La differenza tra una difesa reattiva e una protezione resiliente non è nel numero di controlli, ma nella loro coerenza operativa. Prevenire, nel contesto attuale, non significa evitare ogni incidente, ma ridurre in modo sistematico le condizioni che permettono a un attacco di evolvere fino a compromettere la continuità operativa. OpenText Cybersecurity punta ad anticipare il momento in cui l’organizzazione “capisce cosa sta succedendo” e a trasformare quella comprensione in azione rapida e tracciabile.
La prevenzione, in questa prospettiva, non è un perimetro statico, ma un sistema dinamico che osserva, interpreta e agisce. Significa ridurre l’esposizione delle identità privilegiate, limitare i percorsi di movimento laterale e rendere più difficile l’interferenza sui sistemi di protezione e sui repository di backup. Il punto operativo è comprimere il tempo utile all’attaccante, trasformando l’incertezza in segnali utilizzabili e la complessità in decisioni guidate da contesto.
Interpretare i segnali avversari
Qui entra una prima integrazione concreta del portafoglio OpenText: la logica dei “segnali avversari” e del monitoraggio esterno come anticipo sul ciclo dell’attacco. OpenText Core Adversary Signals è una soluzione che porta nel processo decisionale SecOps una classe di evidenze che non nasce dall’interno, ma dall’osservazione di infrastrutture e comportamenti riconducibili agli attori ostili. In pratica, non si tratta di aggiungere un insieme di indicatori generalizzati, ma di usare segnali esterni per costruire priorità, ridurre tempi di valutazione iniziale e indirizzare verifiche e contenimenti verso ciò che è più probabile arriverà a minacciare l’organizzazione. È un cambio di impostazione radicale: se la difesa attende l’evento spesso arriva tardi; se invece integra segnali esterni, può anticipare azioni minime ma decisive, come restringere superfici esposte, accelerare la rotazione di credenziali sensibili, rafforzare controlli su accessi remoti o aumentare la sorveglianza su segmenti specifici. La prevenzione diventa così una disciplina di preparazione continua, non un insieme di regole statiche.
director Southern Europe
di OpenText Cybersecurity
“Quando parliamo di prevenzione non intendiamo eliminare il rischio, ma ridurre drasticamente i gradi di libertà dell’attaccante – precisa Pierpaolo Alì, director Southern Europe di OpenText Cybersecurity -. Significa rendere più difficile ogni passaggio della catena di compromissione, dall’accesso iniziale alla persistenza, fino al tentativo di sabotare i controlli o i backup. La differenza emerge quando l’incidente accade, perché ogni scelta fatta prima si traduce in tempo guadagnato durante la risposta.”
Questo approccio per portare realmente resilienza deve agganciarsi alla telemetria interna e alla capacità di trasformare eventi in azioni. Qui la continuità del portafoglio OpenText è rilevante perché collega domini che, in molte aziende, sono ancora separati: log management, correlazione, detection e risposta, automazione, forensics e protezione del dato.
Capire le minacce
In questa catena, l’infrastruttura di log e correlazione assume un ruolo di “memoria affidabile” della sicurezza. Un attacco che va a buon fine tende non solo a compromettere sistemi e dati, ma anche a disturbare la capacità dell’organizzazione di ricostruire con precisione ciò che è accaduto. Per questo, una piattaforma SecOps efficace deve garantire che l’osservabilità non collassi nel momento in cui serve di più.
OpenText Core Threat Detection and Response (Core TDR, evoluzione della piattaforma ArcSight), nel posizionamento OpenText Cybersecurity, continua a rappresentare il perno di questa memoria: raccolta, normalizzazione, ricerca e correlazione su grandi volumi di eventi, con l’obiettivo di sostenere analisi rapide e consistenti. Il valore non è “avere i log”, ma poterli usare in modo coerente durante l’incidente, senza dipendere da interventi manuali che aumentano tempi e rischio di errore.
“SecOps non può diventare una sequenza di interventi manuali che rallenta proprio quando la crisi accelera – afferma Alì -. Serve un modello in cui il segnale arriva già contestualizzato, con indicazioni chiare sull’identità coinvolta, sulla sequenza delle azioni e sul possibile obiettivo. A quel punto l’automazione non sostituisce l’analisi, ma la rende più veloce e stabile, evitando che la risposta dipenda da interventi straordinari.”
Il collegamento tra segnali esterni, log e risposta ha senso solo se produce contenimento e riduzione dell’esposizione. Qui entrano in gioco gli strumenti di threat detection and response e le capacità di orchestrazione, che servono a rendere ripetibile la risposta. Una risposta resiliente deve isolare, verificare, ripristinare e rimettere in produzione con passaggi chiari, controlli di integrità e tracciabilità delle decisioni, perché la continuità operativa si difende non solo con azioni rapide ma anche corrette.
Il ripristino è tutto
Questo punto diventa ancora più concreto quando si passa alla fase di recovery. Qui l’integrazione con le componenti di data protection diventa determinante. Soluzioni come OpenText Data Protector, assumono funzione preventiva in relazione a minacce come i ransomware, perché un backup difendibile e testato riduce il potere contrattuale dell’attaccante e rende praticabile una ripartenza controllata.
“Parliamo spesso di backup e recovery – chiarisce Alì – ma la vera resilienza è poter dimostrare, oggi, che domani si riparte in modo pulito. Significa test continui, ambienti isolati, separazione delle identità amministrative e capacità di verificare ogni passaggio del ripristino. La continuità non è solo velocità, è controllo.”
In questo contesto, anche la digital forensics non può essere trattata come un esercizio post mortem. Strumenti come OpenText EnCase Forensic contribuiscono a ridurre l’area grigia tra un back “presunto pulito” e “dimostrato essere pulito”.
A completare il quadro, una protezione resiliente deve ridurre l’impatto anche quando il dato viene toccato o esfiltrato. Tecnologie di data security come OpenText Data Privacy and Protection Foundation (in precedenza Voltage), con logiche di protezione e cifratura dei dati sensibili in modo compatibile con processi e applicazioni, si inseriscono in questa traiettoria operativa come mitigazione del danno: se il dato sottratto è inutilizzabile o meno sfruttabile, l’incidente cambia natura e con esso l’impatto sull’azienda colpita. Infine, un approccio “prevenire anziché rimediare” deve includere la superficie applicativa, perché molte catene di compromissione nascono da vulnerabilità o errori di configurazione che sopravvivono per mesi. La presenza di Application Security(in precedenza Fortify) nel portafoglio OpenText ha senso in questa logica perché sposta l’intervento a monte, nel ciclo di sviluppo.