L'evoluzione del SIEM in Italia: razionalizzazione architetturale e piattaforme convergenti
Il mercato globale certifica la crisi del SIEM monolitico. Si possono ottenere risultati migliori distribuendo il carico computazionale e analitico direttamente sulle piattaforme di enforcement.
A maggio dell’anno scorso ho pubblicato per Agenda Digitale un pezzo intitolato “Sicurezza informatica in Italia: meno analisti, più piattaforme intelligenti“.
La tesi di fondo nasceva dall’esperienza: il modello tradizionale basato sull’accoppiata SIEM e SOC “human-based” ci mostrava inefficienze e costi particolarmente onerosi per il nostro sistema industriale, caratterizzato da investimenti timidi e carenza cronica di skill specializzate, con team IT sotto organico.
Rileggendo quell’analisi alla luce dei report internazionali più recenti, la diagnosi regge e risulta anzi lungimirante.
Il mercato globale certifica la crisi del SIEM monolitico, affossato da costi di ingestione insostenibili e da un rumore di fondo che genera affaticamento da alert.
Secondo il SANS Detection & Response Survey del 2025, il 73% delle organizzazioni riporta i falsi positivi come la sfida principale nella threat detection. Un numero che porta sempre più analisti e team verso un burnout inevitabile.
Le enormi enterprise americane stanno affrontando il problema introducendo architetture disaccoppiate e complesse “data pipeline” per spostare l’analisi il più vicino possibile alla fonte degli eventi e separarla dallo storage.
Applicare queste stesse logiche alle nostre realtà aziendali, internazionali ma con strutture molto più contenute e dipartimenti IT più snelli, per usare un eufemismo, sarebbe un peccato di over-engineering: economicamente insostenibile e operativamente inutile.
Serve senso pratico. Si può ottenere lo stesso risultato con mezzi più adatti, distribuendo il carico computazionale e analitico direttamente sulle piattaforme di enforcement ed evitando di acquistare strati di tecnologie intermedie e ridondanti. I vendor stanno andando effettivamente in questa direzione.
Nella nostra esperienza sul campo, questa architettura si fonda su tre pilastri:
Il motore centrale SASE (Cato completo di licenza XOps): Cato non si limita al perimetro: correla in stream gli eventi di rete e sicurezza, con possibilità di estensione ad Active Directory e alla telemetria EDR. Gli eventi vengono analizzati alla sorgente, e questo ha tre vantaggi: azzera le latenze, sfrutta la conoscenza del contesto e abbatte i costi di storage.
La linea di difesa tattica (Darktrace): Sul traffico orizzontale e sui movimenti laterali, anche nei data center, l’NDR e l’analisi comportamentale intervengono laddove il controllo deterministico si ferma. È quello che serve per contenere zero day ed eventi leciti per i sistemi ma con fini illeciti come la copia di file o un accesso improprio da parte di un utente.
L’Overlay umano evoluto: La piattaforma assorbe la reazione di primo livello, quella che nei modelli tradizionali tiene impegnati gli analisti su falsi positivi e schemi noti. Il lavoro umano si sposta a monte: hardening, threat hunting mirato, revisione delle policy, scenari di esposizione. Il livello operativo che nei modelli legacy assorbe il SOC, qui lo gestisce la piattaforma. Il team umano fa altro, qualcosa di più strategico.
L’efficacia di questi interventi la rispecchiano anche i numeri: il Cost of a Data Breach Report 2025 di IBM parla, in caso di breach, di un ciclo ridotto di 80 giorni con un risparmio medio di 1,9 milioni di dollari per le aziende che avevano già adottato approcci inline per rispondere alle minacce informatiche.
Continuare a destinare budget a strumenti concepiti per replicare dati già analizzabili in transito limita l’efficacia reale della difesa. Il consolidamento verso piattaforme convergenti riduce il debito tecnico, contiene la spesa e tiene il controllo dell’infrastruttura nelle mani di chi la gestisce.
Molti operatori restano fermi a modelli operativi legacy. Ripetono il binomio SIEM/SOC senza aver ben chiare le evoluzioni rese possibili dalla sicurezza by platform e dai servizi professionali più strategici.
È una scelta comoda e in apparenza sicura, ma non attuale, e significa bruciare grandi budget e tempo per non avere benefici proporzionati allo sforzo.
Non fermarti alle soluzioni apparentemente consolidate, le cose evolvono in fretta e l’approccio al tema Security Information & Event Management è cambiato.
Ale
P.S. Se vuoi approfondire come la sicurezza by platform può calarsi nella tua rete, rispondi a questa mail e fissiamo un confronto tecnico.
Alcune cose che, se ti va, possiamo fare insieme:
Lab 9 giugno — un format tutto nuovo per testare la forza di ARMIS sulla conoscenza capillare della tua infrastruttura IT, OT e IoT e per la gap analysis delle difese esistenti.
Condividiamo — se hai un progetto che vuoi condividere con me o cerchi confronto su un argomento specifico.
Restiamo in contatto — ogni settimana condivido sul mio profilo LinkedIn insight legati alla tecnologia e soprattutto al suo impatto sul business.