Site icon bizzIT.it – Magazine di Information Technology B2B

Agentic SOC per una cyber resilience fondata su informazioni affidabili

agentic-soc-per-una-cyber-resilience-fondata-su-informazioni-affidabili

Il SOC (Security operations center) sta entrando in una fase di trasformazione profonda. Per anni l’obiettivo delle security operation è stato ampliare la visibilità, raccogliere più log, aumentare le fonti di telemetria, integrare endpoint, rete, cloud, server e applicazioni in un unico flusso di eventi da analizzare. Oggi quel modello mostra un limite evidente: avere più dati non significa necessariamente disporre di una capacità di risposta più efficace. Al contrario, l’accumulo di eventi, alert e segnalazioni può rendere più difficile distinguere ciò che è davvero rilevante da ciò che alimenta solo rumore operativo.

La questione diventa ancora più critica nell’era dell’Agentic AI. Gli agenti AI possono interagire con applicazioni, dati, workflow e ambienti digitali con una velocità superiore a quella dei processi tradizionali. Per il SOC questo significa dover osservare comportamenti più rapidi, più distribuiti e più difficili da interpretare con logiche esclusivamente manuali.

In questo contesto prende forma il concetto di Agentic SOC, un modello di security operation in cui AI, automazione e orchestrazione vengono utilizzate per ridurre il tempo necessario a rilevare, comprendere e contrastare un attacco. Si tratta di cambiare il modo in cui il SOC lavora: meno dipendenza da valutazioni iniziali lente e manuali, maggiore capacità di correlare informazioni, attribuire priorità e attivare risposte coerenti con il livello di rischio.

Agentic SOC per una cyber resilience fondata su informazioni affidabili, Agentic SOC per una cyber resilience fondata su informazioni affidabili
Pierpaolo Alì, director Southern Europe di OpenText Cybersecurity

“L’Agentic SOC nasce dalla necessità di portare le security operation oltre la gestione tradizionale degli alert – precisa Pierpaolo Alì, director Southern Europe di OpenText Cyber security -. Le organizzazioni non hanno bisogno semplicemente di più automazione, ma di un modello in cui automazione, AI e competenze umane lavorino su informazioni affidabili e già contestualizzate. Se il SOC continua a essere sommerso da eventi generici, anche l’AI rischia di amplificare il rumore invece di ridurlo. La cyber resilience si costruisce quando il tempo tra la prima indicazione utile, la comprensione del rischio e l’azione di risposta viene drasticamente ridotto”.

Dal SOC tradizionale all’Agentic SOC

Il SOC tradizionale è stato progettato per raccogliere, correlare e investigare eventi di sicurezza provenienti dall’infrastruttura aziendale. Questo approccio resta necessario, ma non è più sufficiente quando il volume delle informazioni da analizzare cresce più rapidamente della capacità umana di analizzarli.

L’Agentic SOC introduce un livello operativo più dinamico. L’AI può, infatti, contribuire a interpretare gli eventi, l’automazione può eseguire azioni ripetibili e l’orchestrazione può collegare strumenti e processi diversi in un flusso più coerente. Il valore risiede nella capacità di trasformare una massa indistinta di dati in “intelligence azionabile”, cioè in informazioni sufficientemente precise da sostenere una decisione operativa.

Questo passaggio è centrale per la cyber resilience perché permette di ridurre drasticamente il tempo medio di rilevamento di un attacco e della relativa risposta. Non si deve, tuttavia, pensare che l’Agentic SOC possa funzionare semplicemente aggiungendo AI sopra ai processi esistenti. Sarebbe una lettura riduttiva perché automatizzare decisioni basate su dati incompleti, confusi o scarsamente qualificati può peggiorare il problema. Un sistema più veloce, ma alimentato da informazioni deboli, può generare risposte premature, priorità errate o addirittura una nuova forma di complessità operativa.

Il valore delle indicazioni affidabili

Il punto critico dell’Agentic SOC è quindi la qualità delle informazioni. Prima ancora di automatizzare la risposta, bisogna capire quali eventi meritano attenzione e quali indicazioni segnalano che qualcosa di nocivo sta arrivando, si sta preparando o si sta già propagando nell’ambiente digitale dell’organizzazione.

È a questa esigenza che OpenText dedica Core Adversary Signals, il servizio SaaS pensato per portare nel SOC informazioni qualificate sui comportamenti ostili e sui segnali precoci di compromissione o attacco. Questa soluzione risulta complementare alle piattaforme già presenti nelle security operation (come SIEM, XDR, EDR). Non si tratta, infatti, di sostituire questi strumenti, ma di alimentarli con informazioni più selettive e aderenti al rischio effettivo.

Il servizio OpenText Core Adversary Signals invece di limitarsi a descrivere minacce note o indicatori generici, mira a fornire indicazioni qualificate, raccolte e interpretate anche oltre il perimetro aziendale, per aiutare gli analisti a capire non solo che un certo tipo di attacco esiste, ma se l’organizzazione è esposta, se è già nel mirino o se un’attività ostile sta iniziando a propagarsi. L’AI può così operare su una base informativa più solida e l’automazione può intervenire con minore rischio di generare effetti indesiderati.

“Il tema non è contrapporre l’intelligence tradizionale a nuovi modelli di segnalazione – sottolinea Alì – ma rendere più efficace l’intero processo decisionale del SOC. Gli indicatori restano importanti, ma spesso descrivono ciò che è già noto o ciò che potrebbe accadere. Con OpenText Core Adversary Signals l’obiettivo è avvicinare l’intelligence al momento dell’azione, fornendo indicazioni più precise e più aderenti al contesto dell’organizzazione. In questo modo il SOC può passare da una logica reattiva, centrata sull’investigazione manuale, a una capacità più proattiva di prevenzione, contenimento e risposta”.

NearSpace, FarSpace e MultiSpace Analysis

L’approfondimento tecnico della proposta OpenText ruota intorno alla MultiSpace Analysis, cioè alla combinazione di più domini informativi per aumentare la consapevolezza del SOC. La componente NearSpace riguarda le informazioni più vicine all’organizzazione legate alla telemetria immediatamente collegata all’ambiente aziendale. Il FarSpace riguarda invece informazioni più esterne, come routing tra service provider, honeypot, reti Tor e telemetrie Internet. La MultiSpace Analysis nasce dalla combinazione di questi due livelli. In base a questi presupposti, OpenText Core Adversary Signals diventa un abilitatore del modello Agentic SOC consentendo di qualificare indicazioni operative.

“L’evoluzione verso l’Agentic SOC non elimina il ruolo delle persone – conclude Alì. – ma lo rende più qualificato. Gli analisti non devono essere lasciati soli davanti a migliaia di eventi indistinti; devono poter lavorare su informazioni più rilevanti, prioritarie e già orientate all’azione. La combinazione tra MultiSpace Analysis, OpenText Core Adversary Signals e automazione permette di rafforzare la resilienza perché rende più rapido il passaggio dal sospetto alla decisione. È qui che il SOC diventa non solo un presidio di sicurezza, ma una componente essenziale della capacità dell’azienda di continuare a operare anche sotto pressione”.

Exit mobile version