La cybersecurity moderna si trova di fronte a una sfida cruciale: bilanciare l’efficienza dell’automazione con la flessibilità dell’intervento umano nella remediation delle minacce. Le organizzazioni devono comprendere che oggi non esiste una soluzione universale, ma piuttosto un approccio ibrido che combina automatic remediation e manual remediation certificata.

Assieme a Luca Bonora, Cybersecurity Evangelist di Cyberoo, esploriamo le differenze fondamentali tra i due metodi, analizzando quando e come utilizzarli efficacemente, in base ai tre pilastri fondamentali di Gartner: competenze umane, tecnologia e processi strutturati.

Remediation e incident response: una distinzione fondamentale

Prima di analizzare le diverse tipologie di remediation, è essenziale comprendere la differenza tra remediation e incident response, due concetti spesso confusi ma profondamente diversi negli obiettivi e nelle modalità di intervento: “La remediation è tutto ciò che siamo in grado di attivare per evitare che la minaccia in corso fermi completamente i servizi, l’azienda, l’applicazione”, spiega Bonora. “L’Incident Response, invece, è l’intervento dopo che il problema c’è stato, quando ho l’azienda, le applicazioni e i servizi bloccati”.

Questa distinzione è fondamentale perché determina l’approccio strategico: la remediation interviene quando il business è ancora operativo, mentre l’incident response si attiva quando tutto è già compromesso. “Quando si interviene con la remediation il business è ancora lì che funziona; quando si interviene con l’incident response team è tutto fermo”, continua l’esperto.

L’importanza della tempistica nell’intervento

La tempistica rappresenta il fattore critico che determina quale approccio adottare. La remediation si basa sul principio della prevenzione attiva durante un attacco in corso, mentre l’incident response è un processo di ripristino che richiede pianificazione e team dedicati. “L’incident response plan va fatto a tavolino, in tempo di pace, perché ci dobbiamo chiedere: se l’azienda è bloccata, chi chiamo? Cosa mi aspetto di fare? Quanto tempo pensiamo di poter sopportare l’azienda completamente ferma?”, evidenzia Bonora.

Automatic remediation: velocità e precisione nell’era dell’AI

L’automatic remediation si basa su algoritmi di intelligenza artificiale e machine learning capaci di riconoscere pattern di attacco e comportamenti anomali. Rappresenta l’evoluzione tecnologica più significativa nella cybersecurity moderna, offrendo benefici inarrivabili in termini di velocità e precisione quando le condizioni lo permettono: “L’automatic remediation può intervenire quando è certo che c’è un attacco; quindi, so che in questo momento non ho dubbi, ho riconosciuto e sono certo si tratti di quel tipo di attacco”, spiega l’esperto.

I principali vantaggi dell’automatic remediation includono:

• Velocità di risposta: “Se creo un processo per il quale l’automatic remediation può intervenire e decide che è ora di intervenire, nessun umano può essere così immediato, veloce e preciso come l’automatic remediation”, sottolinea Bonora. Questa caratteristica è fondamentale per contrastare attacchi rapidi e complessi che richiedono una risposta in tempo reale.
• Scalabilità: l’automazione permette di gestire grandi volumi di dati e alert simultaneamente, superando i limiti delle capacità umane di elaborazione.
• Consistenza: gli algoritmi applicano sempre gli stessi criteri di valutazione, eliminando la variabilità umana e garantendo risposte coerenti.

I limiti dell’automazione: quando la tecnologia non basta

Nonostante i vantaggi evidenti, l’automatic remediation presenta limitazioni significative che ne impediscono l’applicazione universale. “L’automatismo non è la panacea di ogni male, non tutto è possibile automatizzarlo, non sempre è possibile automatizzare”, avverte Bonora.

Le principali limitazioni riguardano:

• Vincoli tecnologici: non tutti i sistemi e dispositivi supportano comandi automatici o permettono l’integrazione con piattaforme di orchestrazione.
• Vincoli politici e organizzativi: “A volte la politica in campo non permette l’automatismo. Quell’account non lo voglio bloccare se non dopo aver preso una decisione”, esemplifica l’esperto riferendosi a situazioni sensibili come l’account di un amministratore delegato.
• Necessità di reversibilità: ogni azione automatica deve prevedere la possibilità di essere annullata, richiedendo comunque supervisione umana.

Manual remediation certificata: l’evoluzione dell’intervento umano

La manual remediation moderna non è un ritorno al passato, ma rappresenta un’evoluzione certificata che integra competenze umane con strumenti tecnologici avanzati.

La catena del soccorso certificata

“Bisogna definire una catena del soccorso certificata, l’identificazione di chi chiamo quando c’è da mettere le mani in quel posto specifico”, spiega Bonora. Questo approccio strutturato garantisce che ogni intervento manuale sia rapido, competente e tracciabile.

La catena del soccorso opera su tre diversi livelli:

1. Primo anello del soccorso: team specializzati che possono intervenire immediatamente senza necessità di accessi amministrativi preliminari, attraverso piattaforme certificate che permettono azioni controllate e autorizzate.
2. Continuità operativa: disponibilità H24, 365 giorni l’anno, con team che possono darsi il cambio per garantire continuità nell’intervento.
3. Competenze specializzate: rimane fondamentale poter contare sempre sull’intuizione, l’esperienza e la competenza umana.

L’importanza della certificazione

La certificazione nella manual remediation non riguarda solo le competenze tecniche, ma anche la capacità di operare attraverso strumenti e processi standardizzati che garantiscono:

• tracciabilità di ogni intervento,
• autorizzazioni predefinite per azioni specifiche,
• integrazione con i partner esistenti del cliente senza sostituirli,
• possibilità di escalation rapida quando necessario.

L’approccio ibrido: combinare automazione e competenze umane

La soluzione più efficace non è scegliere tra automatic e manual remediation, ma integrare strategicamente entrambi gli approcci. Come sottolinea l’esperto: “Il nostro servizio nasce proprio dalla sinergia tra persone, tecnologie e processi ben definiti”, un modello operativo che ricalca i tre pilastri indicati da Gartner:

1. Competenze umane: le persone rimangono essenziali per decisioni complesse, analisi contestuali e situazioni che richiedono giudizio critico.
2. Tecnologia: gli strumenti di intelligenza artificiale, machine learning e orchestrazione forniscono la base per detection e response automatizzate, ma devono essere integrati con supervisione umana.
3. Processi: procedure standardizzate e certificate che definiscono quando e come intervenire, garantendo coerenza ed efficacia indipendentemente dal tipo di minaccia.

Scegliere l’approccio giusto: quali fattori considerare

Per capire quando è preferibile affidarsi alla rapidità dell’automazione e quando, invece, è necessario l’intervento umano, è fondamentale stabilire delle linee guida. A determinare l’approccio più adatto intervengono diversi fattori:

• Livello di certezza: “Devo essere certo che quando l’automatismo interviene è perché ho una percentuale, più del 90-95% di punteggio della minaccia”, specifica Bonora.
• Criticità dell’asset: sistemi critici o account sensibili possono richiedere approvazione umana prima dell’intervento automatico.
• Complessità del contesto: situazioni che richiedono analisi contestuale o considerazioni di business specifiche necessitano intervento umano.
• Reversibilità: la possibilità di annullare l’azione intrapresa influenza la scelta dell’approccio.

Detection e intelligence: la base per una remediation efficace

Una remediation per essere davvero efficace, che sia automatica o manuale, deve poggiare su fondamenta solide: la qualità della detection e dell’intelligence che la precedono. La raccolta, l’integrazione e l’analisi dei dati sono attività che richiedono precisione, metodo e continuità.

Analisi integrata dei dati: la chiave per una visione completa

“La condizione fondamentale – spiega Bonora – è poter integrare i log di tutti i prodotti, le soluzioni, le applicazioni che afferiscono al dominio cyber dell’azienda”,. Solo così è possibile ottenere una visione completa e coerente di ciò che avviene all’interno dell’infrastruttura. Questa integrazione consente di riconoscere pattern di attacco complessi, correlare eventi da diverse fonti, costruire modelli comportamentali accurati e identificare in tempo reale le anomalie.

Distinguere l’ordinario dal sospetto: machine learning e behavioral analysis

In particolare, il machine learning consente di costruire modelli in grado di riconoscere le abitudini digitali degli utenti, identificando in modo tempestivo eventuali deviazioni significative. “Ci permette di conoscere i comportamenti tipici delle persone per capire quando si discostano dalla normalità”, evidenzia Bonora. Questa capacità si rivela fondamentale per rilevare minacce interne e attacchi sofisticati.

Cosa accade dentro e fuori l’azienda: il doppio sguardo della threat intelligence

Una remediation efficace non può prescindere da una solida attività di threat intelligence, che deve operare su due livelli complementari: interno ed esterno.

L’intelligence interna si concentra sull’analisi dell’infrastruttura aziendale per riconoscere tattiche, tecniche e procedure di attacco. Serve a comprendere come un cybercriminale potrebbe muoversi all’interno dell’ambiente IT, sfruttando eventuali vulnerabilità.

L’intelligence esterna, invece, amplia lo sguardo oltre i confini aziendali, monitorando in tempo reale il Surface, il Deep e il Dark Web. “Queste analisi ci permetto di sapere che tipo di attenzione c’è nei tuoi confronti”, spiega Bonora, ad esempio rilevando dati aziendali in vendita, credenziali compromesse o piani di attacco specifici.

Sfide future ed evoluzione della remediation

Il futuro della remediation si orienta verso una maggiore integrazione e certificazione dei processi, con sfide specifiche che le organizzazioni devono affrontare.

Interoperabilità e standardizzazione

“Fra le sfide c’è quella dell’interoperabilità, il fatto di poter permettere di intervenire in tutti i prodotti“, identifica l’esperto. “Solo a questo punto l’automatic remediation diventa veramente significativa ed efficace”. Che le tecnologie impiegate possano dialogare tra loro presuppone:

• standardizzazione delle API di sicurezza,
• protocolli comuni per l’orchestrazione,
• compatibilità tra diverse tecnologie di sicurezza.

Riduzione degli errori e dei bias

“Più riesco a ottimizzare i processi e a ridurre la possibilità di errore, più ho fiducia nell’automatismo“, sottolinea Bonora. È proprio su questo fronte che si concentrerà l’evoluzione della remediation automatica. Gli obiettivi principali saranno:

• algoritmi più accurati e meno soggetti a falsi positivi,
• modelli di machine learning più robusti,
• processi di validazione continua delle decisioni automatiche.

Remediation certificata: il futuro dell’integrazione

Inoltre, tra le sfide più rilevanti per i prossimi anni c’è lo sviluppo di una “remediation certificata”, che combini efficacemente l’automazione e l’intervento umano. L’obiettivo è garantire un livello superiore di affidabilità e controllo, attraverso:

• tracciabilità completa di ogni intervento,
• competenze certificate per il personale,
• processi standardizzati e auditabili,
• integrazione seamless tra tecnologie diverse.

Verso un approccio maturo alla remediation

La cybersecurity oggi richiede un approccio maturo che riconosca i limiti e i vantaggi sia dell’automatic che della manual remediation.

“Non esiste un modo più veloce dell’automatic remediation. Se può intervenire, quello è il modo migliore in assoluto”, conclude Bonora, “ma va sempre affiancata una remediation manuale certificata”.

Il successo dipende dalla capacità di costruire un ecosistema integrato che combini tecnologie avanzate di detection e response, competenze umane specializzate e certificate, processi strutturati e testati, catene di soccorso sempre disponibili.

L’obiettivo finale non è sostituire l’uomo con la macchina o viceversa, ma creare un sistema sinergico dove ogni componente opera nel proprio ambito di eccellenza, garantendo la massima efficacia nella protezione del business aziendale.