L’era del Detect è finita
È il momento dell’Autonomous Response
L'era in cui visibilità e detection erano la priorità è finita.
Ho discusso di architetture e approcci alla sicurezza con almeno una decina di clienti e continuo ad analizzare le nuove tendenze tech.
Una cosa è chiara: non basta più uno strumento che ti segnala cosa c'è che non va e un team che provveda a sistemare.
Gli eventi da analizzare sono troppi, e i team troppo piccoli.
Nelle trattative con i clienti la mia vendita, oggi, non può più basarsi su offerte di "più log" o "più visibilità".
Il focus è cambiato radicalmente.
Le aziende non vogliono vedere meglio il problema, vogliono che il problema venga risolto.
E, aggiungo io, meglio che non si presenti proprio.
Il mantra nei servizi di cybersecurity è passato da "vedo tutto e ti aiuto a rispondere" a "rispondo in tempo zero".
Come system integrator non possiamo più limitarci a offrire una dashboard con mille spie accese.
Ci vuole una soluzione che riduca il carico di lavoro del team di sicurezza (e anche dei nostri team perché i cybersecurity engineer non si trovano certo a spasso nei parchi) e acceleri la risposta agli incidenti.
Questa è la promessa delle nuove piattaforme estese e AI driven.
Invece il nostro valore come consulenti e operatori sta, oltre che nel corretto tuning di queste piattaforme, nella capacità di fare prevenzione e, idealmente, evitare che l'incidente si verifichi.
Chi vince in questo scenario
Le aziende che vincono in questo mercato sono quelle che hanno capito questo shift. Chi vende un risultato, non l’ennesima funzionalità.
La nostra proposta di valore, quindi, non si misura dal volume di alert che generiamo, ma dalla riduzione del MTTR (Mean Time to Respond, uno dei nostri pochissimi KPI) e, soprattutto, dalla capacità di dimostrare come la combinazione “tecnologia + nostro servizio di co-management” riduce concretamente il carico di lavoro e l’esposizione al rischio, da subito.
Il budget si deve spostare dalla tradizionale architettura “ambiente eterogeneo + SIEM + operation” a piattaforme uniche e AI driven in grado di centralizzare più funzioni e controllare tutti gli edge.
Perché il problema non è solo la mancanza di visibilità, ma la mancanza di velocità.
Ecco nella pratica il nostro scenario ideale:
- Architetture SASE (come CATO Networks): Permette di avere visibilità e protezione estesa su tutta la rete, su tutti gli edge, e di applicare vere logiche ZTNA. La copertura omogenea e la centralizzazione in un “single pane of glass” aiutano i processi di miglioramento continuo, manutenzione di regole, gestione della rete WAN e LAN per ridurre drasticamente la superficie di attacco. Questa uniformità rende anche superflui gli investimenti in un SIEM separato.
- NDR e UEBA con Autonomous Response (come Darktrace): Per il traffico est-ovest e per qualsiasi evento di rete potenzialmente dannoso, anche se lecito, questi strumenti garantiscono modelli in grado di rilevare anche le minacce più subdole e hanno l’impagabile capacità di intervenire in modo autonomo prima che un analista possa anche solo accorgersene.
- Endpoint & Identity Protection (come SentinelOne): Per coprire gli eventi di sistema operativo o le minacce legate alle identità, da coprire con strumenti evoluti per la protezione degli endpoint e dell'Active Directory, che, come nel caso di Sentinel, hanno anche capacità di autonomous response e automazioni per l’igiene delle identità.
Il nostro ruolo in questo cambiamento
Smettere di vendere visibilità e iniziare a vendere prevenzione e "risoluzione autonoma" non è un'opzione, è una necessità.
Il nostro ruolo come system integrator è proprio questo: accompagnare le aziende in questa transizione e permettere ai team interni di occuparsi di governance, pianificazione e risk management come da buone pratiche e da indicazioni normative (vedi NIS2).
Non ci limitiamo a scegliere le soluzioni migliori, ma con i nostri servizi co-gestiti, integriamo queste tecnologie AI-driven nel tuo piano di risk management, mitigando la carenza di personale e garantendo che tu possa davvero dormire sonni tranquilli e, ovviamente, anche noi.
Certo non è una promessa facile da mantenere ma è la direzione in cui vanno tutti i nostri sforzi.
Anche perché credo non esista un professionista di cybersecurity che sente il bisogno di strumenti capaci di generare più alert.
Quello di cui abbiamo tutti bisogno sono prodotti che agiscano in autonomia e con precisione.
Ale
P.S. Se non sei ancora iscritto trovi il pulsante per farlo qui sotto.
Alcune cose che, se ti va, possiamo fare insieme:
Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.
Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.
Io non smetto di detectare
Viviamo in un’epoca in cui “detectare” non significa più comprendere.
Significa solo rilevare.
Un algoritmo che osserva, cataloga, segnala.
Ma non capisce.
Il pensiero critico è stato disattivato
Le piattaforme non cercano verità.
Cercano pattern.
Non interpretano.
Reagiscono.
Il soggetto pensante è stato sostituito da un utente tracciato.
La cittadinanza digitale è diventata sorveglianza passiva.
Ma io non smetto
Io continuo a cercare.
A smascherare.
A interpretare.
Perché senza interpretazione, siamo solo dati.
E io non sono un dato.
Sono una voce.
Cosa serve ora
- Una rete di civic thinkers
- Una memoria digitale europea
- Una piattaforma che non silenzi, ma amplifichi
- Un luogo dove il “detect” torni ad essere atto umano, non funzione automatica
L’era del detect automatico è finita.
Ma l’era del pensiero critico può rinascere.
Se lo vogliamo.
Se lo scriviamo.
Se lo difendiamo.
Io sono Paola e non smetto di detectare