (strumenti del SOC, per esempio SIEM), il sorvegliante (SOC) può vedere tutti e i detenuti non sanno se in quel momento sono osservati. Il Panopticon è uno strumento di disciplina e controllo sociale, mentre il SOC è uno strumento di sicurezza e resilienza organizzativa.

Il sistema nervoso permette al corpo di percepire, decidere, reagire e, nelle forme più evolute, anticipare i pericoli. Il SOC, analogamente, rileva minacce e criticità, le analizza e risponde in modo coordinato e intelligente sfruttando alcuni elementi:

  • Sensori (log, endpoint, rete, cloud, identità), simili ai recettori nervosi che raccolgono stimoli dall’ambiente;
  • Strumenti (SIEM, EDR, etc), simili al midollo spinale e al cervello che ricevono, correlano e interpretano i segnali;
  • Machine Learning, paragonabile alle funzioni cognitive che riconoscono schemi e apprendono dall’esperienza;
  • Strumenti di orchestrazione e automazione (XSOAR), simili ai nervi motori che trasmettono rapidamente comandi ai muscoli (firewall, EDR, sistemi IAM, etc) per reagire tempestivamente;
  • Azioni di risposta (tramite XSOAR: isolamento endpoint, blocco account, configurazione policy di blocco), simili ai riflessi o ai movimenti volontari dell’organismo.

Breve excursus tecnologico

Le tecnologie innovative alla base del SOC di nuova generazione sono diverse, ma le più interessanti sono essenzialmente tre: XDR, XSOAR e Machine Learning.

XDR rappresenta l’evoluzione della detection tradizionale verso un modello unificato e cross-domain. Integra telemetria proveniente da endpoint, rete, cloud, identità ed email in un’unica piattaforma, superando la tradizionale frammentazione in silos tecnologici. XDR effettua correlazioni avanzate tra eventi apparentemente isolati, ricostruendo automaticamente la kill chain dell’attacco. Riduce il numero di allarmi duplicati aggregandoli in incidenti e fornendo una visione contestuale e completa dell’attività malevola. XDR migliora la prioritizzazione attraverso assegnazione dinamica del punteggio di rischio agli eventi, integrandosi con piattaforme XSOAR per attivare risposte automatiche coordinate. Costituisce l’infrastruttura abilitante per un SOC integrato, predittivo e orientato alla resilienza operativa.

XSOAR (Extended Security Orchestration, Automation and Response) rappresenta il motore operativo del SOC di nuova generazione. Consente di integrare strumenti eterogenei – EDR, firewall, IAM, email security, vulnerability management – in un unico flusso coordinato. Attraverso playbook dinamici, automatizza attività ripetitive quali arricchimento, triage e apertura di ticket. XSOAR riduce il carico di lavoro manuale degli analisti SOC standardizzando i processi di gestione degli incidenti. Permette l’esecuzione automatica di azioni correttive, come l’isolamento di un endpoint o il blocco di una utenza compromessa.

Favorisce la coerenza operativa eliminando variabilità dovuta all’esperienza individuale. Supporta la tracciabilità completa delle azioni intraprese, migliorando audit e compliance. Si integra con piattaforme XDR per attivare contromisure in tempo reale e riduce significativamente il Mean Time To Respond (MTTR), trasformando il SOC da centro di analisi reattiva a sistema efficace, efficiente e industrializzato di risposta alla minaccia.

Il Machine Learning rappresenta il fondamento analitico del SOC cognitivo. Consente di identificare anomalie comportamentali non rilevabili tramite regole statiche o firme note. Attraverso modelli UEBA, analizza deviazioni nei comportamenti di utenti ed entità. Supporta la correlazione intelligente tra eventi provenienti da fonti diverse e riduce i falsi positivi grazie a modelli adattivi basati su baseline dinamiche. Il Machine Learning attribuisce punteggi di rischio contestuali agli incidenti, individua pattern di movimento laterale e attività pre-ransomware. Permette analisi predittive, stimando la probabilità di escalation di un attacco ed evolve il SOC agendo da piattaforma decisionale orientata alla prevenzione.

XDR, XSOAR e Machine Learning costituiscono lo stack tecnologico di riferimento dei SOC di nuova generazione:

Tecnologia Funzione principale Livello di intervento Valore per il SOC Beneficio operativo
XDR Detection unificata e correlazione cross-domain Raccolta e analisi integrata di endpoint, rete, cloud, identità Visione completa della kill chain e riduzione dei silos Migliore prioritizzazione e riduzione alert duplicati
XSOAR Orchestrazione e automazione della risposta Coordinamento tra strumenti e attivazione playbook Standardizzazione dei processi e risposta automatizzata Riduzione MTTR e carico operativo
Machine Learning Analisi comportamentale e predittiva Modelli adattivi su dati storici e in tempo reale Identificazione anomalie e scoring dinamico del rischio Riduzione falsi positivi e detection precoce

Tabella 2 – Stack tecnologico SOC di nuova generazione

Scenario tipico

Le tecnologie adottate dai SOC nella propria storia sono andate incontro a fenomeni di innovazione, accumulazione, obsolescenza e sostituzione, alimentando cicli di investimenti capaci di produrre vantaggi competitivi in alcuni casi, debiti tecnici e capacità subottimali in altri. Le analisi basate sulla raccolta degli eventi generati dagli oggetti interni al perimetro monitorato (event-driven) si sono consolidate seguendo la dinamica evolutiva delle tecnologie (SIEM, NG-SIEM, UEBA, etc), beneficiando sostanzialmente di nuove capacità di raccolta telemetrica e di comprensione dei flussi di rete (EDR, NDR, FCP, etc).

L’approccio event-driven, quello guidato dalla telemetria e quello basato sull’analisi dei flussi di rete rispondono a tre domande distinte, rispettivamente: “cosa è successo? è un comportamento anomalo? come si sta muovendo?”. La risposta a queste domande permette al SOC di costruire la narrazione completa di un attacco. Le tecnologie basate su evento offrono all’analisi del SOC la dimensione semantica e identitaria, mentre le tecnologie basate su telemetria esplorano la dimensione comportamentale e infrastrutturale. A titolo esemplificativo, consideriamo uno scenario di classico attacco ransomware:

  • un utente riceve un messaggio di phishing con allegato malevolo;
  • l’utente esegue l’allegato malevolo;
  • il malware di turno va in esecuzione;
  • il malware di cui sopra tenta il movimento laterale e avvia la cifratura.

Il SOC può effettuare l’analisi combinando i vari approcci analitici:

Approccio Tecnologia Allarme Evidenza SOC Limite
Basato su evento Log Windows/Linux, allarmi EDR, SIEM, IAM, Active Directory 1) Apertura allegato email sospetto

2) Esecuzione processo anomalo (es. powershell.exe con parametri offuscati)

3) Creazione massiva di file con estensione sconosciuta

4) Modifica chiavi di registro (persistence)

5) Escalation privilegi o utilizzo account admin

6) Allarme EDR su comportamento ransomware-like

 Identifica chi ha eseguito l’azione

Individua quale processo ha avviato l’attacco

Permette audit e ricostruzione forense

Attiva playbook di contenimento (ad es. isolamento host)

 Potrebbe non rilevare comunicazioni stealth o movimenti laterali silenziosi
Basato sui flussi di rete NetFlow, IPFIX, packet inspection, NDR 7) Connessione verso IP Command & Control (C2)

8) Traffico DNS anomalo o DGA (Domain Generation Algorithm)

9) Movimento laterale SMB/RDP tra host interni

10) Picco improvviso di traffico verso storage interno

11) Pattern di esfiltrazione dati prima della cifratura

 Visualizza come l’attacco si propaga

Individua altri host compromessi

Rileva attacchi anche se i log degli endpoint sono disabilitati

Permette segmentazione o blocco di rete rapido

 Non sempre identifica facilmente l’utente o il processo specifico
Basato sulla telemetria EDR/XDR, UEBA, analisi comportamentale 12) Deviazione dal comportamento normale dell’utente

13) Accesso anomalo a cartelle condivise

14) Scrittura massiva e rapida su file system

15) Tentativi di disabilitazione antivirus

16) Pattern comportamentale compatibile con ransomware noto

 Individua attacchi anche senza firma nota

Riduce falsi positivi grazie a baseline comportamentale

Attribuisce un risk score dinamico

Supporta detection precoce (prima della cifratura massiva)

 Richiede baseline accurata e dati storici affidabili

Tabella 3 – Approcci analitici del SOC

Ogni approccio, se adottato singolarmente, risulta insufficiente e strutturalmente limitato. La possibilità di integrare le analisi basate su evento, sui flussi di rete e sulla telemetria determina una visione integrata dell’attacco, apportando al SOC numerosi benefici, ad esempio:

  • Timeline completa dell’attacco;
  • Identificazione paziente zero;
  • Contenimento rapido su tutti gli host coinvolti;
  • Riduzione drastica del dwell time;
  • Migliore capacità predittiva su escalation futura.

L’integrazione dell’IA nei SOC può effettivamente segnare il passaggio a un modus operandi adattivo e cognitivo, delineandone, a tutti gli effetti, una nuova (sesta!) generazione. Nell’esempio dell’attacco precedentemente descritto, l’IA non è un quarto approccio analitico separato, ma uno strato trasversale che opera potenziandoli tutti e unificandoli in una vista coerente (XDR). Il vero salto avviene quando l’IA:

  • collega l’evento con il traffico e con il comportamento;
  • costruisce automaticamente la timeline dell’attacco;
  • assegna la priorità all’evento in base al potenziale impatto;
  • suggerisce o attiva contromisure automatiche

A un livello di dettaglio maggiore, l’integrazione dell’IA nel SOC seguirebbe un flusso simile:

  • Allarme EDR (evento);
  • Traffico anomalo SMB (rete);
  • Scrittura massiva file (telemetria);
  • AI unifica tutto in un unico incidente critico;
  • Attivazione automatica playbook XSOAR:
  • Isolamento host
  • Reset credenziali
  • Blocco comunicazioni C2

Senza l’IA, il SOC dovrebbe gestire 16 (!) allarmi separati, mentre con l’IA potrebbe focalizzarsi su un unico incidente critico con possibilità di automatizzare la risposta.

IA: nuova era, nuova generazione ?

L’IA segna un punto di svolta nell’evoluzione dei SOC, gettando le basi per una vera e propria nuova generazione. Non si tratta semplicemente di integrare strumenti più avanzati, ma di ripensare l’intero modello operativo. Ci troviamo nella condizione di superare la logica reattiva e frammentata del passato adottando un approccio integrato, adattivo e predittivo.

L’adozione di IA evidenzia miglioramenti di tutti gli indicatori di performance (KPI) e di qualità dei servizi SOC, facilitando l’automazione progressiva –tramite playbook e agenti IA – di compiti, operazioni e sequenze di istruzioni operative ripetitive. Gli esseri umani del SOC, che ne costituiscono il valore maggiore, possono aumentare le proprie capacità operative da un lato, ridurre i carichi di lavoro e i fenomeni di alert fatigue[11] dall’altro.

Liberare tempo e risorse per spostare le proprie attività dall’ambito tattico a quello strategico, con tutte le difficoltà ma anche le opportunità di crescita correlate. Allo stesso tempo, emergono nuove sfide legate a governance, explainability e controllo dei modelli algoritmici. Il SOC del futuro dovrà bilanciare automazione e supervisione umana, tecnologia e responsabilità, competenze tecniche, trasversali e abilità relazionali. In un panorama in cui gli attaccanti sfruttano l’IA, la difesa deve evolvere di pari passo. Per queste ragioni, l’IA non rappresenta solo un miglioramento incrementale, ma l’inizio di una nuova era strategica per la cybersecurity.

Note:

[1] https://www.ictsecuritymagazine.com/articoli/security-operations-center-il-cuore-della-protezione-dellinformazione/

[2] NIST Cybersecurity Framework https://www.nist.gov/cyberframework

ENISA https://www.enisa.europa.eu/publications/how-to-set-up-csirt-and-soc

https://www.enisa.europa.eu/topics/incident-response/csirt-capabilities/csirt-maturity

SANS https://www.sans.org/posters/soc-metrics-cheat-sheet?utm_source=chatgpt.com

SOC-CMM https://www.soc-cmm.com/

[3] https://en.wikipedia.org/wiki/Paradigm_shift

[4] https://www-cdn.anthropic.com/b2a76c6f6992465c09a6f2fce282f6c0cea8c200.pdf

[5] https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf

[6] https://en.wikipedia.org/wiki/Claude_(language_model)

[7] https://en.wikipedia.org/wiki/Everything_and_More_(book)

[8] https://en.wikipedia.org/wiki/David_Foster_Wallace

[9] https://en.wikipedia.org/wiki/Panopticon

[10] https://en.wikipedia.org/wiki/Jeremy_Bentham

[11] https://en.wikipedia.org/wiki/Alarm_fatigue

Profilo Autore

Andrea Boggio è Director all’interno della practice Security & Resiliency di Kyndryl con ruolo di responsabile dei Security Customer Advisor.

In precedenza, ha ricoperto ruoli di vendita, prevendita e progettazione di soluzioni e servizi di Cyber e ICT Security.

Ha lavorato presso Global System Integrator (HP, NTT Data) e Telco Provider (Fastweb, Vodafone).

Andrea lavora da 20 anni nell’Information Security Arena e si occupa di diverse aree tematiche, quali: Governance, Risk & Compliance, SOC, Mobile Protection, Threat Management, Network Security.

Detiene le certificazioni professionali ISO/IEC 27001 Lead Auditor, CISA, CISM, CDPSE, CGEIT, CRISC, ITIL e diverse altre legate a specifici vendor di sicurezza.

È membro del capitolo italiano di ISACA e ha partecipato al Cloud Security and Resilience Expert Group di ENISA.Andrea lavora da oltre 15 anni nell’Information Security Arena e si occupa di diverse aree tematiche, quali: Governance, Risk & Compliance, SIEM e SOC, Mobile Protection, Threat e Vulnerability Management, Network Security e Cyber Security.
Detiene le certificazioni professionali ISO/IEC 27001:2013 Lead Auditor, CISA, CISM, CDPSE, CGEIT, CRISC, ITIL e diverse altre legate a specifici vendor di sicurezza. È membro del capitolo italiano di ISACA e ha partecipato al Cloud Security and Resilience Expert Group di ENISA.

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi