Nel panorama attuale della cybersecurity, le minacce stanno diventando sempre più sofisticate e mirate e le soluzioni tradizionali, basate su correlazioni statiche o modelli supervisionati, faticano a rilevare comportamenti anomali sotto soglia e attacchi interni mascherati da attività legittime.
In risposta a questa esigenza, OpenText ha sviluppato OpenText CyDNA, una piattaforma cloud-native progettata per potenziare il rilevamento delle minacce attraverso l’analisi avanzata dei segnali globali. CyDNA si distingue per un approccio orientato alla “global signal analytics”, capace di analizzare i cosiddetti segnali del FarSpace (ovvero il traffico Internet globale che attraversa o lambisce il perimetro digitale di un’organizzazione) e integrarli opzionalmente con le informazioni raccolte dagli strumenti locali (il cosiddetto NearSpace). A differenza dei sistemi classici, focalizzati su “ciò che potrebbe accadere”, CyDNA risponde alla domanda “cosa sta accadendo ora”, fornendo un quadro operativo in tempo reale, preciso e contestualizzato. “Le minacce informatiche – spiega Pierpaolo Alì, director Southern Europe di OpenText Cybersecurity – non arrivano più solo dall’interno delle mura aziendali: oggi è fondamentale osservare anche ciò che accade all’esterno, nel cosiddetto FarSpace, per anticipare gli attacchi prima che si manifestino. CyDNA nasce proprio con questo obiettivo”.
Identificare le minacce interne: oltre la semplice visibilità
Secondo il report KPMG 2024, le minacce interne sono aumentate del 44% su base annua, rappresentando uno dei vettori più critici per la sicurezza aziendale. CyDNA affronta questa sfida tramite un motore di analisi comportamentale non supervisionata, in grado di rilevare anomalie anche in assenza di dati etichettati, apprendendo direttamente dal contesto operativo e aggiornandosi dinamicamente nel tempo.
Il sistema classifica e correla comportamenti sospetti come l’esecuzione di processi rari, la connessione a IP malevoli o la generazione anomala di traffico o processi da parte di utenti o macchine compromesse. Questa correlazione comportamentale permette non solo la rilevazione tempestiva ma anche la prioritizzazione automatica degli incidenti in base al rischio reale, migliorando la gestione da parte degli analisti SOC.
Cybersicurezza distribuita e intelligence fuori perimetro
CyDNA non richiede l’ingestione di log o la presenza di strumenti di sicurezza preesistenti. È, infatti, una soluzione SaaS plug-and-play, che opera in modo indipendente senza necessità di deployment complessi: è sufficiente fornire l’accesso a uno storage blob su Azure (un contenitore cloud per dati non strutturati come log e file, messo a disposizione da Microsoft Azure) oppure specificare gli indirizzi IP pubblici che definiscono il perimetro digitale dell’organizzazione per avviare l’analisi dei segnali globali.
Il cuore della piattaforma è rappresentato dall’analisi del FarSpace, un insieme di segnali estranei al dominio aziendale ma rilevanti per la sicurezza: risoluzioni DNS passive (pDNS), infrastrutture botnet, fingerprint OS, accessi remoti sospetti, porte aperte e altri indicatori di compromissione. Questi dati vengono filtrati attraverso tecniche di “deconfliction” per eliminare i falsi positivi e fornire una visione precisa delle minacce realmente indirizzate all’organizzazione.
Quando integrato con strumenti SIEM o XDR esistenti, CyDNA è in grado di offrire una visione MultiSpace, mettendo in relazione dati interni ed esterni per una detection ancora più raffinata e contestualizzata.
“CyDNA – prosegue Alì – non solo migliora la capacità di identificare le minacce, ma semplifica radicalmente il lavoro degli analisti. L’obiettivo è fornire uno strumento potente ma intuitivo, che possa essere messo in campo e utilizzato fin da subito, anche in contesti operativi complessi”.
Attribution avanzata e rilevazione predittiva su larga scala
CyDNA fornisce attribution avanzata degli attaccanti, mappando risorse, tecniche, motivazioni e attività globali degli attori malevoli. Le informazioni vengono arricchite tramite una vasta threat intelligence e presentate in modo fruibile anche per ambienti complessi o distribuiti, come quelli della supply chain. La capacità di attribuire con precisione un attacco a un gruppo noto consente di anticipare le mosse dell’avversario, conoscendone tattiche e strumenti già documentati.
Una seconda componente della piattaforma permette di monitorare in tempo reale il traffico Internet in entrata e uscita verso gli asset aziendali. Questa tecnologia, affine all’OSINT ma focalizzata su “Internet signals”, si è dimostrata particolarmente efficace nel rilevare campagne coordinate.
In un caso concreto osservato sul campo, l’emergere di un picco anomalo di traffico malevolo ha permesso alla piattaforma di mettere in evidenza schemi di attacco coerenti con dinamiche esterne all’ambiente aziendale. Gli attori coinvolti (tra cui Killnet e LockBit) sono stati identificati tramite tecniche avanzate di correlazione e attribuzione, dimostrando come CyDNA possa essere impiegata anche per valutare in modo tempestivo i rischi legati a terze parti e alla supply chain.
Adozione immediata e visibilità estesa
CyDNA è pensata per organizzazioni di medie e grandi dimensioni (oltre 500 entità), ma può essere adattata anche a contesti più piccoli, con tempi di convergenza più lunghi. L’adozione è immediata e non richiede agenti o modifiche infrastrutturali. A partire dal 25 marzo 2025, la soluzione è disponibile direttamente sul Microsoft Azure Marketplace, permettendo la sottoscrizione e l’attivazione in modalità self-service.
OpenText ha inoltre annunciato l’arrivo di un’interfaccia grafica evoluta, che permetterà ai clienti di accedere in tempo reale ai dati, eseguire attività di threat hunting e generare reportistica personalizzata, potenziando ulteriormente l’usabilità operativa della piattaforma.