Se il Ciso non c’è, lo sostituisce l’intelligenza artificiale. E se invece c’è, l’AI può diventare un supporto, un alleato, un pedale dell’acceleratore tanto prezioso laddove - come nell’ambito della cybersicurezza - spesso il tempismo è tutto. Sophos non è il solo fornitore di sicurezza a guardare all’AI generativa come a uno strumento in grado di trasformare le tipiche attività dei Security Operations Center, dunque il rilevamento delle minacce, la risposta agli incidenti, la threat intelligence. È, tuttavia, uno dei primi ad aver dato forma concreta a questa visione, racchiudendola in uno specifico prodotto. Di questo e delle tendenze in corso nel mercato abbiamo discusso con il country manager italiano, Marco D’Elia.
Abbiamo superato la metà dell’anno. Che primo bilancio possiamo fare? Quale scenario state osservando?
L’attenzione alla cybersecurity è altissima, anche in Italia, credo anche per merito delle azioni del governo degli ultimi anni, per esempio l’istituzione dell’Acn, l’Agenzia per la Cybersicurezza Nazionale. Fino a un paio di anni fa vedevamo nelle aziende un approccio soprattutto tattico, spesso basato sui riferimenti del framework Nist: sulla base delle specifiche aree di tutela e protezione definite, le decisioni venivano prese a livello di data room, basate su qualità del prodotto, sulla logica “best of breed”, senza avere una visione più integrata e olistica della cybersecurity. Oggi questo è cambiato: le aziende sono passate a un approccio più strategico, ovvero cercando di capire come la cybersicurezza possa agevolare il flusso dei loro specifici processi, integrandosi con il business. Notiamo anche una forte interesse per i servizi: c’è una consapevolezza totale sul fatto che un approccio alla sicurezza basato solo sul prodotto non sia più sufficiente.
Pensate che la direttiva Nis2 abbia contribuito a questo cambiamento?
La Nis2 ha introdotto un nuovo concetto, quello del governo della cybersecurity, che significa adottare piattaforme in grado di gestire la sicurezza con una visione a tutto tondo e più integrata. La direttiva ha calcato la mano su questo aspetto, stabilendo anche delle responsabilità penali,e ciò ha pesato sul cliente finale, nel passaggio a un approccio più strategico. Credo che il messaggio della Nis2 sia ormai stato recepito dalle aziende e i Ciso con cui ci confrontiamo concordano sul fatto che la direttiva aiuti a creare un livello di resilienza all’interno dell’azienda. Questo è concetto importantissimo, perché si accetta il fatto che un attacco possa verificarsi, ma si definisce una procedura operativa per affrontarlo.
Come si stanno muovendo le aziende nel concreto per potenziare la cybersicurezza? Notate qualche criticità?
Essere consapevoli dei rischi è una cosa, ma bisogna poi comunque affrontare il tema degli investimenti. Alla fin fine, nelle aziende questo si traduce nel dover prendere delle decisioni di “make or buy” sulle tecnologie da utilizzare, sulle risorse e sui processi di governance della sicurezza, su che cosa si voglia gestire internamente e che cosa, invece, delegare.
Su questi aspetti noi di Sophos interveniamo in vari modi, e innanzitutto attraverso la nostra piattaforma di offerta, che permette di costruire un servizio Mdr, cioè di Managed Detection and Response, personalizzato: alcuni processi possiamo prenderli in carico noi direttamente, altri possono restare in carico al cliente o essere affidati a un partner.
Esempi di attività su cui tipicamente si fanno queste valutazioni sono il threat hunting, il rilevamento e la risposta agli incidenti. Inoltre abbiamo lanciato un nuovo servizio gratuito di threat profile, che estende le indagini sui rischi al Dark Web e consente alle aziende di capire se siano sotto attacco.
Marco D'Elia, country manager di Sophos
Come entra in gioco l’intelligenza artificiale in questo scenario? E all’interno della vostra offerta?
Sappiamo bene che chi attacca usa l’AI per i propri scopi, per esempio nel social engineering e per allargare le proprie basi di attacco e i target. Ma l’intelligenza artificiale viene usata anche nella difesa. Nella nostra visione, l’AI può elaborare dati, correlare eventi e dare suggerimenti, ma le decisioni spettano comunque alle persone, ai professionisti.
Credo che sia necessario rivolgersi all’AI per avere un aiuto ma non per sostituirci. In Sophos stiamo andando in questa direzione: abbiamo in roadmap un progetto importante, al momento un prototipo, che chiamiamo "virtual Ciso" e che è sostanzialmente l’evoluzione della piattaforma unificata Sophos Central. Si tratta di un “sistema esperto” che può affiancarsi al chief information security officer o magari sostituirsi a lui in certi frangenti o se in azienda non c’è una figura come quella del Ciso. Attraverso algoritmi di AI offriamo visibilità su ciò che sta accadendo in quel momento nella rete aziendale e su dove è necessario intervenire.
Fra l’altro con l’acquisizione di Secureworks abbiamo esteso enormemente il numero di integrazioni possibili in Sophos Central. La piattaforma raccoglie tutto ciò che viene intercettato dalle applicazioni di cybersicurezza in uso e carica questi dati in un data lake interrogabile. L’interrogazione può essere manuale oppure può essere realizzata dalla piattaforma stessa, con un sistema di AI capace di gestire milioni di dati in pochissimi secondi.
Quali saranno le prossime mosse di Sophos?
Abbiamo da poco chiuso un anno fiscale fantastico dal punto di vista dei risultati, sia a livello globale sia italiano. In Sophos Italia abbiamo raggiunto importantissimi livelli di crescita e soprattutto nel numero di clienti dell’Mdr, a conferma della tendenza all’adozione dei servizi gestiti che osserviamo sul mercato e su qualsiasi segmento, dalle realtà enterprise alle Pmi. Per quanto riguarda il canale, che per noi è l’unica modalità di vendita, ci poniamo l’obiettivo di circoscrivere e razionalizzare la rete di partner, rendendoli sempre più specializzati e certificati sulle nostre piattaforme.
Dal punto di vista dell’offerta, le nostre priorità sono innanzitutto portare sul campo le novità lanciate, come il servizio di threat profile che offriamo gratuitamente, tipicamente come assessment svolto dai nostri Labs e anche con diversi strumenti che ci derivano dall’acquisizione di Secureworks. A tal proposito, abbiamo un’importante roadmap di integrazione tecnologica che durerà per tutto il nuovo anno fiscale.