Qual è la vostra visione della cyber resilience con il superamento della cybersecurity?
Cyber resilience significa ammettere che esiste un rischio e che non è possibile eluderlo del tutto, ma anche essere capaci di prevenirlo e soprattutto di rispondere in modo tempestivo per evitare la non operatività, quindi per scongiurare situazioni disastrose. La cyber resilience oggi si applica affiancando alla tecnologia, che resta fondamentale, capacità operative e processi: il software di endpoint protection si è evoluto, riducendo il numero di rischi che arrivano da gestire, ma questo da solo non basta.
All’interno dei SOC come si declina questa proposizione?
Non è sufficiente contare solo sulla tecnologia: bisogna affiancare il lavoro dei SOC. La differenza, al di là dell’uso di strumenti di AI generativa anche all’interno del SOC per fornire supporto, sta nell’architettura e nell’apertura della piattaforma. Sophos si sta differenziando anche grazie all’acquisizione di Secureworks (avvenuta a febbraio 2025 N.d.R.), per costruire un sistema di protezione che si basa su concetti di SIEM e di SOAR, fornendo risposte automatiche a eventi predeterminati e, soprattutto, aperto a includere qualsiasi tecnologia preesistente. Oggi integriamo più di 350 applicazioni. Una piattaforma di questo tipo deve essere omnicomprensiva.
Cosa suggerite a chi decide di dotarsi di un SOC?
Un aspetto che suggeriamo sempre a chi valuta un SOC riguarda i criteri di scelta. La qualità e la potenza di un SOC sono direttamente proporzionali al numero di persone e di risorse coinvolte e, soprattutto, al numero di “device” gestiti nel mondo. Chi difende, senza un’ampia base osservativa, è “cieco”: fatica a capire cosa stia accadendo sul fronte dell’offesa. Più dispositivi proteggi, migliore è la visibilità su ciò che accade attraverso “gli occhi” dei device sotto protezione. Se un vendor tutela solo device in Europa avrà una visibilità più limitata rispetto a chi protegge centinaia di milioni di utenti a livello globale. Oggi Sophos vanta oltre 35mila utenti e clienti MDR sotto protezione e questo consente, per esempio, che un attacco rilevato in Corea venga messo a fattor comune in tempo reale a beneficio di chi sta lavorando per proteggere un’azienda italiana.
Oltre la parte di detection, la risposta è oggi centrale. Come l’affrontate e quale ruolo ha l’AI?
La risposta si basa sull’uso di strumenti di AI e, soprattutto, sull’esperienza che gli utenti e i team maturano. Sophos fornisce,per esempio, Playbook progettati per affrontare attacchi già noti; questo tipo di tecnologia è efficace, ma non protegge dagli zero day. Nel caso di un attacco nuovo per il quale non esiste un Playbook, bisogna capire subito quale risposta dare. Sophos garantisce, per contratto, una risposta entro 38 minuti dal momento dell’attacco, che è il tempo medio di risposta certificato dai nostri Labs.
Riuscite già oggi con l’AI a modificare in modo dinamico le policy a fronte di un attacco o di una minaccia reale?
Nel febbraio 2024 abbiamo rilasciato una tecnologia chiamata AI Assistant, all’interno della nostra piattaforma XDR, che consente esattamente questo. Si tratta di AI che intercetta rapidamente gli exploit e le aree di debolezza e, con grande rapidità, propone l’azione correttiva o interviene direttamente per conto dell’utente, se autorizzata.
Per esempio isolando accessi o parti della rete?
Sì. Questo è un utilizzo virtuoso dell’AI integrata nel software e nella piattaforma. L’industria sta andando chiaramente in questa direzione.
Spesso però il rischio viene dall’interno e dalle identità compromesse?
Abbiamo molteplici servizi, tra cui un servizio di Identity Threat Detection e di gestione delle minacce legate al furto d’identità. È un servizio erogato nella nostra piattaforma MDR ed è una delle tecnologie ottenute a seguito dell’acquisizione di Secureworks. In questo modo realizziamo un vero e proprio identity management integrato nel software.