Nei Security operation center l’adozione dell’AI non è un abbellimento tecnologico, ma un cambio di paradigma che tocca l’intera catena di valore: dalla normalizzazione dei log alla correlazione degli eventi, dal filtro al contenimento, fino alla comunicazione verso i team IT e il management. Il punto non è sostituire gli analisti, bensì farli lavorare su problemi a maggiore impatto, delegando alle macchine le attività ripetitive e ad alta intensità dati. Questo implica scelte architetturali chiare, una governance dei modelli, un’integrazione accurata con lo stack esistente e, soprattutto, metriche che rendano visibile il miglioramento operativo e il rischio residuo.
Dal “rumore” al segnale utile nei SOC
La promessa più concreta dell’AI nei Security Operation Center (SOC) è la riduzione del rumore. Modelli addestrati su grandi volumi di dati aiutano a correlare indicatori eterogenei e a raggruppare avvisi provenienti da diverse fonti che descrivono lo stesso incidente.
L’assistente AI è in grado di proporre una Timeline coerente, di evidenziare le dipendenze fra host, identità e processi e di suggerire le ipotesi più plausibili da verificare. È in questa fase che si gioca gran parte della diminuzione dei tempi di detection: meno falsi positivi, meno “alert fatigue”, maggiore priorità agli eventi davvero rilevanti.
Affinché, però, tutto ciò possa funzionare è richiesta la qualità del dato: completezza, aggiornamento, coerenza semantica tra fonti sono i prerequisiti che abilitano la correlazione intelligente.
Filtro e risposta automatizzata con controllo umano
La selezione degli eventi di sicurezza rilevanti è l’altro collo di bottiglia che l’AI è in grado di affrontare bene. I modelli classificano gli eventi per severità e affidabilità, propongono le “next-best-action” e producono automaticamente report descrittivi comprensibili anche dei manager.
Nei SOC più avanzati, l’automazione esegue procedure operative standard (i cosiddetti playbook) di contenimento su scenari ricorrenti quali: isolamento di endpoint compromessi, revoca di token sospetti, forzatura del cambio password, blocco di domini e hash noti.
La chiave in tutto ciò è il principio “human-in-the-loop”: l’AI può orchestrare e pre-compilare, ma l’azione finale deve restare approvata da un analista, con soglie e policy differenti a seconda del rischio e del contesto.
Questo compromesso riduce i tempi senza generare effetti collaterali ingestibili in produzione. Laddove l’organizzazione sia pronta, alcune classi di playbook possono passare in “auto-pilot” fuori dall’orario di ufficio, lasciando agli esperti la revisione a posteriori.
Integrazione con gli stack esistenti
Il valore nasce anche dall’integrazione profonda con gli strumenti già in campo. L’AI deve poter “vedere” telemetrie ricche e aggiornate provenienti da SIEM (Security Information and Event Management) e data lake di sicurezza, interrogare in tempo reale EDR/XDR, sistemi di gestione dell’identità e infrastrutture cloud e orchestrare esecuzioni tramite sistemi SOAR (Security orchestration, automation and response) o piattaforme di automazione equivalenti.
In pratica, l’adozione segue percorsi incrementali. Si parte spesso da assistenti che accelerano le indagini per poi spostare l’asticella verso l’automazione di azioni di contenimento in casi d’uso ad alta ripetitività e basso rischio operativo.
Un altro passo cruciale è l’unificazione del contesto. Collegare criticità tecniche e impatto business consente, infatti, all’AI di proporre priorità che riflettono davvero il rischio per l’organizzazione, e non solo la “rumorosità” dell’evento.
Metriche che contano per un percorso praticabile
Senza misure condivise l’AI resta però un mero esercizio di stile. Di conseguenza, oltre alle definizioni classiche di MTTD (Mean Time To Detect) e MTTR (Mean Time To Restore) è utile spostare la conversazione su indicatori leggibili da tutta l’organizzazione: per esempio la riduzione del tempo di analisi per classe d’incidente, la percentuale di falsi positivi eliminati e la variazione del rischio residuo su asset critici. Collegare queste metriche agli obiettivi operativi (SLA applicativi, disponibilità di servizi, obblighi normativi) è ciò che consente di dimostrare il ritorno dell’investimento.
Per ottenere risultati tangibili è, inoltre, utile seguire una roadmap realistica. Si parte da casi d’uso ristretti e ad alta ripetitività, con dataset solidi e playbook già in produzione. Si innesta l’AI come acceleratore dell’analisi per poi estendere le automazioni di risposta dove il rischio è governabile, mantenendo approvazioni umane e limiti chiari.
In parallelo va costruita la disciplina associata a data governance, alla modalità di costruzione e implementazione dell’AI e ai controlli di qualità e di trasparenza delle decisioni, finché l’AI diventa un componente naturale del SOC, non un progetto a latere. Quando le metriche mostrano che il tempo di detection si accorcia, i falsi positivi calano e il rischio residuo scende su asset ad alta priorità, allora l’adozione ha senso anche per il board e per chi deve garantire continuità operativa.
Quantum computing e cybersecurity
Il quantum computing introduce una discontinuità che la sicurezza non può ignorare: gli algoritmi crittografici più diffusi potrebbero diventare vulnerabili quando capacità quantistiche sufficienti saranno disponibili. L’orizzonte operativo si chiama crittografia post-quantum, un insieme di schemi progettati per resistere ad attacchi quantistici e selezionati perché implementabili su larga scala. Il rischio immediato non è solo teorico, perché modelli “harvest now, decrypt later” spingono attori malevoli a raccogliere oggi dati cifrati con l’aspettativa di decifrarli domani; per alcuni settori con obblighi di riservatezza di lungo periodo, la finestra di esposizione è già aperta.
Normativa europea e governo della sicurezza
NIS2, DORA e AI Act non sono solo normative, ma strumenti per rendere la sicurezza misurabile e governabile. La loro forza sta nella capacità di allineare obiettivi tecnici e linguaggio del board, definendo responsabilità, requisiti minimi e pratiche verificabili lungo tutta la filiera. I modelli più efficaci attribuiscono sponsorship a livello esecutivo, integrano la sicurezza nel risk management aziendale e chiariscono i ruoli tra operatività, controllo e audit. Un impatto rilevante riguarda la supply chain: le norme spostano il focus dai confini aziendali al ciclo di vita del fornitore, introducendo due diligence, requisiti contrattuali, attestazioni periodiche e meccanismi di escalation.
Dalla cybersecurity alla cyber resilienza
Il passaggio dal “non deve accadere” al “deve continuare a funzionare” è ormai sancito. La cyber resilienza ribalta la prospettiva spostando il focus sulla garanzia di continuità dei servizi essenziali e di un ritorno alla normalità rapido, tracciabile e ripetibile. Questo approccio integra tecnologia, processi e governance in un unico modello operativo, in cui orchestrazione, ripristino testabile e priorità basate sul rischio diventano routine. L’orchestrazione della risposta collega rilevamento, decisione ed esecuzione, definendo chi approva cosa, con quali soglie e in quali tempi; l’automazione accelera le azioni ricorrenti, mentre il controllo umano presidia gli snodi critici. In questo modo le metriche smettono di essere esercizi di stile e diventano veri e propri strumenti decisionali.