Autore: Redazione SecurityOpenLab
Il 2025 si apre con una certezza: la cybersecurity è strategica per aziende, istituzioni e cittadini. I riflettori sono puntati su tre grandi questioni: la normativa NIS2 e più in generale la compliance; la piattaforma unica e, inevitabilmente, l’Intelligenza Artificiale. Ciascuna di queste sfide, a modo suo, sta ridisegnando il modo in cui proteggiamo dati, infrastrutture e, in definitiva, il futuro digitale.
Partiamo dalla NIS2, la normativa europea che fissa regole più stringenti per chi opera nel cyberspazio. È in vigore da ottobre 2024; entro fine febbraio 2025, le aziende devono registrarsi sul portale ACN e, salvo proroghe, dal 1 gennaio 2026 dovranno essere pienamente conformi alle nuove disposizioni. Di fatto, questa direttiva costituisce uno spartiacque perché coinvolge un numero elevato di aziende, incluse le piccole e medie imprese, e applica lo strumento sanzionatorio come leva per fare della security un tema concretamente prioritario.
Tuttavia, regole più rigide da sole non garantiscono una protezione efficace. È qui che entra in gioco la platformization, un concetto che circola da tempo come conseguenza della necessità di mettere in campo una lunga lista di soluzioni e tecnologie, la cui efficacia corale decresce nel momento in cui faticano a dialogare tra loro. La piattaforma unica è quindi una risposta all’esigenza di semplificare e unificare la gestione della security, mediante un’unica cabina di regia da cui avere visibilità e controllo dell’intera infrastruttura. Fin qui nulla di nuovo, se non fosse che nemmeno lo strumento funzionale alla compliance normativa è più sufficiente: per il conseguimento di risultati concreti sono ormai vitali i servizi gestiti.
E poi c’è lei, l’Intelligenza Artificiale. È difficile non vedere cybersecurity e AI come due facce della stessa medaglia. Da un lato, l’AI è uno strumento nelle mani degli attaccanti, efficace per sferrare attacchi sofisticati, generare deepfake credibili, automatizzare campagne di phishing su larga scala, eccetera. Dall’altro lato, chi sviluppa soluzioni di difesa non può che integrare l’AI nelle proprie soluzioni per vari motivi, uno su tutti per bloccare gli attacchi alla stessa velocità con cui vengono creati. Al di là del marketing, il nocciolo della questione è capire fino a che punto questa tecnologia sia risolutiva e quale sia il limite oltre il quale l’essere umano resta insostituibile.
Di questi tre temi SecurityOpenLab ha discusso attorno a un tavolo insieme a cinque dei vendor premiati in occasione degli Italian Security Awards e due system integrator: Michele Tollin, Senior Strategic Partner Account Manager di Acronis; Leonardo Summa, Pre-sales Engineer di CERTEGO; Andrea Castellano, Sales Manager Cyber Security, North Market Area di DGS; Samuele Zaniboni, Manager of Sales Engineering di ESET Italia; Antonio Serra, Sales Director Italy di Libraesva; Antonio Ieranò, Evangelist - Cyber Security Strategy di Proofpoint e Salvatore Marcis, Head of Channel and Territory Sales di Trend Micro.
Il primo elemento chiave emerso dalla discussione è che la normativa NIS2 non è solo un insieme di obblighi normativi; è un catalizzatore per un cambiamento culturale, è un’opportunità per le imprese di rafforzare la propria competitività e, se affrontato in maniera corretta, può portarle a un livello di sicurezza e maturità elevato. Tant’è vero che Antonio Serra di Libraesva ha sottolineato come NIS2 non debba essere considerata un punto d’arrivo, “ma l’inizio di un nuovo modo di pensare la sicurezza aziendale”, anche se non è necessariamente una novità assoluta per chi già segue standard consolidati, come per esempio “chi ha già compiuto un percorso ISO 27000-series, che di fatto sta già rispondendo a tutte le tematiche della NIS2”.
La NIS2 è anche un’opportunità per passare da un approccio reattivo alla security a uno proattivo. Salvatore Marcis di Trend Micro insiste sull’importanza di questa visione: “oggi, come tecnologia, dobbiamo riuscire ad anticipare il problema di sicurezza, quindi dobbiamo riuscire a vedere meglio quello che succede, a identificare il prima possibile il malware e quello che sta facendo l'attaccante”. Questo approccio è essenziale per garantire che la conformità alla NIS2 o a qualsiasi altra normativa non si limiti a un mero esercizio burocratico, ma diventi un vero strumento di difesa e gestione del rischio.
Chiariti approccio e intento, qual è il valore aggiunto che vendor e partner possono offrire per tradurre la compliance normativa in un vantaggio strategico su cui vale la pena investire? Serra fornisce uno spunto sottolineando che: “la sfida non è solo adeguarsi alla normativa, ma anche far comprendere ai clienti che la sicurezza informatica non è un costo, ma un investimento strategico”.
Michele Tollin, Senior Strategic Partner Account Manager di AcronisUn primo elemento di valore aggiunto è la soluzione tecnologica. Michele Tollin di Acronis ha sottolineato l’importanza di poter disporre di soluzioni strutturate per soddisfare la compliance dei requisiti, come “la nuova piattaforma Cyber Protect Cloud offerta da Acronis, che trae ispirazione dal framework NIST (da cui, a sua volta, deriva la Direttiva NIS2). Si tratta di una piattaforma SaaS che integra nativamente e centralizza l’erogazione di servizi di cyber security e Data Protection. Consente l'identificazione delle minacce e permette di gestirne la risposta in termini di detection, response e fast, safe, immutable recovery. Inoltre, vanta un ampio spettro di certificazioni di cyber security, che la rendono un valido supporto agli MSP nella gestione dei processi di governance della sicurezza dei propri clienti.
Acronis raggiunge il cliente finale attraverso una community di oltre 20.000 partn i quali utilizzano la Console multi tenant della piattaforma Acronis Cyber Protect Cloud per personalizzare i servizi erogati ai propri clienti calibrando il tipo di supporto necessario caso per caso con un approccio simile a quello di Trend Micro, che riconosce ai partner le competenze, la conoscenza dei clienti, di “un grande ecosistema, all’interno del quale fornisce al cliente tante cose, e spesso riesce anche a orchestrarle tra di loro nel miglior modo possibile” ha precisato Salvatore Marcis.
ESET invece approccia il cliente sempre tramite partner ma lo supporta direttamente quando si tratta di erogare servizi di security attraverso il SOC in lingua italiana, situato a Milano, che risponde 27/7/365. Samuele Zaniboni rimarca infatti che “per chi ha un’emergenza e chiama alle 3 del mattino, il supporto da parte di chi parla la stessa lingua e la tempestività della risposta fanno la differenza”, perché “oggi la velocità con cui un’azienda può rispondere a un attacco è spesso la discriminante tra il contenere il danno e subirne conseguenze devastanti”. Ovviamente al servizio di security è legata la tecnologia, che permette di “scalare velocemente nel risolvere una malware analysis, un reverse engineering, sfruttando direttamente la parte di threat intelligence per dare il servizio al cliente”.
Threat intelligence che Antonio Ieranò di Proofpoint definisce un elemento imprescindibile: “da una decina d’anni noi facciamo threat intelligence nei nostri prodotti, oltre che venderla come servizio. La threat intelligence non è un optional: serve per capire la reale esposizione al rischio di un’azienda”. E in quest’ottica, “i partner servono perché devono far capire ai clienti le proprie esigenze e quello che noi vendor siamo in grado di offrire. È un lavoro che deve fare per forza fare il partner, dando il valore aggiunto”.
Leonardo Summa, Pre-sales Engineer di CERTEGO
Il valore aggiunto può essere (come in parte nel caso di ESET) l’italianità, che è la base fondante di Libraesva. Al riguardo Serra ha sottolineato che “naturalmente il prodotto deve avere determinate caratteristiche, ma a un tavolo di scelta, in questo momento l'italianità ha un peso molto importante, soprattutto negli ambienti governativi, della pubblica amministrazione”, dove se una tecnologia che risponde alle esigenze è anche italiana gode di un certo vantaggio.
Proprio il valore aggiunto è la prerogativa dei system integrator, che orchestrando tante soluzioni tecnologiche lavorano a diretto contatto con il cliente, comprendendone esigenze e problemi. Leonardo Summa di CERTEGO ha evidenziato che “la cyber resilienza non è solo una questione di strumenti avanzati, ma anche di processi ben definiti e di una strategia chiara”. Certo, lo strumento tecnologico di una piattaforma, insieme alle soluzioni che ci sono in campo, è importante, ma non è l’unico elemento in quanto “abbiamo a disposizione tanti dati, elementi, eventi di telemetria raccolti dai vari sistemi”. Tuttavia, la vera differenza per un system integrator sta nella capacità di affidarsi a servizi gestiti di cybersecurity (MDR), in grado di potenziare il processo di analisi e risposta agli incidenti, garantendo un servizio tempestivo ed efficiente, grazie all’esperienza di analyst senior con competenze maturate in anni di attività sul campo.
Amplia ancora di più il discorso Andrea Castellano di DGS, che evidenzia come con la NIS2 “è cambiato l’interlocutore: la normativa introduce il concetto di responsabilità diretta dei vertici aziendali, il che significa che il primo a dover essere sensibilizzato è proprio il vertice aziendale: il CEO, il CFO, il board”. È con questo elemento che la normativa impone un approccio strategico alla cybersecurity, che va oltre gli aspetti meramente tecnologici perché “non basta avere il miglior sistema di protezione se poi manca la governance interna per farlo funzionare al meglio”.
Nell’ambito della responsabilità rientra poi un altro concetto di grande importanza: la sicurezza della supply chain, o “Third Party Risk Management”. La grande azienda che si appoggia a una filiera di piccoli fornitori ha il dovere di “assicurarsi che l'intera catena di fornitura abbia un livello di sicurezza adeguato. La NIS2 è perfetta in questo, perché amplia il perimetro di responsabilità: ora un'azienda non deve proteggere solo sé stessa, ma anche i suoi fornitori strategici”. Questo dovrebbe auspicabilmente mitigare il problema degli attacchi che sfruttano le vulnerabilità dei piccoli fornitori - che spesso hanno sistemi obsoleti e scarsa maturità organizzativa.
Andrea Castellano, Sales Manager Cyber Security, North Market Area di DGS
La cybersecurity è un campo in continua evoluzione e le piattaforme di sicurezza moderne devono farvi fronte con la modularità e la scalabilità necessarie per adattarsi rapidamente alle nuove minacce e alle esigenze normative. Tuttavia, dalla discussione è emerso che, oltre a garantire protezione, usabilità e una visione sistemica, le piattaforme devono appoggiarsi su una threat intelligence efficiente che non sommerga i sistemi con dati inutili. In più devono garantire un’ampia collaborazione multi-vendor e devono agire come strumento utile agli MSP e MSSP, che hanno un ruolo sempre più centrale.
Conosce bene l’argomento Andrea Castellano, che nel corso della discussione ha portato all’attenzione dati interessanti: “il total addressable market della cybersecurity per l'Italia nel 2025 è pari a quasi 2,5 miliardi di euro, di cui la componente managed si aggira tra gli 800 e i 900 milioni. Quest’ultima è la componente in crescita più rapida rispetto a tutte le altre (software, hardware, technology services e consulenza)”.
In riferimento al quadro generale, Castellano ha fatto notare che “il mercato sta maturando velocemente e, di conseguenza, i clienti stanno passando da una logica di acquisto tradizionale – fatta di licenze e servizi – a un approccio managed, quindi più strutturato […] che si basa sulle licenze e sui servizi assistiti con le loro peculiarità. E in Italia questa transizione è evidente”. La conseguenza è palese: le aziende che sapranno adattarsi alla transizione verso i servizi gestiti saranno quelle che riusciranno a garantire sicurezza e resilienza nel lungo termine.
Ecco il motivo per il quale Acronis, per esempio, ha sviluppato “un'ampia gamma di servizi che coprono diverse esigenze, come ad esempio l’Endpoint Security, l’XDR, l’Email Security e finanche la prevenzione della perdita accidentale o furto dei dati (DLP), fino alla forma più completa in-motion, at rest (nel data center) e verso dispositivi esterni - sottolinea Michele Tollin - presenti sul mercato da oltre 15 anni, ma, nella realtà, poche aziende le hanno implementate con successo poiché richiedono la strutturazione e gestione di complessi sistemi di policy".
Da parte sua, DGS ha invece creato una service line interamente dedicata ai Managed Security Services, offrendo servizi come il Risk-Based Vulnerability Management per analizzare i feed di threat intelligence e consegnare ai clienti una visione chiara delle vulnerabilità critiche e supportarli nell’efficienza operativa.
Samuele Zaniboni, Manager of Sales Engineering di ESET Italia
Antonio Ieranò di Proofpoint ha descritto in maniera chiara quella che dovrebbe essere la struttura di una piattaforma di cybersecurity moderna, con tre pilastri fondamentali: protezione, usabilità e visione sistemica. “Il primo è la protezione, che parte dalla comprensione di ciò che si sta proteggendo”, ha spiegato Ieranò. “Senza sapere esattamente che cosa si sta proteggendo, non si può garantire una protezione efficace”.
Il secondo pilastro è l’usabilità: “l’utente, il cliente o l’analista non possono permettersi di impiegare cinque giorni per analizzare un incidente: quel tempo deve essere ridotto a due minuti, clic compresi”, ha aggiunto Ieranò. Per questo motivo una piattaforma dev’essere intuitiva e immediata, altrimenti rischia di essere ignorata, soprattutto in situazioni di emergenza.
Infine, la visione sistemica è essenziale per abbandonare l’ottica del mono-vendor e aprirsi alla collaborazione. “Noi, come vendor – sottolinea Ieranò - abbiamo un approccio collaborativo con le altre anime della security perché parliamo di human-centric security, ossia ci focalizziamo sulle problematiche legate agli utenti”. In questa visione la tutela dell’utente prevarica le logiche di concorrenza e porta a costituire “un ecosistema con altri vendor, alcuni anche in diretta concorrenza in determinati ambiti, ma complementari in altri”.
Condivide la visione sistemica anche Zaniboni di ESET, che parlando di threat intelligence evidenzia come non possa “basarsi su un solo vendor, perché ciò che un fornitore non rileva potrebbe essere individuato da un altro”.
Antonio Serra, Sales Director Italy di Libraesva
ESET ha sottolineato anche la centralità della threat intelligence nella piattaforma di cybersecurity. Samuele Zaniboni ha infatti spiegato che “la nostra threat intelligence alimenta l’intera tecnologia che offriamo: supporta il SOC nel comprendere meglio cosa sta accadendo, ma può anche essere integrata dal cliente in piattaforme di Threat Intelligence, SIEM o SOAR per ottenere una visione più chiara delle minacce in corso”. Inoltre, il vendor fornisce feed di dati verticali e APT Report “offrendo così conoscenza diretta al SOC e agli esperti di sicurezza, con informazioni di prima mano provenienti da chi si occupa di cybersecurity sul campo”, ha concluso Zaniboni.
Un altro aspetto critico della threat Intelligence è la gestione della mole enorme di dati. “È essenziale fornire Indicatori di Compromissione puliti e pertinenti, evitando di sommergere i sistemi con un quantitativo infinito di informazioni non elaborate”, ha sottolineato. Un approccio, questo, che è condiviso da Leonardo Summa di CERTEGO, che ha “sviluppato un ecosistema proprietario, IntelOwl, che aggrega diverse sorgenti di intelligence per offrire indicatori di compromissione costantemente aggiornati. Abbiamo notato che anche in settori iper-regolamentati come il finance, avere indicatori focalizzati sul mercato italiano consente di avere una maggiore capacità di adattamento agli scenari di attacco”.
Threat intelligence e condivisione sono argomenti che si sposano anche con Libraesva, nonostante la sua offerta estremamente verticale. Antonio Serra ricorda infatti che la propria soluzione è predisposta per lavorare in sinergia con sistemi Siem e Soar ma non solo. Libraesva dispone di “un aggregato di informazioni enorme: gestiamo oltre 7 miliardi di email all’anno e sonde sparse in tutto il mondo, che ci permettono di ottenere informazioni di prima mano che sono estremamente utili per vari SOC”. Su questa falsariga sono attesi degli sviluppi.
Antonio Ieranò, Evangelist - Cyber Security Strategy di Proofpoint
Sopra abbiamo citato MSP e MSSP quali protagonisti della security a cui è riconosciuto un ruolo sempre più centrale. Al riguardo Michele Tollin ha sottolineato che la piattaforma di Acronis è proprio uno strumento sviluppato ad hoc per loro. Funzionalità di Data Protection, Disaster Recovery, EDR e XDR sono tutte integrate in un’unica soluzione “single agent” che, una volta installata, rende possibile la configurazione dei servizi da istanziare da un’unica console centralizzata, per il tenant del cliente. Non solo, facendo riferimento al concetto di flessibilità e modularità espresso sopra, Tollin sottolinea che “in ottica MSP il concetto chiave è che il punto di ingresso per l’adozione della piattaforma è molteplice e secondo una logica a scalare. Può partire dal backup e scalare sulla protezione dell’endpoint o della posta elettronica oppure offrire servizi di Vulnerability Assessment in continuo sui sistemi operativi e sw di terze parti e l’automazione del patching per ridurre il rischio di vulnerabilità, per poi scalare gradualmente, irrobustire i diversi layer di protezione e delineare un piano di crescita”.
Gli MSP sono centrali anche per Trend Micro. Salvatore Marcis, infatti, aggiunge un tassello importante: “oggi il cliente finale è meno focalizzato sulla soluzione in sé ed è più concentrato su chi gli fornirà il servizio. La scelta del partner è diventata più importante del prodotto”. E in quest’ottica “bisogna vedere la piattaforma Vision One di Trend Micro come un'offerta dedicata anche e soprattutto agli MSSP, ossia i provider, i partner specializzati che legano la nostra piattaforma a un vero e proprio servizio di sicurezza per il cliente. Questo significa avere funzionalità multi-tenancy, gestire più clienti in modo efficiente, senza impazzire nella ricerca di un indicatore di un problema banale”.
Per tutta la discussione è stato onnipresente sullo sfondo il tema dell’AI. Del resto, stiamo parlando di una tecnologia che sta ridefinendo il lavoro degli analisti, con implicazioni profonde sul modo e sull’efficacia con cui le aziende affrontano le minacce digitali. Tuttavia, il suo utilizzo efficace richiede una strategia chiara e un’integrazione con l’esperienza umana, perché se da un lato il futuro sarà segnato da un uso sempre più intelligente e consapevole dell’AI, dall’altro il valore aggiunto sarà dato soprattutto dall’abilità degli analisti nel saper interpretare e applicare l’algoritmo”.
Salvatore Marcis, Head of Channel and Territory Sales di Trend MicroIn questo scenario, DGS ha deciso di creare i CyLABs, laboratori interni che permettono di testare in anticipo le nuove tecnologie hardware e software prima di implementarle presso i clienti. "La nostra ambizione è fare innovazione – spiega Andrea Castellano – i CyLABs permettono a DGS di fornire al cliente un feedback concreto sull’adozione delle nuove tecnologie, evitando di fare promesse non supportate da test reali". La vera particolarità di DGS è tuttavia la collaborazione tra i CyLABs e i team di vendita e di pre-vendita, che raccolgono dai clienti i casi d’uso più richiesti e li portano nei laboratori per un'analisi approfondita. Il discorso vale per l’AI così come per tutto l’ambito Quantum e altri argomenti fondamentali di evoluzione tecnologica.
Un approccio concreto è anche quello di CERTEGO, che alla luce della propria esperienza in qualità di SOC spiega: “L’AI ha dimostrato che l’uso da parte degli attaccanti è immediato e offensivo, quindi dobbiamo integrare soluzioni AI che siano davvero di supporto agli analisti, senza sostituirli, perché nessun algoritmo può ancora rimpiazzare l’intuizione e l’esperienza di un professionista della sicurezza”. Leonardo Summa però fa una precisazione importante: "abbiamo capito che è più importante applicare l’AI lato automation, quindi costruire dei playbook di risposta agli incidenti per abbattere il time to response e il time to detect". La costruzione di playbook automatizzati ha dimostrato infatti di permettere di "standardizzare e delegare alle macchine le operazioni più ripetitive, così da lasciare al SOC l’opportunità di concentrarsi su minacce più sofisticate".
Anche i vendor concordano con questa posizione. Antonio Ieranò di Proofpoint sottolinea infatti che "in Proofpoint ci occupiamo di sicurezza e comunicazione, quindi la comprensione del linguaggio naturale è fondamentale. L'AI può essere sfruttata sia dagli attaccanti che dai difensori, ma c’è una grande differenza: gli attaccanti hanno una vita più facile, possono agire senza particolari vincoli. Noi, invece, dobbiamo specializzarci per applicare l'AI in modo efficace nelle nostre infrastrutture di sicurezza".
Inoltre, anche per Proofpoint è cruciale l’uso dell’AI nella definizione di playbook di remediation: "le nostre soluzioni offrono playbook che guidano gli analisti nella risposta alle minacce. Ma non basta: serve anche un sistema capace di analizzare i dati e di comprendere il tipo di attacco in corso", perché in definitiva "non possiamo più prescindere dall'uso dell’AI, ma dobbiamo anche imparare a usarla bene", avverte Ieranò. Quanto tempo occorrerà per farlo non è dato sapere. Secondo Antonio Serra di Libraesva stiamo assistendo a una corsa all’innovazione che spesso si traduce in “promesse non sempre realistiche. La vera applicazione efficace dell’AI in cybersecurity la vedremo tra qualche anno, quando le soluzioni saranno realmente verticali e specializzate per casi d’uso concreti”.
A proposito delle applicazioni verticali, Michele Tollin porta l’esempio di Acronis, che usa “algoritmi di machine learning nell'anti malware, nella protezione standard di base e l’AI nell’Advanced Security + XDR per correlare eventi generati sui diversi piani di protezione nella piattaforma. Infine, l’AI è presente anche nell’Advanced Management Pack a supporto dello scripting di automazione e alerting” e molto altro ancora.
Lo stesso vale per ESET, che sfrutta l’AI per il suo approccio mirato alla prevenzione. In questo contesto, spiega Samuele Zaniboni, “una parte di intelligenza artificiale è a bordo dell’endpoint, nella componente cloud e nella parte XDR che conduce l’attività di correlazione”. ESET ha inoltre aggiunto “un modulo che si chiama ESET AI Advisor, un chatbot che sfrutta il LLM all'interno della soluzione XDR per supportare l'analista nella comprensione di quello che sta succedendo, oltre che per creare un report per il CISO”.
Oltre al contesto strettamente legato alla difesa informatica, l’AI sta avendo un impatto più ampio sulla società, con implicazioni sia positive che negative. “Trend Micro, per esempio, ha integrato strumenti per rilevare deepfake e proteggere gli utenti finali dalle truffe online”, spiega Salvatore Marcis. “In un mondo in cui le minacce digitali non colpiscono solo le aziende ma anche gli individui, la protezione deve essere estesa anche a chi ha meno competenze tecniche”. Trend Micro, che ha da sempre un occhio di riguardo per il sociale, sta sviluppando un’app mobile che è disponibile oggi in preview e con la quale intende “raggiungere più persone possibili e dar loro delle funzionalità che consentono l'analisi di immagini, video, messaggi audio o di testo, per capire se queste informazioni ricevute sullo smartphone siano vere o false, siano link malevoli”.
Tuttavia, la vera differenza per un system integrator sta nella capacità di affidarsi a servizi gestiti di cybersecurity (MDR), in grado di potenziare il processo di analisi e risposta agli incidenti, garantendo un servizio tempestivo ed efficiente, grazie all’esperienza di analyst senior con competenze maturate in anni di attività sul campo.
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
Ver. 10-02-2025
