Cyber Resilience Lifecycle: dal rischio teorico alla difesa operativa continua
Intervento di Emanuele Briganti, Presales Manager EMEA, ReeVo S.p.A., 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma
Sul palco della 14ª Cyber Crime Conference, Emanuele Briganti ha portato l’esperienza di un vendor italiano presente anche in altri 3 Paesi europei (Francia, Spagna e Svizzera), condividendo con la platea una riflessione maturata in oltre quindici anni di lavoro nel mondo cyber e una ventina nel mondo cloud. La tesi di fondo è chiara: di fronte all’accelerazione imposta dall’intelligenza artificiale al lato offensivo, non basta produrre tecnologie nuove. Occorre cambiare il modello operativo della difesa.
L’AI come fattore di discontinuità
Il punto di partenza è la velocità. L’intelligenza artificiale comprime i tempi, abbassa le barriere di ingresso al cybercrime e amplia la scala delle minacce, mettendo in crisi un modello difensivo che, in molti casi, non è più adeguato. Attività che fino a poco tempo fa avrebbero richiesto a un attaccante esperto settimane di lavoro, oggi possono essere completate in poche ore con strumenti automatici. Lo stesso Briganti ha ammesso, con una certa ironia, che con le competenze accumulate in trent’anni di passione per la sicurezza potrebbe oggi orchestrare piccoli attacchi automatizzati in un tempo impensabile un decennio fa.
Ne deriva una pressione asimmetrica: il tempo dell’attaccante si riduce drasticamente, mentre quello del difensore resta vincolato a processi complessi. In questo squilibrio il problema non sono tanto gli zero-day, quanto le vulnerabilità N-day, già note ma non ancora rimediate, che le organizzazioni non riescono a chiudere alla stessa velocità con cui gli attaccanti le sfruttano.
Il falso problema: più strumenti, non più sicurezza
Ogni anno le organizzazioni investono di più, acquisiscono nuovi strumenti, aggiungono layer di protezione, assumono specialisti. Eppure il problema persiste. La domanda che Briganti ha posto al pubblico è radicale: forse non si tratta di avere più sicurezza, ma di risolvere il problema giusto. Non è una questione di tecnologia, né di competenze. È una questione di modello.
La realtà operativa di un SOC moderno conferma il punto. Migliaia di alert al giorno, la maggior parte irrilevanti, ma uno solo ignorato può far perdere la partita. Dati che provengono da SIEM, EDR, firewall, NDR, ciascuno con il proprio linguaggio. Nessuna traduzione automatica per il team, nessuna visione unica. Ogni analista lavora su un frammento, e il quadro complessivo, di fatto, non esiste.
La frammentazione è il vero limite
Il problema strutturale, ha spiegato Briganti, è la distribuzione della sicurezza su una molteplicità di strumenti, ognuno con un proprio modello dati, una propria definizione di asset e una propria visione del rischio. Asset discovery, vulnerability management, EDR, NDR, SIEM, threat intelligence, ticketing e compliance vivono in mondi separati. Gli effetti concreti: gli analisti correlano manualmente le informazioni, il mean time to respond aumenta, le esposizioni restano invisibili nelle intersezioni tra sistemi, le decisioni vengono prese su dati parziali.
In questo scenario, anche l’adozione dell’AI rischia di essere inefficace. Un’intelligenza artificiale applicata su dati incoerenti non genera valore, amplifica il rumore. Senza un modello di dati condiviso, vulnerability management, identity, network e cloud restano isole separate, e gli attaccanti lo sanno.
Il vero problema è il contesto
“Non manca il dato. Manca capire cosa conta.” È la formula con cui Briganti ha sintetizzato il vero gap della difesa contemporanea, che non è tecnico ma interpretativo. I terabyte di telemetria affluiscono ogni giorno nei SOC enterprise. Ciò che manca è la capacità di prioritizzare, di leggere quel dato alla luce del valore di business dell’asset coinvolto, della criticità del processo compromesso, dei percorsi di attacco effettivamente percorribili.
L’esempio portato sul palco è eloquente. Una grande acciaieria italiana, infrastrutture produttive distribuite, un CISO perfettamente consapevole delle vulnerabilità emerse in settimana ma vincolato a un piano organizzativo che, tra finestre di manutenzione, dipendenze tra processi e autorizzazioni degli stakeholder, porta la chiusura effettiva delle patch a tre mesi di distanza. Sapere di essere vulnerabili, senza conoscere quali percorsi di attacco possono sfruttare quella vulnerabilità nel proprio contesto, diventa un limite operativo.
Il problema operativo: ogni mossa è un rischio
La cybersecurity operativa si muove dentro un campo di trade-off difficili. Fare la patch interrompe sistemi produttivi, richiede change management, introduce instabilità: per questo viene spesso rimandata. Fermare un server durante un incidente può fermare l’azienda. E senza un contesto completo, ogni decisione diventa un salto nel buio, presa su informazioni parziali, sotto pressione, in ritardo.
Dalla fotografia al film: la sicurezza snapshot è obsoleta
Il modello tradizionale è strutturalmente sbagliato perché progettato per un mondo statico. Vulnerability assessment mensili, pentest annuali, mappe della superficie d’attacco aggiornate trimestralmente: una fotografia, non un film. Ma la superficie d’attacco cambia ogni ora, con nuovi asset, nuove identità, nuove vulnerabilità. La metafora che Briganti ha proposto è netta: occorre passare dallo snapshot al flusso continuo di fotogrammi, con piattaforme che simulano i percorsi d’attacco con frequenze nell’ordine delle ore e alimentano direttamente gli analisti del SOC con informazioni dinamiche e contestualizzate.
La visione ReeVo: un ciclo di vita unificato
Da qui la proposta operativa di ReeVo, costruita attorno a un principio semplice ma radicale: la cybersecurity deve essere gestita come un ciclo di vita continuo e integrato, non come una sequenza di attività separate. Il ciclo si articola in cinque fasi, Know, Prevent, Detect, Respond, Assess, con la Compliance che le attraversa tutte come elemento trasversale di governance.
Le fasi operative descritte da Briganti sono sei. Discovery & Inventory: gli asset come entità vive, continuamente aggiornate, perché non si può proteggere ciò che non si conosce. Exposure Management: vulnerabilità e esposizioni associate direttamente agli asset, per prioritizzare in base all’effettiva criticità di business. Attack Detection & Response: alert correlati automaticamente, continuità informativa lungo tutto il ciclo di risposta, riduzione del tempo necessario a comprendere la portata di un incidente. Remediation & ITSM: integrazione nativa con il ticketing per chiudere il gap tra chi rileva il problema e chi lo risolve. Risk Management: tracciamento dinamico del profilo di rischio, decisioni di mitigazione o accettazione prese su dati reali, documentazione integrata. Compliance: i dati operativi già esistenti proiettati sui framework normativi applicabili (NIS2, DORA, ISO 27001), senza duplicazioni e senza ulteriori silos.
L’asset graph come intelligenza correlata
Il cuore tecnico della visione è il grafo degli asset. Sono le relazioni tra nodi, non i nodi stessi, a rivelare i percorsi di rischio reali: l’asset è connesso a identità, business context, vulnerabilità, applicazioni, rete ed eventi. Conoscere il valore di business di un server, sapere che ospita una linea produttiva da milioni di euro di fatturato, cambia radicalmente l’attenzione che il SOC deve dedicare a un alert su quell’asset. È una contestualizzazione che, ha sottolineato Briganti, oggi è troppo spesso trascurata.
Il valore reale: velocità di decisione e AI realmente abilitata
Due i vantaggi che un modello unificato produce direttamente in termini di resilienza operativa. Il primo è la riduzione del tempo decisionale: con le informazioni già correlate, gli analisti possono concentrarsi sulla decisione invece che sulla ricostruzione manuale del contesto, abbassando il mean time to respond e aumentando la capacità di risposta del team. Il secondo è l’abilitazione reale dell’intelligenza artificiale: applicata a dati coerenti e a relazioni esplicite, l’AI non amplifica il rumore ma lo elimina, portando in superficie le informazioni che contano davvero. Sui segnali deboli, in particolare, dove gli attaccanti spesso sono più bravi dei difensori, la capacità di leggere correlazioni nascoste diventa decisiva.
Conclusione: una sfida di modello, non di tecnologia
Nel lungo periodo l’AI rappresenterà un vantaggio anche per i difensori. Nel breve, però, sta accelerando soprattutto gli attaccanti. La vera sfida, ha concluso Briganti, non è solo adottare nuove tecnologie ma adattare il proprio modello operativo alla velocità del cambiamento. La resilienza non dipende solo da quanto si è protetti, ma da quanto velocemente si è in grado di comprendere, decidere e reagire. Un approccio unificato, asset-centrico e radicato in un’infrastruttura europea, con sovranità del dato e conformità by design, è la risposta che ReeVo propone agli operatori italiani ed europei chiamati oggi a costruire la capacità di difendersi dalle minacce di domani.
Guarda l’intervento completo di Emanuele Briganti, Presales Manager EMEA, ReeVo S.p.A., alla Cyber Crime Conference 2026:
ReeVo è stato Platinum Sponsor della 14ª edizione della Cyber Crime Conference.

