Cyber resilience e smart security: la risposta strategica alle nuove sfide digitali
La priorità giusta per le aziende deve essere la continuità operativa, non il mito del rischio zero. Nel quotidiano di un’azienda moderna non esiste, infatti, una difesa perfetta. La superficie d’attacco non è fissa ma si muove con il cloud, con gli accessi remoti, con l’identità digitale di persone e sistemi che cambiano in fretta. Prima si accetta questa realtà, prima si costruisce una postura resiliente ed efficace: ridurre la probabilità che un incidente avvenga e, nel contempo, predisporre meccanismi di risposta che mantengano operativi i servizi critici anche nel caso qualcuno riesca a entrare.
Il quadro regolatorio europeo va nella stessa direzione, richiedendo capacità di rilevazione e risposta tempestive e misurabili attraverso la catena del valore prevista dalla NIS2, dagli obblighi organizzativi fino alla gestione degli incidenti.
La pressione delle minacce è reale, crescente e misurata da molti osservatori. Per esempio, l’organizzazione indipendente AV-TEST Institute registra ogni giorno oltre 450mila nuovi campioni tra malware e applicazioni potenzialmente indesiderate (le cosiddette PUA): un flusso che nessun team può trattare “a mano”.
Guardare lontano per agire in tempo con OpenText Adversary Signals
La differenza tra subire e governare un incidente sta spesso nei minuti guadagnati prima che l’attacco bussi alla porta. Per questo OpenText ha sviluppato Core Adversary Signals (evoluzione, più che semplice rebrand, del progetto CyDNA), un servizio SaaS che osserva Internet come spazio “largo” dell’avversario e identifica i segnali che contano davvero per la tua organizzazione. L’idea è semplice e potente: invece di inseguire liste infinite di indicatori di compromissione (IoC) generici, si ricostruiscono genealogie digitali, infrastrutture e traiettorie di campagne malevole, collegando i puntini che un attaccante cerca di nascondere.
Il risultato è un “early warning” operativo, integrabile all’interno di SIEM e piattaforme di detection, che separa il rumore dai rischi reali e fornisce indicazioni motivate sulle priorità d’intervento. Questo sguardo “oltre perimetro” è ciò che OpenText chiama FarSpace, un dominio di osservazione che consente di anticipare la preparazione degli attacchi e di proteggere in modo mirato lo “spazio coperto” dell’azienda, evitando rincorse inutili e falsi allarmi.
Dalla rilevazione alla risposta con Core TDR
Vedere prima non basta se il SOC affoga negli alert o se la risposta resta manuale. Core Threat Detection and Response (TDR) agisce qui, con analytics comportamentali basati su ML che apprendono cosa significa normalità per utenti e asset, intercettano deviazioni minime e correlano eventi disparati all’interno di storie coerenti.
È un approccio che riduce la dipendenza da regole rigide e soglie statiche e che permette di portare in superficie “insider threat”, uso anomalo di credenziali e movimenti laterali anche quando gli indicatori classici non urlano “Malware!”.
Il valore pratico sta nella qualità dei segnali e nel passaggio di consegne alla componente di Response: ogni allarme arriva arricchito da contesto, mappatura rispetto a MITRE ATT&CK, raccomandazioni operative e opzioni di contenimento orchestrabili, fino all’isolamento di segmenti, al reset delle credenziali, al rafforzamento dell’autenticazione o all’ingaggio di playbook di remediation.
L’integrazione nativa con Microsoft Defender for Endpoint e Microsoft Entra ID accelera ulteriormente l’avvio e consente di sfruttare telemetrie esistenti su endpoint e identità in modo agentless, con l’obiettivo di comprimere l’MTTD (Mean Time to Detect) e l’MTTR (Mean Time to Remediate/Respond) e di abbattere l’affaticamento da falsi positivi.
Come funziona la “response” di OpenText
La risposta efficace è quella che traduce un allarme in un’azione proporzionata, verificabile e reversibile, senza rallentare il business.
Nel modello OpenText la catena parte dall’arricchimento dell’evento con contesto e grado di severità, prosegue con raccomandazioni guidate dal rischio e culmina nell’esecuzione di azioni e controlli tecnici coordinati.
In pratica, un alert comportamentale può attivare l’isolamento temporaneo di una macchina a livello di EDR, imporre l’autenticazione a più fattori o l’elevazione del livello di rischio su un’identità tramite integrazione con i provider di accesso, forzare il reset di sessioni sospette e sigillare con policy dinamiche la comunicazione tra segmenti di rete. Dove serve, i playbook possono sospendere permessi su dati sensibili, mettere in quarantena file e processi, avviare il rollback su endpoint compatibili e contemporaneamente aprire un ticket verso l’ITSM aziendale con tracciamento SLA e audit trail.
La stessa telemetria che ha generato l’allarme viene riutilizzata per verificare l’effetto della mitigazione e per chiudere il caso, alimentando i report verso il management con gli indicatori di tempo intercorso tra rilevazione e ripristino. L’integrazione con strumenti esterni, dal SIEM ai servizi di identità, fino a orchestratori SOAR, consente di mantenere il controllo in ambienti eterogenei e di codificare le azioni all’interno di playbook riutilizzabili, riducendo la variabilità operativa e migliorando la conformità ai requisiti NIS2 sulla gestione degli incidenti.
Una difesa che regge alla prova dei fatti
La cyber resilience non è uno slogan, ma una disciplina misurabile. Per esempio, quando un’ondata di campagne ransomware colpisce operatori ad alta visibilità, la differenza la fa la capacità di capire quali segnali “lontani” annunciano un interesse diretto verso la tua infrastruttura e di trasformarli in controlli concreti prima che l’attacco si materializzi.
Il recente caso che ha mandato in tilt procedure aeroportuali europee ha ricordato quanto l’impatto sulla disponibilità dei servizi possa essere rapido e dirompente e quanto servano processi di contenimento pronti all’uso e comunicazioni chiare verso il business.
In questo contesto, la catena che unisce Adversary Signals con Core TDR consente di allineare detection e response allo stesso modello di rischio, riducendo il volume di eventi a pochi casi motivati, abilitando decisioni rapide e preservando l’operatività anche quando l’avversario ha già mosso i primi passi.
Come impostare l’investimento senza sprecare tempo
La tentazione di aggiungere strumenti è forte, ma ciò che conta è accorciare la distanza tra il primo segnale debole e un’azione di mitigazione proporzionata e verificabile.
Qui la combinazione di intelligence “oltre il perimetro” e di analytics comportamentali copre tre necessità concrete: bloccare subito campagne già note; scoprire prima i pattern emergenti che deviano dal consueto; orchestrare risposte coerenti con priorità e impatti sul business.
È un’impostazione che risponde ai requisiti NIS2 e che risulta allineata alle metriche che un C-level comprende, perché parla di tempo, disponibilità dei servizi e qualità delle decisioni, anziché di singole “signature” o di elenchi di allarmi.
Articolo a cura di Pierpaolo Alì, Director Southern Europe, OpenText Cybersecurity Enterprise
Con oltre 20 anni di esperienza nell'ambito della Cyber Security, Pierpaolo Alì è un Executive di OpenText che ha ricoperto varie posizioni di crescente responsabilità in diverse aziende multinazionali.
Nella sua attuale posizione manageriale, è Director Cybersecurity per il Sud Europa, Francia, Belgio e Lussemburgo.
