Alcuni lustri fa, il Cto di una grande azienda specializzata in cybersecurity ha detto durante un evento pubblico quella che si è rivelata una grande verità: “Se metti un esercito di robot contro un esercito di umani, l’esercito di uomini è destinato a soccombere”. Ai tempi si parlava delle prime campagne di attacchi basate su script e automazioni in alcune delle fasi, ma da allora la situazione non ha fatto altro che complicarsi e oggi abbiamo visto le prime campagne completamente gestite dall’intelligenza artificiale.
Il loro tasso di successo è ancora relativamente basso, ma… sappiamo come vanno queste cose. Soprattutto perché questi attacchi hanno dalla loro un fattore determinante, quello della velocità: operazioni e dati analizzati così velocemente da surclassare l’analista umano che si trova dall’altra parte. ClearSkies, azienda maltese specializzata in difesa informatica, ha preparato una piattaforma per combattere ad armi pari con i nuovi strumenti. Il suo fondatore e chief technology officer, Eleftherios Antoniades, ci propone un ripensamento completo del Security Operations Center, fino ad arrivare al concetto di Autonomous Soc.
Il passaggio alla "Centric AI"
Secondo Antoniades, il punto di rottura con il passato è già avvenuto. Con le capacità e velocità che contraddistinguono i nuovi attacchi, strumenti come i Siem tradizionali o le piattaforme di advanced analytics risultano inadeguati perché progettati per un mondo che andrà a sparire. La quantità di telemetria generata da cloud, identità digitali, endpoint, reti e ambienti OT è tale da rendere impossibile una gestione manuale efficace.
A questo si aggiunge una profonda cecità contestuale: i sistemi legacy analizzano eventi isolati, senza una comprensione unificata che attraversi identità, DNS, workload cloud, flussi di rete e dispositivi IoT. L’unica risposta possibile risiede nel costruire un motore di intelligence capace non solo di rilevare una minaccia, ma di comprenderla nel suo contesto e agire di conseguenza.
E questo è possibile solo se l'AI è ben innestata nei processi di sicurezza. Antoniades, infatti, ci tiene a sottolineare che molti vendor parlano di AI, ma spesso si tratta di un’aggiunta superficiale a piattaforme nate in epoche precedenti. L’approccio di ClearSkies ribalta questa logica. La cosiddetta “centric AI” non è un layer cosmetico o un add-on, ma il cuore decisionale dell’intera architettura. L’intelligenza artificiale non si limita ad automatizzare task ripetitivi: applica un ragionamento di livello esperto alla velocità delle macchine.
Questo paradigma si fonda su una correlazione nativa tra più livelli tecnologici, che consente di individuare attacchi complessi e multi-stadio difficilmente rilevabili da strumenti isolati. A questa visione si affianca la combinazione tra AI agentica, orientata all’esecuzione precisa delle azioni, e AI generativa, capace di costruire narrazioni, analizzare l’intento e spiegare il perché delle decisioni prese. Il risultato è una sorta di “co-analista digitale” che agisce e, allo stesso tempo, rende trasparente il proprio processo decisionale. Il tutto è completato da modelli adattivi che evolvono nel tempo, apprendendo dai nuovi pattern di minaccia e dai cambiamenti dell’ambiente operativo.
Eleftherios Antoniades, fondatore e Cto di Clearskies
Dal Soc tradizionale all’Autonomous Soc, tutto in sovranità
Il concetto di Autonomous Soc non implica l’eliminazione del fattore umano, ma una sua profonda trasformazione. L’obiettivo è passare dall’uso di strumenti eterogenei all’orchestrazione intelligente della difesa. La piattaforma ClearSkies unifica l’intero ciclo operativo in un loop continuo che parte dall’ingestione e normalizzazione immediata dei dati provenienti da ogni asset, passa attraverso un ragionamento agentico che valuta rischi e priorità come farebbe un analista senior e arriva a un’analisi generativa in grado di produrre ipotesi investigative leggibili e percorsi di risposta chiari.
Quando una minaccia viene confermata, il sistema può attivare in autonomia contromisure come l’isolamento di un host, la revoca di credenziali o il blocco del traffico DNS malevolo. In questo modo il team umano non è più costretto a spegnere incendi, ma può concentrarsi sulla supervisione strategica, la governance e il miglioramento continuo della postura di sicurezza.
Ma a fianco alle qualità tecnologiche della piattaforma, c’è un tema che oggi risulta altrettanto importante, quello della sovranità digitale. Per il Cto, infatti, la necessità di sovranità tecnologica non è uno slogan politico, ma una questione concreta di resilienza, fiducia e controllo. La dipendenza da hyperscaler e piattaforme SaaS extra-europei per infrastrutture di sicurezza critiche (e non solo) introduce rischi strategici che l’Europa non può permettersi di ignorare.
ClearSkies è stata progettata per operare interamente all’interno di regioni dati europee, nel rispetto delle normative più stringenti in materia di governance e protezione delle informazioni. Un aspetto chiave è l’indipendenza da modelli di AI non sovrani: l’intero stack è pensato per funzionare senza dover demandare capacità critiche a tecnologie esterne, garantendo che l’intelligence operativa rimanga sempre sotto il controllo dell’organizzazione che la genera e fornendo opzioni sia per una versione cloud (sovrana) sia per una versione on prem.
Un percorso graduale verso l’autonomia
Cambiare una infrastruttura di sicurezza, però, non è una questione da pochi minuti e infatti Antoniades sottolinea che la transizione verso un Autonomous Soc non avviene in modo improvviso. ClearSkies la interpreta come una curva di maturità che accompagna le organizzazioni passo dopo passo. In una prima fase l’AI viene utilizzata per automatizzare le attività a basso valore aggiunto come il triage e l’arricchimento degli alert che assorbono la maggior parte del tempo degli analisti. Successivamente il sistema evolve in uno strumento di supporto decisionale, capace di suggerire azioni e motivarle, riducendo drasticamente il carico cognitivo pur mantenendo l’uomo nel loop. Solo quando si consolida un rapporto di fiducia, si passa all’esecuzione autonoma delle risposte.
La visione finale è quella di un Security Operations Center che non sia più sinonimo di stress reattivo, ma di resilienza proattiva. Un modello di sicurezza capace di pensare, apprendere e proteggere in autonomia, lasciando alle persone il compito di guidare la strategia in un mondo sempre più dominato dall’intelligenza artificiale.