Perno centrale delle proposta di protezione di Trend Micro è la piattaforma Vision One pensata per coniugare la gestione dell’esposizione al rischio informatico con le SecOps.
Salvatore Marcis, country manager di Trend Micro, ci guida alla scoperta della protezione multilivello e del ruolo crescente dell’AI.
Oggi il ruolo dell’AI per Trend Micro si concentra nel SOC?
Marcis: L’AI è certamente centrale, ma non ci fermiamo all’AI nel SOC. La componente di intelligenza artificiale è già integrata da un anno e mezzo in Vision One, dove semplifichiamo la vita agli analisti nella lettura delle minacce, dei falsi positivi e di tutto ciò che emerge dalla telemetria. Il nostro modello LLM semplifica la comprensione di un attacco, eliminando la necessità di analisi e interpretazione di script e dati per fornire indicazioni facilmente comprensibile e immediatamente azionabili.
Quindi la risposta automatica e la gestione in tempo reale sono già realtà?
Marcis: Sì. La nostra piattaforma oggi può rispondere automaticamente, tramite Playbook oppure fornendo ai team di security un quadro già interpretato dall’AI. La velocità è fondamentale e capire subito se isolare una macchina, bloccare un eseguibile o contenere una minaccia su più aree della rete fa la differenza. È ciò che definiamo companion AI.
In quali casi l’automazione può diventare un rischio?
Marcis: Dipende dal contesto. In una realtà manifatturiera bloccare una macchina può generare una perdita rilevante. Negli ambienti dove il valore da proteggere è il dato, invece, isolare una porzione di rete è sostenibile. L’automazione deve essere interpretata in base alla natura del business. La persona rimane essenziale perché l’intelligenza artificiale accelera l’interpretazione, ma l’ultima decisione resta all’operatore.
Nel caso in cui la minaccia riesca a superare i controlli automatici, come garantite continuità operativa?
Marcis: Una minaccia non deve fermare la produzione dell’azienda, ma devo aver predisposto tutti gli strumenti per poterla innanzitutto isolare all’interno della mia rete e poi circoscriverla. Questo non significa lasciare libero l’attaccante, ma guidarlo dove vogliamo, per esempio verso un honeypot interno. Capire come si muove diventa cruciale, soprattutto se l’analisi preventiva non è stata sufficiente. Se lo capiamo dopo, siamo già in ritardo.
La parte proattiva comincia quando l’attacco tocca la rete o prima?
Marcis: Oggi deve cominciare prima. All’interno della piattaforma Vision One abbiamo un modello di Cyber Risk Exposure Management che permette un “continuous assessment” capace di integrare anche i dati di sicurezza provenienti da soluzioni di terze parti per analizzare vulnerabilità, esposizioni, domini aperti e altro. Il sistema fornisce un indice di rischio e le priorità su cui intervenire. Ridurre la “baseline” di rischio è ciò che permette di anticipare i possibili vettori di attacco, anche quando un rischio viene accettato perché non è possibile risolverlo subito.
Questo approccio è in linea anche con i requisiti di DORA e NIS2?
Marcis: Sì. Entrambe richiedono una visione continua e dinamica dello stato di esposizione e di rischio. Non si può coprire tutto, ma bisogna sapere cosa è accettabile e cosa no, e come intervenire.
Fin dove si estende la copertura della piattaforma Vision One?
Marcis: È una piattaforma unificata che copre endpoint, server on-prem, workload cloud, container, serverless, cloud security posture management, OT e NDR. Inoltre non obblighiamo a usare solo le nostre soluzioni. Possiamo integrare nell’analisi del rischio soluzioni di Microsoft, CrowdStrike o altri vendor. Ciò che conta è la telemetria complessiva. Il cliente ha tutto in un’unica vista e può gestire costi e licenze con un modello a crediti flessibile.
Quanto è estesa l’integrazione con strumenti di terze parti?
Marcis: Abbiamo circa 300 fonti supportate in Vision One e il numero continua a crescere. Con l’introduzione di Trend Micro Agentic Siem abbiamo integrato la tecnologia agentic AI nelle funzioni core del Siem e questo ci consente di estendere ulteriormente la capacità di integrare nella stessa telemetria soluzioni molto diversificate, dai firewall di Palo Alto, alle piattaforme IAM di CyberArk.
Come si inserisce tutto questo nel rapporto con MSSP e MSP?
Marcis: In Italia il mercato MSSP è sempre stato un punto di forza. Vision One esiste anche in versione service provider, con console multi-tenant, fatturazione mensile e gestione completa per chi offre servizi SOC. L’assistenza 24×7 la forniamo noi dalla sede europea a Cork, con escalation globale se necessario.
Serve una selezione dei partner?
Marcis: Assolutamente sì. Chi utilizza la piattaforma per erogare servizi deve avere competenze solide. Non basta installare: bisogna configurare, mantenere e verificare. Per questo lavoriamo molto anche con il nostro team di customer success che contatta il cliente e verifica che le best practice per il prodotto siano rispettate e porti il valore previsto.
Per Trend Micro l’Italia presenta specificità rispetto ad altri Paesi?
Marcis: Direi di sì perché facciamo numeri simili sul mercato pubblico e su quello privato laddove altri vendor sono invece spostati più sul mercato privato. Nel mid-size vediamo spazio di crescita soprattutto con approcci MSSP. Tra i grandi clienti molti ci hanno scelto per singoli componenti, IPS, endpoint, server security, e il nostro obiettivo oggi è di accompagnarli verso una logica di piattaforma. Non è una vendita di prodotto, ma un percorso.